+- باشگاه کاربران روماک (https://forum.romaak.ir)
+-- انجمن: انجمن کامپیوتر، سرور و شبکه (https://forum.romaak.ir/forumdisplay.php?fid=3)
+--- انجمن: هک و امنیت (https://forum.romaak.ir/forumdisplay.php?fid=5)
+--- موضوع: حمله متقابل مجرمین سایبری Naikon و Hellsing (/showthread.php?tid=585)
حمله متقابل مجرمین سایبری Naikon و Hellsing - saman - ۹۴/۸/۲۷
شرکت کسپرسکی اخیراً گزارشی از مورد نادری در دنیای سایبری منتشر نموده است مبنی بر آنکه دو گروه از مجرمین سایبری اقدام به حمله علیه یکدیگر نمودهاند.
در سال ۲۰۱۴ گروهی کوچک از جاسوسان سایبری با نام Hellsing که شاید از شهرت زیادی برخوردار نبودند و هدف اصلی آنها جاسوسی از سازمانهای دولتی و سیاسی آسیا بود مورد حمله فیشینگ هدفمند گروهی دیگر قرار گرفت و در دفاع متقابل تصمیم به حمله گرفتند.
کسپرسکی در همان زمان اعلام نمود که این حمله سایبری میتواند ظهور شکل جدیدی از فعالیتهای حوزه جرایم سایبری مانند حملات تهدیدآمیز پیشرفته و مستمر (the APT wars)را رقم بزند.
این مورد از سوی متخصصین شرکت کسپرسکی در حین تحقیقات در حوزه فعالیت گروه جاسوسی سایبری Naikon (گروهی با هدف حمله به سازمانهای منطقه آسیا و اقیانوس آرام) شناسایی شده بود.کارشناسان شرکت کسپرسکی پی بردند که یکی از قربانیان یا اهداف گروه Naikon متوجه ایمیل فیشینگ هدفمند این گروه که حاوی بدافزاری برای آلودهسازی سیستمهای هدف بود شده بودند.
سازمان مورد حمله یا مخاطب این ایمیل ضمن سوءظن در خصوص جعلی بودن این ایمیل و ارسال کننده آن،فایل پیوست را باز ننمود و مدتی کوتاه پس از آن اقدام به ارسال ایمیلی به آدرس ارسال کننده ایمیل قبلی نمود که همان فایل بدان پیوست شده بود.این امر توجه کارشناسان کسپرسکی را برانگیخت و منجر به شناسایی گروه حمله مستمر و پیشرفتهی Hellsing گردید.
طبق این نوع حمله متقابل،Hellsing تصمیم بر شناسایی گروه Naikon و کسب اطلاعات بیشتر در خصوص استراتژی حملات آنها داشته است.
تحلیل مفصلتر شرکت کسپرسکی از تیم Hellsing همچنین ردی از ایمیلهای فیشینگ هدفمند (spear phishing emails) را نشان میدهد که با هدف تکثیر بدافزارهای جاسوسی در میان سازمانهای مختلف دیگر طراحی و ارسال شده است.در صورتی که یک کاربر یا کارمند در سازمان قربانی فایل پیوست را باز نماید،سیستم آنها به یک نوع خاص از بدافزارهای backdoor آلوده میشود که قادر به دانلود و آپلود فایلهای مختلف و بروزرسانی یا حذف خود میباشد.طبق بررسی های شرکت کسپرسکی،تعداد سازمانهای مورد هدف این حمله از سوی تیم Hellsing به ۲۰ میرسد.
اهداف Hellsing
شرکت کسپرسکی تاکنون موفق به شناسایی و مسدودسازی بدافزار Hellsing در کشورهای مختلفی از جمله مالزی، فیلیپین، هند، اندونزی و آمریکا شده است که البته تعداد قابل توجهی از قربانیان در کشورهای مالزی و فیلیپین بوده اند.همچنین بر اساس موارد شناسایی شده مشخص شده است که این گروه بیشتر سازمانهای دولتی و سیاسی را مورد هدف قرار داده است.
Costin Raiu،مدیر تیم پژوهش و بررسی جهانی شرکت کسپرسکی اظهار داشت:"مورد هدف قرار گرفتن گروه Naikon از سوی Hellsing را که سبک آن ما را به یاد فیلم "حمله متقابل امپراطوری" (Empire Strikes Back) انداخت و میتوان آن را انتقام جویانه دانست در نوع خود بینظیر بوده است.در گذشته مشاهده می شد که گروههای مجرم سایبری با اقدام به حمله به لیست مخاطبین قربانیان اولیه خود به شکلی ناخواسته گروههای سودجوی دیگری را نیز مخاطب حملات یا ایملیهای خود قرار میدادند.
بنابر بررسیهای شرکت کسپرسکی،تهدیدات Hellsing از سال ۲۰۱۲ آغاز شده و همچنان ادامه دارد.
راهکارهای حفاظتی کسپرسکی برای کاربران و سازمانها
برای محافظت در مقابل حملات Hellsing،شرکت کسپرسکی توصیه های زیر را بری کاربران و سازمانهای مختلف ارائه نموده است:
- فایلهای پیوست یا attachment های مشکوک را که ارسال کننده آن را نیز نمیشناسید به هیچ وجه باز ننمایید.
- مراقب فایلهای فشردهای که روی آنها پسورد گذاشته شده و حاوی فایلهای SCR یا سایر فایلهای اجرایی است باشید.
- اگر در مورد فایلهای پیوست اطمینان ندارید، آن را در یک sandbox باز نمایید.(sandbox یا جعبه شنی، ابزاری است برای بازکردن ایمن فایلها یا ایمیلهای مشکوک تا آسیبی به سیستم نرسد.)
- اطمینان حاصل نمایید که از نسخه جدیدی از سیستم عامل استفاده میکنید که آخرین بستههای اصلاحی و بروزرسانی نیز روی آن نصب شده است.
- تمامی نرم افزارهای مهم خود را از جمله Microsoft Office، Java، Adobe Flash Player، و Adobe Reader، و همچنین مرورگر اینترنت خود را حتماً بروز نگاه دارید.
در سال ۲۰۱۴ گروهی کوچک از جاسوسان سایبری با نام Hellsing که شاید از شهرت زیادی برخوردار نبودند و هدف اصلی آنها جاسوسی از سازمانهای دولتی و سیاسی آسیا بود مورد حمله فیشینگ هدفمند گروهی دیگر قرار گرفت و در دفاع متقابل تصمیم به حمله گرفتند.
کسپرسکی در همان زمان اعلام نمود که این حمله سایبری میتواند ظهور شکل جدیدی از فعالیتهای حوزه جرایم سایبری مانند حملات تهدیدآمیز پیشرفته و مستمر (the APT wars)را رقم بزند.
این مورد از سوی متخصصین شرکت کسپرسکی در حین تحقیقات در حوزه فعالیت گروه جاسوسی سایبری Naikon (گروهی با هدف حمله به سازمانهای منطقه آسیا و اقیانوس آرام) شناسایی شده بود.کارشناسان شرکت کسپرسکی پی بردند که یکی از قربانیان یا اهداف گروه Naikon متوجه ایمیل فیشینگ هدفمند این گروه که حاوی بدافزاری برای آلودهسازی سیستمهای هدف بود شده بودند.
سازمان مورد حمله یا مخاطب این ایمیل ضمن سوءظن در خصوص جعلی بودن این ایمیل و ارسال کننده آن،فایل پیوست را باز ننمود و مدتی کوتاه پس از آن اقدام به ارسال ایمیلی به آدرس ارسال کننده ایمیل قبلی نمود که همان فایل بدان پیوست شده بود.این امر توجه کارشناسان کسپرسکی را برانگیخت و منجر به شناسایی گروه حمله مستمر و پیشرفتهی Hellsing گردید.
طبق این نوع حمله متقابل،Hellsing تصمیم بر شناسایی گروه Naikon و کسب اطلاعات بیشتر در خصوص استراتژی حملات آنها داشته است.
تحلیل مفصلتر شرکت کسپرسکی از تیم Hellsing همچنین ردی از ایمیلهای فیشینگ هدفمند (spear phishing emails) را نشان میدهد که با هدف تکثیر بدافزارهای جاسوسی در میان سازمانهای مختلف دیگر طراحی و ارسال شده است.در صورتی که یک کاربر یا کارمند در سازمان قربانی فایل پیوست را باز نماید،سیستم آنها به یک نوع خاص از بدافزارهای backdoor آلوده میشود که قادر به دانلود و آپلود فایلهای مختلف و بروزرسانی یا حذف خود میباشد.طبق بررسی های شرکت کسپرسکی،تعداد سازمانهای مورد هدف این حمله از سوی تیم Hellsing به ۲۰ میرسد.
اهداف Hellsing
شرکت کسپرسکی تاکنون موفق به شناسایی و مسدودسازی بدافزار Hellsing در کشورهای مختلفی از جمله مالزی، فیلیپین، هند، اندونزی و آمریکا شده است که البته تعداد قابل توجهی از قربانیان در کشورهای مالزی و فیلیپین بوده اند.همچنین بر اساس موارد شناسایی شده مشخص شده است که این گروه بیشتر سازمانهای دولتی و سیاسی را مورد هدف قرار داده است.
Costin Raiu،مدیر تیم پژوهش و بررسی جهانی شرکت کسپرسکی اظهار داشت:"مورد هدف قرار گرفتن گروه Naikon از سوی Hellsing را که سبک آن ما را به یاد فیلم "حمله متقابل امپراطوری" (Empire Strikes Back) انداخت و میتوان آن را انتقام جویانه دانست در نوع خود بینظیر بوده است.در گذشته مشاهده می شد که گروههای مجرم سایبری با اقدام به حمله به لیست مخاطبین قربانیان اولیه خود به شکلی ناخواسته گروههای سودجوی دیگری را نیز مخاطب حملات یا ایملیهای خود قرار میدادند.
بنابر بررسیهای شرکت کسپرسکی،تهدیدات Hellsing از سال ۲۰۱۲ آغاز شده و همچنان ادامه دارد.
راهکارهای حفاظتی کسپرسکی برای کاربران و سازمانها
برای محافظت در مقابل حملات Hellsing،شرکت کسپرسکی توصیه های زیر را بری کاربران و سازمانهای مختلف ارائه نموده است:
- فایلهای پیوست یا attachment های مشکوک را که ارسال کننده آن را نیز نمیشناسید به هیچ وجه باز ننمایید.
- مراقب فایلهای فشردهای که روی آنها پسورد گذاشته شده و حاوی فایلهای SCR یا سایر فایلهای اجرایی است باشید.
- اگر در مورد فایلهای پیوست اطمینان ندارید، آن را در یک sandbox باز نمایید.(sandbox یا جعبه شنی، ابزاری است برای بازکردن ایمن فایلها یا ایمیلهای مشکوک تا آسیبی به سیستم نرسد.)
- اطمینان حاصل نمایید که از نسخه جدیدی از سیستم عامل استفاده میکنید که آخرین بستههای اصلاحی و بروزرسانی نیز روی آن نصب شده است.
- تمامی نرم افزارهای مهم خود را از جمله Microsoft Office، Java، Adobe Flash Player، و Adobe Reader، و همچنین مرورگر اینترنت خود را حتماً بروز نگاه دارید.