فیلترشکنی که هیچ‌ وقت دوست ندارید آن را دانلود کنید

۲۴ آبان ۱۳۹۸ - 10:59

فیلترشکنی که هیچ‌ وقت دوست ندارد آن را دانلود کنید

اخبرا محققان امنیتی دریافته‌اند که یکی از گروه‌های هکری تحت حمایت دولت ایران، فیلترشکن شخصی خود را به منظور هک‌کردن، شناسایی و حتی مرور فعالیت‌های روزانه‌ی کاربران در فضای اینترنت گسترش داده است و اکنون در حال بهره‌برداری از آمارها و اطلاعات دریافتی از طریق این فیلترشکن به سود دولت ایران می‌باشد.

بر اساس تحقیقات جدید Trend Micro، این گروه با نام APT33 فعالیت می‌نماید و به عنوان بزرگترین و پیشرفته‌ترین واحد هکری ایران شناخته می‌شود. این گروه در سال ۲۰۱۲ میلادی مسئولیت توسعه‌ی بدافزار Shamoon را برعهده داشت که این بدافزار با هدف پاک کردن هارددیسک‌های بیش از ۳۵۰۰۰ ایستگاه کاری در شرکت Aramco عربستان سعودی طراحی و توسعه یافت. Aramco یکی از بزرگترین شرکت‌های نفتی عربستان سعودی با زیرساخت‌های قدرتمند می‌باشد.

این گروه اخیرا دوباره فعالیت خود را از سر گرفته است تا یک سری حملات جدید به منظور هدف قرار دادن صنایع نفتی و حمل و نقل هوایی طراحی و تنظیم نماید. تاکنون (سال ۲۰۱۹ میلادی) APT33 توانسته است یک شرکت آمریکایی که در حوزه‌ی ارائه‌ی امنیت‌های سایبری برای دانشگاه‌ها و کالج‌های ایالات متحده فعالیت می‌نماید را آلوده نموده و تشکیلات مرتبط با ارتش آمریکا را نیز قربانی نماید. حتی توانسته است برخی از سرویس کمپانی‌های فعال در خاورمیانه و آسیای شرقی را نیز آلوده نماید.

اکنون در حالی که Trend Micro در حال بررسی آخرین حملات مربوط به این گروه هکری بود و توانست بینش بسیار خوبی در مورد نحوه‌ی مدیریت APT33 و زیرساخت‌های هکری آن‌ها کسب نماید.

APT33

محققان Trend Micro دریافته‌اند که APT33 از چهار لایه‌‌ی امنیتی بین اپراتور و قربانی استفاده می‌کنند تا قابلیت شناسایی آن‌ها غیر ممکن گردد. ابتدا آن‌ها به منظور مخفی کردن آی‌پی آدرس‌ها و محل‌های اصلی اپراتورهایشان از یک شبکه‌ی اختصاصی و بومی ساخته شده از فیلترشکن استفاده می‌کنند، سپس یک لایه‌ی کنترل bot تولید می‌کنند که از سرورهای واسطه تشکیل شده است و در نهایت یک لایه با پس‌زمینه‌ی C&C ایجاد می‌کنند تا بتوانند بدافزار خو را مدیریت نمایند. سرانجام بات‌نت‌ها و لایه‌های سروری پروکسی توسط سرورهای C&C به منظور مخفی کردن میزبان‌های آلوده مورد استفاده و بهره‌برداری قرار می‌گیرند.

به هر حال بزرگترین افشاگری محققان Trend Micro این واقعیت بود که APT33 با این هدف راه‌اندازی شده است که بتواند با استفاده از شبکه‌ی خصوصی فیلترشکن‌های خود از سرورهای تجاری اخاذی نموده و به صورت پنهانی بتواند دایره‌ی اطلاعاتی خود را تکمیل نماید. این امر در واقع باعث می‌شود که کار گروه‌های هکری آسان‌تر گردد زیرا محققان تنها با جستجوی چند آی‌پی آدرس می‌توانند ناشناس باقی بمانند و امکان ردیابی آن‌ها غیر ممکن گردد.

محققان Trend Micro در مورد نحوه‌ی عملکرد فیلترشکن به منظور عدم ردیابی توسط وبلاگ‌ها چنین اعلام کردند که:

راه‌اندازی یک وی‌پی‌ان خصوصی با استفاده از دو سرور از دیتاسنترها در سراسر جهان و نرم‌افزارهای اوپن سورس مانند OpenVPN به راحتی قابل دسترسی می‌باشد. اگرچه اتصالات شبکه‌های خصوصی فیلترشکن‌ها هنوز از آی‌پی آدرس‌های ناشناس استفاده می‌کنند ولی ردیابی ترافیک آن‌ها بسیار آسان می‌باشد. از طرفی دیگر زمانی که می‌دانیم یک گره خروجی عمدتا توسط یک اپراتور خاص مدیریت می‌گردد، میزان اطمینان ما نسبت به این استفاده از آن بیشتر می‌شود و اتصالات آی‌پی آدرس‌های مختلف را در سیستم‌ ما در بر خواهد گرفت.

این مورد اولین باری نیست که شاهد هستیم گروه‌های هکری سعی دارند با ارائه‌ی یک فیلترشکن اختصاصی تمامی صنایع مهم و اصلی کشورهای دیگر با به غارت ببرند و فرآیند اطلاع رسانی آن‌ها را مختل نمایند. کشور چین نیز چندین سال پیش یک وی‌پی‌ان به نام APT10 راه‌اندازی کرد تا بتواند اپراتورهای موبایلی را در کشورهای مختلف تهدید نماید و به سیستم اصلی آن‌ها نفوذ کند.