یک گروه نفوذ که به دولت روسیه نسبت داده می شود به مسیریاب های سیسکو نفوذ کرده و گواهی نامه ها را از آن ها به سرقت می برند. این اطلاعات در ادامه برای حمله به بخش های انرژی در انگلستان مورد استفاده قرار می گیرد.
هفته ی گذشته آمریکا اعلام کرد که تحریم ها علیه نهادهای جاسوسی در روسیه و بیش از ۱۰ نفر دیگر در راستای دخالت دولت روسیه در انتخابات ریاست جمهوری آمریکا در سال ۲۰۱۶ میلادی، انجام حملات سایبری مانند باجافزار NotPetya و هدف قرار دادن بخشهای انرژی است. در ادامه نیز دولت روسیه، مسئول تمام حملات گروههای Dragonfly ،Crouching Yeti و Energetic Bear معرفی شد.
اخطاری که سال گذشته توسط مرکز امنیت ملی سایبری انگلستان منتشر شد، نشان داد که نفوذگران با بهرهبرداری از پروتکل SMB بخشهای انرژی را در این کشور هدف قرار داده و پسوردهای سیستمها را به سرقت میبرند. گفته میشود در حملاتی که بخشهای انرژی را هدف قرار میدهد از روشهای فیشینگ بهرهبرداری میشود.
وقتی ایمیل فیشینگ توسط قربانی باز میشود، یک فایل الگو واکشی شده و تلاش میکند تا توسط یک سرور SMB در راه دور که تحت کنترل نفوذگران است، احراز هویت شود. وقتی یک سند مخرب توسط مایکروسافت ورد باز میشود، یک فایل الگو را از سرور راه دور SMB بارگذاری میکند. وقتی دستگاه هدف تلاش میکند به سرور SMB متصل شود، با گواهینامههای دامنهی کاربر جاری در ویندوز احراز هویت میشود که به دست مهاجمان نیز خواهد رسید.
محققان اعلام کردند باتوجه به این گواهینامهها هنگام ارسال به سرور رمزنگاری میشوند، مهاجمان با دست یافتن به آنها و صرف زمان به مدت چند ساعت یا چند روز، میتوانند گواهینامهها را بازیابی کنند. در ادامه از این گواهینامهها برای هدف قرار دادن بخش انرژی در انگلستان استفاده شده است.
یکی از نکات جالب در این حملات، آدرس IP سرور SMB است که متعلق به یک نهاد دولتی در ویتنام است. یکی دیگر از آدرسهای IP مربوط به یک مسیریاب هستهای سیسکو است که منقضی شده است. استفاده از زیرساخت مسیریابهای آلوده برای جمعآوری گواهینامهها و زیرساخت دستور و کنترل، روش جدیدی نیست ولی تشخیص آن مشکل است.
دلیل مشکل بودن این شناسایی روند آلودهسازی مسیریاب است که ثابتافزار آن را تحت تاثیر قرار میدهد و هنوز ابزار مناسبی برای بررسی جرمشناسی آن وجود ندارد. تجزیه و تحلیلهای بعد از حمله نیز به دلیل عدم وجود رکوردهای ثبتشده، چالش بزرگی محسوب میشود. استفاده از چنین روشهایی توسط نفوذگران بسیار خطرناک است چرا که وصلهی چنین اشکالاتی در مسیریابها راحت نیست.