با استفاده از سرقت مسیریابی BGP صورت گرفت؛

پشتیبانی هکینگ‌تیم از گروه عملیات ویژه ایتالیا

تاریخ انتشار : ۲۳ تير ۱۳۹۴

سندهای منتشرشده اثبات می‌کند که هکینگ‌تیم از گروه عملیات ویژه ایتالیا پشتیبانی می‌کند.

به گزارش گرداب به نقل از سایبربان پس از انتشار 400 گیگ اطلاعات از هکینگ‌تیم که شامل ایمیل‌ها، سندها، جاسوسی‌ها و آسیب‌پذیری‌های استفاده‌شده توسط این گروه بود، با بررسی ایمیل‌ها مشخص‌شده است در سال 2013، هکینگ‌تیم، فضای آدرس اینترنتی مربوط به آی‌اس‌پی‌ها را سرقت کرده است.

این آی‌اس‌پی‌ها از آن دست آی‌اس‌پی‌هایی هستند که در اصطلاح به آنان دوستدار هرزنامه می‌گویند. یعنی قوانین خیلی سختی برای مبارزه با ارسال هرزنامه ندارند. در لیست آی‌اس‌پی‌های دوستدار هرزنامه، نام آی‌اس‌پی‌های بزرگ هم دیده می‌شود!

این سرقت به این دلیل پیاده‌سازی شد تا به پلیس نظامی ملی ایتالیا در جاسوسی کمک شود. هم‌چنین این گروه هک، بدافزارهای جاسوسی خود را به هرکه در سراسر جهان خواستار آن است می‌فروشد که ازجمله مشتریانش دولت‌ها و سازمان‌های جاسوسی هستند. این گروه بسیاری از بدافزارهای کنترل از راه دور (RAT) خود، که بانام Remote Control System یا RCS شناخته می‌شود، به این سازمان‌ها ازجمله گروه عملیات ویژه یا ROS می‌فروشد. ROS هم این بدافزارها را بر روی هر سامانه‌ای که علاقه‌مند باشد نصب می‌کند.

هکینگ‌تیم برای ROS، یک شبکه جاسوسی قدرتمند پیاده‌سازی کرده است که دارای چندین وظیفه مهم است. این وظیفه‌ها بسیار شبیه هدف‌های  هکرهای کلاه‌سیاه و اسپمرها است تا بات‌نت خود را حفظ کنند.

بر اساس سندهای موجود، در سال 2013 هکینگ‌تیم، کنترل سرور ROS  را در آی‌اس‌پی Santrex مخفی کرده بود. این آی‌اس‌پی معمولاً توسط هکرهای اسپمر استفاده می‌شود. پس‌ازاین کار و مدتی بعد، آی‌اس‌پی Santrex به دلیل مشکلات شبکه داخلی، دیگر نتوانست سرویسی ارائه دهد. بدین ترتیب آی‌پی 46.166.163.0/24 از کار افتاد و ROS کنترل خود به سرورش بانام Anonymizer در آی‌پی 46.166.163.175 را از دست داد. هم‌چنین بر اساس ایمیل‌های منتشرشده سرورCollector سرور پشتیبان Anonymizer و ارسال‌کننده به‌روزرسانی‌های لازم به آن بود و برای ROS به‌منظور بازیابی اطلاعات مهم بود.

به دلیل قطع Stantrex، گروه ROS کنترل سرور شبکه جاسوسی خود را از دست داد و به دنبال راهی برای بازگشت آن بود. با گزارش این موضوع به هکینگ‌تیم، نقشه جدیدی به‌منظور دسترسی دوباره به این سرور پیاده‌سازی شد. این نقشه، سرقت مسیریابی BGP بود. بدین ترتیب با تغییر مسیر ترافیک داده خود می‌توانستند زیرساخت سامانه هک خود را دوباره بازیابی کنند.

کار بدین‌صورت بود که باید آی‌پی 46.166.163.0/24 دوباره قابل‌دسترسی شود. این کار با انتشار این آی‌پی در شبکه BGP عملی می‌شد و AS آی‌اس‌پی Santrex با شماره 57668 این کار را انجام می‌داد. با خارج شدن این AS، باید AS دیگری این وظیفه را انجام می‌داد.

بر اساس گزارش ویکی‌لیکس، ROS در همکاری با شبکه ایتالیا با AS به شماره 31034 بانام Aruba S.p.A، توانست آی‌پی 46.166.163.0/24 را دوباره به شبکه BGP اعلام کند. بدین ترتیب ROS توانست به سرور Anonymizer با آی‌پی 46.166.163.175 در 22 اوت دسترسی داشته باشد. ROS هم‌چنین مطمئن شد که دیگر ISPها این آی‌پی را فیلتر نکنند.

پشتیبانی هکینگ‌تیم از گروه عملیات ویژه ایتالیا

همان‌طور که در شکل زیر مشخص است، پس از اعلام آی‌پی موردنظر AS6939 که با Aruba S.p.A قبلاً جفت (peer) شده بود، آن را پذیرفت.

پشتیبانی هکینگ‌تیم از گروه عملیات ویژه ایتالیا