حمله‌ی نفوذگران روسی به مسیریاب‌ها در بخش‌های انرژی انگلیس

 

یک گروه نفوذ که به دولت روسیه نسبت داده می شود به مسیریاب های سیسکو نفوذ کرده و گواهی نامه ها را از آن ها به سرقت می برند. این اطلاعات در ادامه برای حمله به بخش های انرژی در انگلستان مورد استفاده قرار می گیرد.


هفته ی گذشته آمریکا اعلام کرد که تحریم ها علیه نهادهای جاسوسی در روسیه و بیش از ۱۰ نفر دیگر در راستای دخالت دولت روسیه در انتخابات ریاست جمهوری آمریکا در سال ۲۰۱۶ میلادی، انجام حملات سایبری مانند باج‌افزار NotPetya و هدف قرار دادن بخش‌های انرژی است. در ادامه نیز دولت روسیه، مسئول تمام حملات گروه‌های Dragonfly ،Crouching Yeti و Energetic Bear معرفی شد.


اخطاری که سال گذشته توسط مرکز امنیت ملی سایبری انگلستان منتشر شد، نشان داد که نفوذگران با بهره‌برداری از پروتکل SMB بخش‌های انرژی را در این کشور هدف قرار داده و پسوردهای سیستم‌ها را به سرقت می‌برند. گفته می‌شود در حملاتی که بخش‌های انرژی را هدف قرار می‌دهد از روش‌های فیشینگ بهره‌برداری می‌شود.


وقتی ایمیل فیشینگ توسط قربانی باز می‌شود، یک فایل الگو واکشی شده و تلاش می‌کند تا توسط یک سرور SMB در راه دور که تحت کنترل نفوذگران است، احراز هویت شود. وقتی یک سند مخرب توسط مایکروسافت ورد باز می‌شود، یک فایل الگو را از سرور راه دور SMB بارگذاری می‌کند. وقتی دستگاه هدف تلاش می‌کند به سرور SMB متصل شود، با گواهی‌نامه‌های دامنه‌ی کاربر جاری در ویندوز احراز هویت می‌شود که به دست مهاجمان نیز خواهد رسید.


محققان اعلام کردند باتوجه به این گواهی‌نامه‌ها هنگام ارسال به سرور رمزنگاری می‌شوند، مهاجمان با دست یافتن به آن‌ها و صرف زمان به مدت چند ساعت یا چند روز، می‌توانند گواهی‌نامه‌ها را بازیابی کنند. در ادامه از این گواهی‌نامه‌ها برای هدف قرار دادن بخش انرژی در انگلستان استفاده شده است.


یکی از نکات جالب در این حملات، آدرس IP سرور SMB است که متعلق به یک نهاد دولتی در ویتنام است. یکی دیگر از آدرس‌های IP مربوط به یک مسیریاب هسته‌ای سیسکو است که منقضی شده است. استفاده از زیرساخت مسیریاب‌های آلوده برای جمع‌آوری گواهی‌نامه‌ها و زیرساخت دستور و کنترل، روش جدیدی نیست ولی تشخیص آن مشکل است.


دلیل مشکل بودن این شناسایی روند آلوده‌سازی مسیریاب است که ثابت‌افزار آن را تحت تاثیر قرار می‌دهد و هنوز ابزار مناسبی برای بررسی جرم‌شناسی آن وجود ندارد. تجزیه و تحلیل‌های بعد از حمله نیز به دلیل عدم وجود رکوردهای ثبت‌شده، چالش بزرگی محسوب می‌شود. استفاده از چنین روش‌هایی توسط نفوذگران بسیار خطرناک است چرا که وصله‌ی چنین اشکالاتی در مسیریاب‌ها راحت نیست. 
 

منبع

پست‌های مشابه

Leave a Comment