حملات پیشرفته یک گروه هکری جدید به مراکز دولتی در سراسر دنیا

حملات پیشرفته یک گروه هکری جدید به مراکز دولتی در سراسر دنیا
تاریخ انتشار : ۰۳ مهر ۱۴۰۰

محققان از یک گروه هکری جدید پرده برداشته‌اند که به نهاد‌هایی در سراسر دنیا حمله کرده‌اند.

به گزارش گرداب - این گروه به نام «گنجشک معروف» (FamousSparrow) ملقب شده است، یک گروه حمله مداوم پیشرفته (APT) است که به تازگی وارد فضای جاسوسی سایبری شده است. گروه‌های حمله مداوم پیشرفته معمولا با حمایت یک دولت فعالیت می‌کنند.

پژوهشگران معتقدند که این گروه حداقل از سال ۲۰۱۹ فعال بوده است و در بسیاری از حملات علیه مراکز دولت‌ها، سازمان‌ها بین‌المللی، موسسات مهندسی، شرکت‌های حقوقی و بیمارستان‌ها دست داشته است.
قربانیان این حملات موسساتی در اروپا، امارات، اسرائیل، عربستان سعودی، تایوان، بورکینافوسو و کشور‌های قاره آمریکا از جمله برزیل، کانادا و گواتمالا بودند.

موسسه ESET در این باره اعلام کرده است خطرات داده‌های فعلی نشان می‌دهد که «گنجشک معروف» یک گروه مجزا از سایر گروه‌هاست؛ بااین حال هم‌پوشانی‌های متعددی نیز دارد. در یک مورد، ابزار‌های استخراج توسط این هکر‌ها استفاده شده تا اطلاعات سرور یک مرکز فرماندهی به دست هکر‌ها بیفتد.

چیزی که این گروه جدید را برجسته می‌کند این است که این گروه به حداقل ۱۰ گروه حملات مداوم پیشرفته دیگر پیوسته است که زنجیره ProxyLogon را بیرون کشیده بود. این زنجیره یک مجموعه آسیب‌پذیری‌هاست که در ماه مارس میلادی افشا شد و از آن برای در معرض خطر قرار دادن Microsoft Exchange servers در سراسر دنیا استفاده شد.

محققان بر این باورند که این گروه در ابتدا در تاریخ ۳ مارس زنجیره ProxyLogon را بیرون کشیده بودند؛ این یعنی آن‌ها پیش از این که مایکروسافت متوجه قضیه شود و یک به‌روزرسانی فوری منتشر کند، به این ابزار دست پیدا کرده بودند.

این گروه گرایش به در معرض خطر قرار دادن نرم‌افزار‌هایی که از اینترنت استفاده می‌کنند دارد، و این مسئله تنها شامل Microsoft Exchange servers نمی‌شود؛ Microsoft SharePoint و Opera نیز در معرض خطر قرار گرفته بودند.

گروه «گنجشک معروف» تنها گروه حملات پیشرفته شناخته شده است که از یک ورودی پنهان اختصاصی استفاده می‌کنند که به آن «درب گنجشک» گفته می‌شود. این ورودی پنهان از طریق یک بارکننده (loader) و جستجوگر DLL ایجاد می‌شود و هنگامی که مستقر شد، پیوندی به مرکز فرماندهی هکر‌ها ایجاد می‌شود که از آن برای بیرون کشیدن اطلاعات استفاده می‌شود.

افزون بر این گروه «گنجشک معروف» به خاطر داشتن دو نسخه از ابزار استخراج رمزعبور متن باز و کیت آزمایش نفوذ قانونی شناخته می‌شوند. این ابزار‌ها به شکل وسیعی توسط مجرمان سایبری استفاده می‌شود.

این مسئله بار دیگر به ما نشان می‌دهد که به روزرسانی امنیتی نرم‌افزار‌های اینترنتی ضرورتی دوچندان دارد و اگر نمی‌توان آن‌ها را به سرعت به‌روزرسانی کرد، بهتر است آن‌ها در اینترنت قرار نداد. این که اهداف گروه گنجشک معروف بیشتر دولت‌ها هستند، نشان‌دهنده این است که هدف آن‌ها جاسوسی بین‌المللی است.