روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛در گذشته هکرها از نرم افزارهای مخرب فقط برای سرگرمی استفاده می کردند اما امروزه آنها با نرم افزارهای مخرب صرفا رایانه شما را آلوده نمی کنند بلکه با این کار برای خود کسب درآمد می کنند. جرائم اینترنتی تبدیل به صنعتی شده که توسط کلاهبرداران بزرگ و کوچک اداره می شود. کارشناسان حرفه ای ما به تازگی گروهی از این افراد را شناسائی کرده اند که به خود لقب "الهه دریا" داده اند. تحقیقات کارشناسان ما در مورد این گروه در اجلاس "تحلیل امنیت" سال 2016 ارائه شد.
در حالیکه این تحقیقات در سال 2016 ارائه می شد این گروه به دنبال یک حمله جدید بود. این گروه هکرها به نظر می رسید که در سال 2005 تشکیل شدند. اما اولین نمونه حمله آنها در سال 2001 کشف شد که گروه "الهه دریا " رایانه هایی که دارای سیستم عامل ویندوز از نسخه 95 تا 8.1 و ویندوز سرور 2012 را مورد حمله قرار داده بودند. این گروه یک حمله ویژه برای سقوط دامنه اصلی شبکه هایی که برای شرکتهای بزرگ بود ترتیب داد.
روش حمله "الهه دریا"
حملات معمولا با روشهای فیشینگ با آغاز می شد و در این روش آنها از هیچ هرزنامه ای استفاده نمی کردند. یعنی مجرم سایبری با یک مهندسی اجتماعی قربانی را مجاب می کرد تا یکی از نامه های مخرب آنها را باز کند.
زمانی که قربانی فقط برای یک بار فایل مخرب را دانلود کند رایانه اش به خطر می افتد که معمولا این فایل یک فایل DOC یا یک سند RTF می باشد که نرم افزارهای مخرب را در خود جای داده است. گروه "الهه دریا" ابزارهای کافی برای پنهان کردن نرم افزارهای مخربش در برابر آنتی ویروسهای مختلف داشت تا در فرآیند حمله، آنتی ویروسها هیچ کارایی نداشته باشند و نتوانند از رایانه دفاع کنند.
پس از این نرم افزار مخرب بر روی رایانه ای نصب می شد که با سرور فرماندهی در ارتباط بود. مهاجمان با انجام یک سری حملات داده های زیادی را جمع آوری می کردند و به دنبال اهرمی برای دسترسی به نقشه شبکه بودند تا بتوانند به تمام رایانه های متصل به آن حمله کنند. معمولا هدف اصلی حملات آنان دامنه کنترل ویندوز سرور در جهت سرقت اسرار و اطلاعات مهم تجاری بود.
این حملات با برنامه ریزی بسیار دقیق انجام می شدند. کارشناسان ما اعلام کردند که گروه "الهه دریا" حملات خود را برای اساس هر قربانی طراحی می کردند به همین دلیل به آنها "فروشگاه طراحی سفارشی بدافزار" هم می گفتند. دلیل اصلی طولانی شدن این حملات این بود که باید تکه آخر پازل معمای این حملات پیدا می شد که در نهایت مشخص شد که حملات از طریق رایانه های در حال اتصال صورت نمی گیرد بلکه توسط گروهی است که در سایه قرار دارند.
اطلاعاتی که "الهه دریا" جمع آوری می کرد به طور معمول برای باج خواهی از قربانی بود البته به این شکل که او را متقاعد کنند که "الهه دریا" را به عنوان یک پیمانکار امنیتی استخدام کند. گاهی اوقات هم این گروه حملات خود را پس از توافق متوقف نمی کرد یا اهداف خود را به بخشهای دیگر کمپانی نشانه می رفت. کمپین این گروه نمی توانست توسط دولت حمایت شود چون "الهه دریا" صرفا علاقه مند به جمع آوری داده های تجاری بود. ما باور داریم که این اطلاعات غالبا به اشخاص دیگری هم که توانایی پرداخت هزینه آن را داشته اند نیز فروخته شده است.
تمامی محصولات لابراتوار کسپرسکی تمامی تهدیدات "الهه دریا" را شناسایی و مسدود می کند که شامل موارد زیر می باشد:
Backdoor.Win32.Nhopro
HEUR:Backdoor.Win32.Nhopro.gen
Hacktool.Win32.Nhopro.gen
ویژگی خاص "الهه دریا" این بود که توانست برای اولین بار در بازار APT شرکتهای پرتغالی یا سرمایه گذاری های مشترک در برزیل را مورد هدف قرار دهد. قربانی های دیگری هم مشابه همین مسئله در فرانسه، هند، قزاقستان، روسیه، امارات متحده عربی و ایالات متحده آمریکا وجود داشتند.
در حال حاضر ما می دانیم که حداقل 35 قربانی اعم از نهادهای دولتی و مالی، انرژی، شرکتهای مخابراتی و سازمانهای روابط عمومی درگیر "الهه دریا" شدند. تشخیص و شناسایی حملات "الهه دریا" در خصوص تزریق نرم افزارهای مخرب به دیگر قربانیان کاری مشکل بود و کارشناسان ما اعلام کردند که قربانیان دیگری هم وجود دارند که مشخص کردن آنها در این زمان بسیار مشکل است.
لابراتوار کسپرسکی هم اکنون در حال بررسی وضعیت قربانیان این نوع آلودگی می باشد و برای کمک به آنان به منظور پیدا کردن مقاومت بیشتر برای اینگونه قربانی ها راهکار ارائه دهد. ما قادر هستیم کنترل سرورهای هک شده و آلوده را در یک زمان بدست بگیریم اما "الهه دریا" قادر است آنها را تغییر دهد و فعال کند.
این کمپین سایبری یک مثال خوب از نحوه سیاستهای امنیتی است که بدانید راه حل های امنیتی برای کسب و کارهای بزرگ بسیار واجب است. با ما برای کسب اطلاعات بیشتر در مورد APT های کشف شده در SAS 2016 که توجهات زیادی را به خود جلب کرد در ارتباط باشید.
منبع: کسپرسکی آنلاین(ایدکو)
* کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.