۸ ماه حملات سایبری اویل ریگ به دولتهایی در خاور میانه
وبسایت The Hacker News گزارش داده که گروه هکری وابسته به حکومت جمهوری اسلامی «اویل ریگ» در ۸ ماه اول سال جاری دولتهای ناشناس در خاور میانه را مکرراً مورد حملات سایبری قرار دادهاست. به گزارش این وبسایت، هکرها در طول این عملیات گسترده به تعداد زیادی فایل و رمزعبور دسترسی پیدا کرده و حتی به نصب بکدری به نام «Powershell» در سرورها موفق شدهاست.
در حال حاضر شرکت امنیت سایبری Symantec Threat Hunter Team فعالیت این گروه را با عنوان کرمبوس «Crambus» رصد و راهگیری میکند و در این باره اطلاعیهای صادر کرده که طبق آن، گروه مذکور از کاشت افزاری استفاده میکند تا ترافیکهای ورودی و خروجی به سرور آلوده شده را مورد رصد قرار بدهد تا به وسیله آن فرمانهای مخربش را اجرا کند.
همچنین در این گزارش آمده است که این گروه دستکم به ۱۲ رایانه نفوذ و بدافزار و بکدر و کی لاگرها در آنها نصب کردهاست، امری که از یک نفوذ گستردهای حاکی است.
جالب است بدانید که استفاده از بکدر «Powershell» برای اولین بار در مه ماه سال جاری در حمله سلسلهای به شبکههای دولت امارات متحده عربی مشاهده شد. با دسترسی به سرور آلوده شده، هکر قادر است فایلهای مورد نظر خود را از سرور دریافت و به آن ارسال نماید.
روند اجرای دستورهای مخرب
طبق این گزارش، هکرها از کاراکترهای «@@» در خط موضوع استفاده میکنند تا دستورهای خود را اجرا کنند و این بدافزار حتی میتواند قانون فیلتر کردن ایمیل را ایجاد کند و بطور خودکار ایمیلهای دریافتی را به پوشه حذفشدهها منتقل کند.
بدافزارهای زیر به همراه بکدر «Powershell» در سیستم آلوده شده نصب شدند:
۱. توکل «Tokel» – برای دانلود فایلها و اجرای فرمانها.
۲. درپس «Dirps» – این یک تروجان است که فایلهای موجود در سیستم آلوده شده را میشمارد.
۳. کلیپوگ «Clipog» – برای جمعآوری اطلاعات کاربران سیستم آلوده شده.
با وجود اینکه روش دقیق نفوذ به سیستم اعلام نشده است اما این احتمال قوی وجود دارد که یک نوع حمله اسپیرفیشینگ به کار برده شد.
در ضمن، شرکت امنیت سایبری «Symantec» درباره این گروه اظهار نظر کرده که این گروه مرتب به اهداف مورد نظر ایران حمله میکند به طوریکه اکنون برای کشورهایی در خاور میانه تهدید واقعی محسوب میشود.