Search
Asset 2

گروه سایبری مرتبط با چین از کشورهای دریای چین جنوبی جاسوسی می‌کند

به گفته شرکت امنیت سایبری رومانیایی بیت‌دیفندر، یک گروه سایبری جدید مرتبط با چین، از سال ۲۰۱۸ به سازمان‌های نظامی و دولتی کشورهای دریای چین جنوبی حمله سایبری می‌کند.
(Philippe Huguen/AFP/Getty Images)

شرکت امنیت سایبری رومانیایی بیت‌دیفندر می‌گوید یک گروه سایبری جدید- که گفته می‌شود با چین ارتباط دارد- از سال ۲۰۱۸ به سازمان‌های نظامی و دولتی کشورهای دریای چین جنوبی حمله سایبری می‌کند.

براساس گزارش این شرکت در ۲۲ مه، محققان بیت‌دیفندر عامل تهدید را «مه روشن دریا» نامیده و خاطرنشان کردند که عملیات این گروه در راستای منافع ژئوپلیتیک چین  و با تمرکز بر جاسوسی انجام می‌گیرد. اهداف و ماهیت حملات از هم‌سویی این گروه با منافع چین حکایت دارد.

به گفته محققان بیت‌دیفندر، این گروه زرادخانه پیچیده‌ای از بدافزارها و ابزارهای سفارشی برای خود ساخته و یکی از تکنیک‌های آن با گروه جاسوسی ای‌پی‌تی۴۱، از گروه‌های سایبری مورد حمایت چین- هم‌پوشانی دارد.

در این گزارش آمده که «هم‌پوشانی دیگری با ابزارهای معروف ای‌پی‌تی۴۱ وجود ندارد و این شباهت می‌تواند نشانه کدگذاری مشترک در عرصه تهدیدات سایبری چین باشد.»

ای‌پی‌تی۴۱ یکی از بی‌شمار تهدیدات پیشرفته مستمر چین است که اقدامات سایبری مخربی را در مورد مؤسسات، شرکت‌ها و دولت‌های غربی انجام داده است. ای‌پی‌تی۱۰ و ای‌پی‌تی۴۰ نیز جزو همین دسته هستند. در حال حاضر، پنج شهروند چینی به اتهام ارتباط با ای‌پی‌تی۴۱ در فهرست تحت تعقیب اف‌بی‌آی قرار دارند. این افراد در سال ۲۰۲۰ به دست داشتن در کارزارهای سایبری برای سرقت اسرار تجاری و اطلاعات حساس از بیش از ۱۰۰ شرکت و نهاد مختلف در سراسر جهان متهم شدند.

در این گزارش آمده که «مه روشن دریا» از سال ۲۰۱۸ دست‌کم ۸ قربانی داشته که عمدتاً اهداف نظامی و دولتی بوده‌اند و به‌طور مکرر به سامانه‌های هدف نفوذ کرده است.»

یکی از ترفندهای این گروه برای نفوذ به سامانه‌های هدف، ارسال ایمیل‌های فیشینگ به همراه آرشیوهای زیپ بود. در گزارش فوق آمده که «این آرشیوها حاوی فایل‌های ال‌ان‌کی بودند که خود را به شکل فایل‌های عادی نشان می‌دادند و هرگونه کلیک روی فایل‌های ال‌ان‌کی باعث می‌شد که دستورات مخرب به اجرا درآیند.»

براساس این گزارش، آرشیوهای زیپ با عنوان «دیتا»، «داک» و «استارتک‌آپ_فاینال» نام‌گذاری می‌شدند.

مهاجمان از مارس ۲۰۲۴ به استفاده از نام‌های جدید روی آوردند که برای نمونه می‌توان به «آسانژ_دشمن_ایالات_متحده_در_اسناد۱۰۲_پنتاگون» و «ریاست‌جمهوری باراک اوباما» اشاره کرد. سایر آرشیوها نیز برای گمراهی کاربر با عناوین «اینستالر»، «آپدیتر» و «اسناد مایکروسافت ویندوز دیفندر» نام‌گذاری شدند.

«مه روشن دریا» پس از دسترسی به سامانه‌های هدف از مجموعه ابزارهای سفارشی و پیش‌ساخته خود برای گردآوری داده‌ها استفاده می‌کرد.

یکی از ابزارهای سفارشی این گروه کلیدنگار «ایکس‌کی‌لاگ» بود که برای دسترسی به داده‌های مربوط به تایپ در کامپیوتر قربانی مورد استفاده قرار می‌گرفت. یکی دیگر از ابزارهای سفارشی آن‌ها داده‌کاو مرورگر بود که برای دسترسی به داده‌های ذخیره‌شده در گوگل کروم، فایرفاکس، مایکروسافت اج یا اینترنت اکسپلورر به کار گرفته می‌شد.

سومین ابزار سفارشی گروه به مهاجمان کمک می‌کرد که دستگاه‌های متصل به سیستم قربانی را تحت کنترل خود درآورند. این ابزار هر ۱۰ ثانیه یک‌بار اتصال دستگاه‌های جدید را بررسی می‌کند. اگر یک دستگاه پرتابل یا یو‌اس‌بی به سیستم متصل شود، جزئیات مربوط به دستگاه گردآوری شده و با استفاده از درخواست دریافت اچ‌تی‌تی‌پی به سروری که در اختیار مهاجم قرار دارد فرستاده می‌شود.

براساس این گزارش، «مه روشن دریا» داده‌های برنامه‌های پیام‌‍رسان تلگرام و وایبر را نیز گردآوری کرده است. این گروه همچنین از ابزار فشرده‌سازی «رار» برای گردآوری دستی داده‌ها استفاده می‌کند.

در این گزارش آمده است: «ترکیب ابزارهای سفارشی و پیش‌ساخته و استخراج دستی داده‌ها، از وجود یک کارزار جاسوسی هدفمند برای بیرون کشیدن اطلاعات حساس از سیستم‌های ناایمن حکایت دارد.»

این گروه بیش از پنج سال ناشناس ماند که در این گزارش «نگران‌کننده» خوانده شده است. مهاجمان این گروه نیز «رویکرد پیچیده‌ای برای حملات سایبری خود دارند.»

محققان یافته‌های خود را به‌طور علنی منتشر کردند تا نهادهای امنیتی برای شناسایی و مختل کردن اقدامات جاسوسی آن‌ها از اطلاعات کافی برخوردار باشند.

این گزارش با چند توصیه درباره نحوه کاهش خطرات مرتبط با «مه روشن دریا» و دیگر عوامل تهدید به پایان رسید. توجه به مدیریت پچ، استفاده از رمزهای عبور قوی، کنترل ترافیک شبکه و همکاری با نهادهای امنیت سایبری از جمله توصیه‌های محققان بیت‌دیفندر هستند.

چین در حال حاضر بر سر صخره‌ها، جزایر و آب‌تل‌های مرجانی دریای چین جنوبی با برونئی، مالزی، فیلیپین، ویتنام و تایوان اختلاف سرزمینی دارد. حکم بین‌المللی سال ۲۰۱۶ بر ادعای «خطوط نه‌گانه» پکن درخصوص ۸۵ درصد از دریای چین جنوبی خط بطلان کشید.

فیلیپین در ماه فوریه خبر داد که هکرهای چینی سعی کردند به وبسایت‌های کشور و سامانه ایمیل رئیس‌جمهور و نهادهای دولتی نفوذ کنند.

اخبار مرتبط

عضویت در خبرنامه اپک تایمز فارسی