ایران مظنون به هک کردن یک شرکت انرژی اروپایی است | VPNoverview.com

یک گروه هکری تحت حمایت دولت مستقر در ایران مظنون است که یک شرکت اروپایی انرژی را هک کرده است. اعتقاد بر این است که این گروه در حمله خود از یک Trojan Access Remote (RAT) به نام PupyRAT استفاده کرده است.


PupyRAT چیست

توله سگ یک منبع باز منبع باز است که به طور عمده با پیتون نوشته شده است و می تواند دسترسی کامل به سیستم های قربانی را به مهاجمان بدهد. این یک بدافزار کراس پلتفرم است و به این ترتیب می تواند به چندین سیستم عامل مختلف از جمله Windows ، Linux ، OSX و Android نفوذ کند..

Trojan Access Trojan (RAT) بدافزار است که به هکرها امکان می دهد رایانه یا شبکه یک قربانی را نظارت و کنترل کنند. این مانند برنامه های دسترسی قانونی از راه دور است که اغلب توسط پشتیبانی فنی برای کمک به مشتریان در زمینه رایانه استفاده می شود.

اگرچه PupyRAT یک بدافزار منبع باز است ، اما عمدتا با کمپین های هکری تحت حمایت دولت ایران در ارتباط است. این امر به ویژه با گروه هکری تحت حمایت دولت APT 33 همراه است. APT 33 در حملات گذشته به سازمان در بخش انرژی در سراسر جهان دست داشته است.

نحوه استقرار RAT چگونه بود?

RAT ها فقط در سیستم های قبلاً به خطر افتاده قابل اجرا هستند. در این مثال ، محققان نمی دانند که چطور PupyRAT مستقر شد ، اما معتقدند که از طریق حملات فیشینگ فیش توزیع شده است.

حملات فیشینگ فیشر فقط به جای تعداد زیادی گیرنده نسبت به حملات فیشینگ عادی ، به یک گیرنده منفرد انجام می شود. مجرمان سایبری یک هدف را در یک سازمان انتخاب می کنند و از رسانه های اجتماعی و سایر اطلاعات عمومی برای کسب اطلاعات بیشتر در مورد قربانی احتمالی خود استفاده می کنند. آنها سپس نامه الکترونیکی جعلی متناسب با آن شخص تهیه کردند.

کمپین های قبلی APT 33 مهاجمین را درگیر کرده است که یک قربانی بالقوه را انتخاب کرده و اعتماد به نفس خود را قبل از ارسال یک سند مخرب از طریق ایمیل به آنها وارد کنند. در نتیجه محققان معتقدند که به احتمال زیاد از همین روش استقرار در این مورد استفاده شده است.

شواهدی از نفوذ در شرکت انرژی

گروه Insict Recorded’s Future دیروز گزارش داد که آنها شواهدی از سرور PupyRAT Command and Control (C2) در حال گفتگو با یک سرور نامه از اواخر نوامبر 2019 تا 5 ژانویه 2020 پیدا کرده اند.

گزارش گروه Insikt در ادامه توضیح می دهد: “گرچه ابرداده به تنهایی یك سازش را تأیید نمی كند ، ما ارزیابی می كنیم كه حجم زیاد و ارتباطات مكرر از سرور نامه هدفمند به PupyRAT C2 برای نشان دادن یك نفوذ احتمالی كافی است.”

سرور پست متعلق به یک سازمان بخش انرژی در اروپا است که تخصیص و تأمین منابع انرژی در اروپا را هماهنگ می کند. با توجه به نقش سازمان ، این حمله مورد توجه ویژه قرار گرفته است ، خصوصاً با توجه به افزایش نفوذهای ایرانی در نرم افزار بخش انرژی ICS.

Phil Neray ، VP از امنیت سایبری صنعتی در CyberX اظهار داشت: “با توجه به وابستگی گسترده مرزی در سراسر زیرساختهای انرژی اروپا ، به نظر می رسد این یک اقدام استراتژیک از طرف مخالف برای تمرکز روی یک هدف متمرکز به منظور تأثیرگذاری چندین کشور در در همان زمان ، شبیه به ارزش استراتژیک حمله به یک ایستگاه انتقال مرکزی مرکزی به جای ایستگاه های چند راه دور – همانطور که بازیگران تهدید روسی در حمله به شبکه 2016 اوکراین نسبت به حمله 2015 خود انجام دادند. “

اهداف مهاجمان

محققان معتقدند که این آخرین اقدام هک کردن بر روی شرکت های اروپایی در بخش انرژی یک مأموریت شناسایی بوده است. اعتقاد بر این است که این مأموریت با هدف گردآوری دانش مهم فرآیندهای نیروگاهی و سیستم های کنترل صنعتی آنها (ICS) انجام شده است. مهاجمان همچنین به دنبال شناسایی نقاط ضعف در فرآیندهای شرکت ها و زیرساخت های مهم هستند.

پریسیلا موریوچی ، مدیر توسعه تهدیدهای استراتژیک در Recorded Future توضیح می دهد: “فعال کردن عملیات یا حملات مخرب ، این نوع شناسایی و بینش چند ماهه را نسبت به رفتار مسئولان در این شرکت ها و درک اینکه چگونه یک توانایی خاص می تواند در اطلاعات یا توزیع انرژی تأثیر بگذارد ، می گیرد. منابع. “

برای کشورهایی مانند ایران که مظنون به حمایت از این گروه های هک کننده هستند ، می توان از چنین دانشی در مورد مخالفان در موارد درگیری استفاده کرد. از این اطلاعات می توان برای راه اندازی حملات سایبری برای فلج کردن بخشهای کلیدی دشمن ، مانند نیرو ، آب و حمل و نقل استفاده کرد.

با توجه به این نکته ، جالب است که به تاریخ های کمپین هک کردن توجه کنید. اینها نشان می دهد که کارزار هک کردن پیش از تنش ژئوپلیتیکی ناشی از کشته شدن ژنرال ایرانی قاسم سلیمانی آغاز شده است. در نتیجه ، این حمله سایبری نمی تواند یک حمله تلافی جویانه برای ترور سلیمانی باشد.

حملات قبلی به زیرساخت های بحرانی

حمله به سیستم های ICS و زیرساخت های مهم در سال های اخیر رو به افزایش است. دلیل این امر این است که آنها اهداف نسبتاً آسانی هستند.

مشکل اصلی سیستم های ICS و زیرساخت های مهم مانند راه آهن و نیروگاه ها این است که بیشتر آنها قبل از امنیت سایبری ساخته شده بود. بسیاری از این سیستم ها هیچ سیستم امنیتی ندارند و برخی از سیستم های ICS هنوز هم ندارند. هنگامی که آنها مجدداً با سیستم های امنیتی مجدداً نصب می شوند ، دانستن این که سوراخ ها کجا مانده اند ، همیشه آسان نیست. در واقع ، بسیاری از سیستم های ICS ، به عنوان مثال ، پر از آسیب پذیری هستند.

معروف ترین حمله به زیرساخت های مهم در سال 2012 با استفاده از بدافزار Stuxnet انجام شد. Stuxnet یک کرم رایانه ای است که به طور خاص کنترل کننده های منطق برنامه ریزی (PLC) را هدف قرار می دهد. اینها امکان اتوماسیون فرایندها و فرآیندهای صنعتی را برای کنترل ماشین آلات فراهم می آورد.

محققان بر این باورند كه استكس نت توسط اطلاعات آمریكایی و اسرائیلی ساخته شده است و برای حمله به پالایشگاه هسته ای ایران استفاده شده است. این هردو اطلاعات را جمع آوری و هزاران سانتریفیوژ مورد استفاده برای غنی سازی اورانیوم را از بین برد.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map