شرکت کسپرسکی اخیراً گزارشی از مورد نادری در دنیای سایبری منتشر نموده است مبنی بر آنکه دو گروه از مجرمین سایبری اقدام به حمله علیه یکدیگر نمودهاند. در سال 2014، گروهی کوچک از جاسوسان سایبری با نام Hellsing که شاید از شهرت زیادی برخوردار نبودند و هدف اصلی آنها جاسوسی از سازمانهای دولتی و سیاسی آسیا بود مورد حمله فیشینگ هدفمند گروهی دیگر قرار گرفت و در دفاع متقابلتصمیم به حمله گرفتند. کسپرسکی* در همان زمان اعلام نمود که این حمله سایبری میتواند ظهور شکل جدیدی از فعالیتهای حوزه جرایم سایبری را رقم بزند: حملات تهدیدآمیز پیشرفته و مستمر (the APT wars).
این مورد از سوی متخصصین شرکت کسپرسکی در حین تحقیقات در حوزه فعالیت گروه جاسوسی سایبری Naikon (گروهی با هدف حمله به سازمانهای منطقه آسیا و اقیانوس آرام) شناسایی شده بود. کارشناسان شرکت کسپرسکی پی بردند که یکی از قربانیان یا اهداف گروه Naikon متوجه ایمیل فیشینگ هدفمند این گروه که حاوی بدافزاری برای آلوده سازی سیستم های هدف بود شده بودند.
سازمان مورد حمله یا مخاطب این ایمیل ضمن سوءظن در خصوص جعلی بودن این ایمیل و ارسال کننده آن، فایل پیوست را باز ننمود و مدتی کوتاه پس از آن، اقدام به ارسال ایمیلی به آدرس ارسال کننده ایمیل قبلی، نمود که همان فایل بدان پیوست شده بود. این امر توجه کارشناسان کسپرسکی را برانگیخت و منجر به شناسایی گروه حمله مستمر و پیشرفتهی Hellsingگردید.
طبق این نوع حمله متقابل، Hellsingتصمیم بر شناسایی گروه Naikonو کسب اطلاعات بیشتر در خصوص استراتژی حملات آنها داشته است.
تحلیل مفصلتر شرکت کسپرسکی از تیم Hellsing همچنین ردی از ایمیلهای فیشینگ هدفمند (spear phishing emails) را نشان میدهد که با هدف تکثیر بدافزارهای جاسوسی در میان سازمانهای مختلف دیگر طراحی و ارسال میشده است. در صورتی که یک کاربر یا کارمند در سازمان قربانی فایل پیوست را باز نماید، سیستم آنها به یک نوع خاص از بدافزارهای backdoor آلوده میشود که قادر به دانلود و آپلود فایلهای مختلف، و بروزرسانی یا حذف خود میباشد. طبق بررسی های شرکت کسپرسکی، سازمانهای مورد هدف این حمله از سوی تیم Hellsing به 20 میرسد.
اهداف Hellsing
شرکت کسپرسکی تاکنون مؤفق به شناسایی و مسدودسازی بدافزار Hellsing در کشورهای مختلفی از جمله مالزی، فیلیپین، هند، اندونزی و آمریکا شده است که البته تعداد قابل توجهی از قربانیان در کشورهای مالزی و فیلیپین بوده اند. همچنین بر اساس موارد شناسایی شده، مشخص است که این گروه بیشتر سازمانهای دولتی و سیاسی را مورد هدف قرار داده است.
Costin Raiu، مدیر تیم پژوهش و بررسی جهانی شرکت کسپرسکی، اظهار داشت: "مورد هدف قرار گرفتن گروه Naikon از سوی Hellsingرا که سبک آن ما را بیاد فیلم "حمله متقابل امپراتوری" (Empire Strikes Back) انداخت و میتوان آن را انتقام جویانه دانست، در نوع خود بینظیر بوده است. در گذشته مشاهده میشد که گروههای مجرم سایبری با اقدام به حمله به لیست مخاطبین قربانیان اولیه خود، بشکلی ناخواسته گروههای سودجوی دیگری را نیز مخاطب حملات یا ایملیهای خود قرار میدادند.
بنابر بررسیهای شرکت کسپرسکی، تهدیدات Hellsing از سال 2012 آغاز شده و همچنان ادامه دارد.
راهکارهای حفاظتی برای کاربران و سازمانها
برای محافظت در مقابل حملات Hellsing، شرکت کسپرسکی توصیه های زیر را بری کاربران و سازمانهای مختلف ارائه نموده است:
- فایلهای پیوست یا attachment های مشکوک را که ارسال کننده آن را نیز نمیشناسید به هیچ وجه باز ننمایید؛
- مراقب فایلهای فشردهای که روی آنها پسورد گذاشته شده و حاوی فایلهای SCR یا سایر فایلهای اجرایی است باشید
- اگر در مورد فایلهای پیوست اطمینان ندارید، آن را در یک sandbox باز نمایید. (sandbox یا جعبه شنی، ابزاری است برای بازکردن ایمن فایلها یا ایمیلهای مشکوک تا آسیبی به سیستم نرسد.)
- اطمینان حاصل نمایید که از نسخه جدیدی از سیستم عامل استفاده میکنید که آخرین بستههای اصلاحی و بروزرسانی نیز روی آن نصب شده است.
- تمامی نرم افزارهای مهم خود را از جمله Microsoft Office، Java، Adobe Flash Player، و Adobe Reader، و همچنین مرورگر اینترنت خود را حتماً بروز نگاه دارید.
لازم به ذکر است، تمامی محصولات آنتی ویروس کسپرسکی، از جمله کسپرسکی آنتی ویروس، کسپرسکی اینترنت سکیوریتی، و کسپرسکی توتال سکیوریتی (کاملترین بسته امنیتی)، بدافزارهای مورد استفاده گروههای Hellsing و Naikon را شناسایی نموده و آنها را مسدود می نمایند.
منبع: کسپرسکی آنلاین
* کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.
