slingshot
۵ اردیبهشت ۱۳۹۷

عملیات جاسوسی هک روتر “Slingshot” بیشتر از صد هدف را تحت خطر قرار داده است.

hacking-group
یک عملیات هک پیشرفته از روترها به عنوان تکیه‌گاهی برای جایگذاری جاسوس‌افزار در دستگاههای هدف واقع در خاورمیانه و آفریقا استفاده کردند. همه انواع روترها اعم از شرکتی و بزرگ، یا روتر کوچکی که در گوشه خانه‌تان خاک می‌خورد، همواره هدف جذابی برای هکرها بوده‌اند. آنها همیشه روشن و متصل هستند، و اغلب پر از آسیب‌پذیری‌های امنیتی وصله نشده هستند، و یک نقطه بررسی برای شنود اطلاعاتی که روی اینترنت پخش می‌کنید، فراهم می‌آورند. اکنون محققین امنیتی یک عملیات وسیع هکینگ را مشاهده کردند که احتمالاً با پشتیبانی دولت بوده، و از روترها به عنوان تکیه‌گاهی برای جایگذاری جاسوس‌افزار در دستگاههای هدف و حتی در شبکه استفاده می‌کند تا از این طریق همچنین در کامپیوترهایی که به این نقاط دسترسی آسیب‌دیده متصل می‌شوند جایگذاری انجام دهند.
محققین شرکت امنیتی "کاسپرسکی" ماه پیش از یک حمله هک طولانی اطلاع داده‌اند، که به "Slingshot" معروف است. آنها معتقدند طی این حمله روی بیشتر از صد دستگاه هدف در بیشتر از ۱۱ کشور جاسوس‌افزار جایگذاری کرده‌اند، که اکثر دستگاه‌ها در کنیا و یمن بوده‌اند. هکرها با بدست گیری کنترل کامل دستگاههای هدف، به پایین‌ترین سطح سیستم عامل یعنی همان هسته کامپیوترهای قربانی دسترسی یافتند. هنوز محققین "کاسپرسکی" تعیین نکرده‌اند که چگونه این جاسوس‌افزار اکثر این دستگاه‌ها را آلوده کرده است. در بعضی از موارد کد مخرب از طریق روترهای کوچک تجاری فروخته شده توسط شرکت لتونی میکروتیک که هکرهای "Slingshot" آنها را دستکاری کردند، نصب شده است. بر خلاف هک‌های پیشین که بر پایه روترها بوده و آنها را بعنوان نقاط شنود استفاده می‌کردند، یا هک روترهای خانگی که بسیار رایج‌تر بوده و از آنها برای انجام حملات منع سرویس توزیع شده به منظور اختلال در وبسایت‌ها استفاده می‌شد، هکرهای "Slingshot" ظاهراً بجای این اعمال، از موقعیت روترها بعنوان سکویی پایدار استفاده می‌کنند که از طریق آن می‌توانند بدافزارها را در داخل شبکه بین کامپیوترها بهتر پخش کنند و امکان جاسوسی بیشتری را فراهم آورند. برای نمونه آلوده ساختن یک روتر در یک مرکز تجاری یا یک کافی شاپ می‌تواند دسترسی به گستره‌ی وسیعی از کاربران را فراهم کند.
 
ویسنت دیاز محقق "کاسپرسکی" میگوید: این مکانی است که نادیده گرفته شده است. اگر شخصی مسئول بررسی امنیتی یک فرد سرشناس و مهم باشد، احتمالاً روتر آخرین چیزی خواهد بود که بررسی می‌کند. آلوده ساختن صدها عدد از این روترها برای یک مهاجم کار ساده‌ای است. از این طریق می‌توان بدون اینکه شکی بوجود بیاید، داخل شبکه آنها بدافزار و اختلال وارد کرد.
hack slingshot
 
نفوذ به کافی نت ها کاستین رایو مدیر تحقیقات "کاسپرسکی" نظریه‌ای درباره اهداف "Slingshot" داده و این اهداف را کافی‌نت‌ها دانسته است. روترهای میکروتیک محبوبیت ویژه در دنیای در حال توسعه دارند، و این همانجایی است که کافی‌نت‌ها همچنان رواج دارند. زمانیکه "کاسپرسکی" وجود این جاسوس افزار را روی دستگاه‌هایی که از نرم‌افزار سطح مشتری "کاسپرسکی" استفاده می‌کردند تشخیص داد، روترهایی که توسط آن مورد حمله قرار گرفته بودند، برای شبکه‌های ده‌ها دستگاه و سیستم طراحی شده بودند. رایو میگوید: "آنها از مجوز کاربر خانگی استفاده می‌کنند، اما چه کسی سی عدد کامپیوتر در خانه دارد؟ شاید همگی این دستگاهها در کافی‌نت‌ها نباشند، اما بعضی از آنها هستند." "کاسپرسکی" بر این باور است که حمله‌ی "Slingshot" به مدت شش سال ناشناس باقی مانده است. این حمله از نرم‌افزار "Winbox" میکروتیک بهره می‌برد که برای اجرا روی سیستم کاربر طراحی شده است. این نرم‌افزار به کاربران این امکان را می‌دهد که به روتر وصل شوند و یا آن را پیکربندی و تنظیم کنند. طی این عملیات، مجموعه‌ای از کتابخانه‌های لینک پویا یا فایلهای .dll را از روتر به دستگاه کاربر دانلود می‌کند. زمانیکه یک روتر بوسیله بدافزار "Slingshot" آلوده شد، در این عملیات دانلود یک فایل تقلبی .dll خواهد داشت که زمانیکه دستگاه کاربر به این دستگاه شبکه متصل شود، این فایل به دستگاه وی منتقل می‌شود. فایل .dll مذکور بعنوان پایه‌ای در کامپیوتر هدف عمل می‌کند، و مجموعه‌ای از ماژول‌های جاسوس‌افزار به روی کامپیوتر هدف دانلود می‌شود. تعداد زیادی از این ماژول‌ها مانند اکثر برنامه‌های دیگر، در حالت کاربری معمولی عمل می‌کنند. اما ماژول دیگری که تحت عنوان "Cahnadr" شناخته شده است، با دسترسی‌های سطح پایین‌تر هسته اجرا می‌شود. "کاسپرسکی" این جاسوس‌افزار هسته را هماهنگ‌ساز اصلی در آلوده‌سازی چندگانه‌ی سیستم توسط "Slingshot" می‌داند. ماژولهای جاسوس افزار با هم قادرند اسکرین‌شات‌هایی گرفته و جمع‌آوری کنند، اطلاعات پنجره‌های باز شده را بخوانند، محتوای هارد و هر وسیله جانبی دیگر را بخوانند، بر شبکه محلی نظارت کنند و کلیدهای فشار داده شده و رمزهای عبور را به سرقت ببرند. به گمان رایو احتمال دارد که "Slingshot" از حمله روتر برای آلوده سازی دستگاه مدیر یک کافی‌نت استفاده کند، و سپس از این دسترسی برای آلوده ساختن کامپیوترهای مشتریان استفاده کند. از نظر وی اینکار بسیار ظریف و هوشمندانه است.     یک نقطه حمله‌ی ناشناس هنوز سؤالات بی جواب زیادی درباره "Slingshot" وجود دارد. "کاسپرسکی" هنوز نمی‌داند که آیا روترها بعنوان پایه حملات "Slingshot" عمل کرده‌اند یا خیر. همچنین این شرکت بطور قطعی نمی‌داند که نقطه شروع آلودگی در روترهای میکروتیک چگونه بوجود آمده و مورد استفاده قرار گرفته است. یک عملیات هک روتر میکروتیک پیش‌تر با استفاده از یک ابزار هک سازمان سیا تحت عنوان "ChimayRed" صورت گرفته بود. میکروتیک درحالی به این رخنه امنیتی طی یک اطلاعیه پاسخ داده بود که ادعا کرده بود این روش در نسخه‌های جدید نرم‌افزارهایش قابل پیاده‌سازی نیست. زمانیکه از این شرکت درباره تحقیقات "کاسپرسکی" سوال پرسیده شد، اشاره کرد که موفقیت حمله "ChimayRed" نیازمند غیرفعال بودن فایروال روتر است، که باید بطور پیش‌فرض فعال باشد. یک سخنگوی میکروتیک در پاسخ به سوالات گفت که این حمله نتوانسته دستگاه‌های زیادی را آلوده سازد، و تنها در موارد نادری موفق بوده که فردی دستگاهش را بطور نادرست تنظیم و پیکربندی کرده باشد. از سوی دیگر "کاسپرسکی" طی پستی در وبلاگ خود درباره "Slingshot" نوشته که این شرکت هنوز تایید نکرده که ابزار مورد استفاده هکرها در این حمله به روترهای میکروتیک، اکسپلویت "ChimayRed" بوده و یا آسیب پذیری دیگری بوده است. اما خاطرنشان کرده است که آخرین نسخه روترهای میکروتیک، نرم‌افزاری را روی کامپیوتر کاربر نصب نمی‌کند، و با این کار مسیر آلوده‌سازی کامپیوترها توسط "Slingshot" را از میان برداشته است.   اثر انگشت‌های "Five-Eyes" اگرچه ممکن است روشهای نفوذ "Slingshot" رمزآلود بنظر برسد، اما سیاست جغرافیایی پشت آن ممکن است ترسناک‌تر باشد. "کاسپرسکی" می‌گوید که قادر نیست تعیین کند چه کسانی پشت این حمله جاسوسی سایبری هستند. اما با مشاهده پیچیدگی آن می‌توان حدس زد که این کار یک دولت است، و همچنین از نشانه‌های نوشتاری داخل کد بدافزار گمان می‌شود که توسعه دهندگان آن، انگلیسی زبان هستند. این بدافزار علاوه بر یمن و کنیا، قربانیان دیگری در عراق، افغامستان، سومالی، لیبی، کونگو، ترکیه، اردن و تانزانیا داشته است. اما این مسئله که تعدادی از این کشورها شاهد عملیات نظامی فعال دولت آمریکا هستند، و از سوی دیگر شرکت روسی "کاسپرسکی" که به ارتباط با سازمانهای اطلاعاتی کرملین متهم شده و اکنون توسط شبکه‌های دولت آمریکا فعالیتش منع شده است، ممکن است نشان از یک عملیات سرّی هک توسط دولت آمریکا یا یکی از متحدان انگلیسی زبان "Five-Eyes" باشند. لازم به ذکر است که  "Five-Eyes" نام پیمانی امنیتی بین پنج کشور برای همکاری در برنامه‌های جاسوسی آنهاست، که این کشورها ایالات متحده آمریکا، استرالیا، نیوزیلند، بریتانیا و کانادا می‌باشند. اما "Slingshot" می‌تواند اقدامی از سرویسهای اطلاعاتی فرانسوی، اسرائیلی و یا حتی روسی باشد، که بخواهند از این طریق از نقطه ضعف‌های تروریسم استفاده کنند. جیک ویلیامز یکی از کارمندان سابق سازمان امنیت ملی آمریکا، و موسس شرکت "Rendition Infosec" بر این باور است که هیچ یک از یافته‌های "کاسپرسکی" نمی‌تواند نشان‌دهنده‌ی ملیّت هکرهای "Slingshot" باشند. او همچنین به شباهت برخی روش‌های این هکرها به روش‌های بکار برده شده توسط گروه هکر روسی تحت پشتیبانی دولت با نام "Turla" و شبکه‌های جنایی روسی اشاره کرد. وی افزود :"بدون تحقیقات بیشتر، تشخیص این مسئله بسیار ضعیف خواهد بود. اگر این عملیات توسط "Five-Eyes"بوده باشد، مشکلی در آن دیده نمی‌شود، چرا که کار آنها همین است، یعنی افشای گروه‌های هک تحت حمایت دولت." "کاسپرسکی" تأکید کرد که نمی‌داند چه کسی مسئول این حمله است، و این شرکت تنها به دنیال محافظت از مشتریان خود است. الکسی شولمین از محققین کاسپرسکی می‌گوید: "قانون اصلی برای ما یافتن بدافزارهاست و برای ما مهم نیست که منشاء آن کجاست." صرف نظر از اینکه چه کسی پشت این حمله قرار دارد، اکنون با حذف ویژگی مورد استفاده‌ی هکرها توسط میکروتیک، آنها ممکن است مجبور به توسعه‌ی راههای جدیدی برای نفوذ شده باشند. "کاسپرسکی" هشدار داده است که حملات جاسوسی دیگر مثل گذشته از روش‌های حمله سنتی مانند کامپیوترها و سرورها بهره نمی‌برند، بلکه به دنبال هر دستگاهی هستند تا از طریق آن به اهدافشان برسند. دیاز همچنین می‌گوید که دید ما بسیار جزئی است و به دستگاه‌های شبیه توجه نداریم و درحالیکه جای مناسبی برای مخفی شدن هستند. روترهای تحت محاصره اگر جاسوس‌ها از "Slingshot" خوششان می‌آمد، باید به "Krack" بسیار علاقمند می‌شدند. " Krack" یک آسیب‌پذیری وای-فای است که همه دستگاههای متصل را در مععرض خطر قرار می‌دهد. بزرگترین مشکل در رابطه با آسیب‌پذیری‌های روتر این است که اصلاح و تعمیر آنها بسیار دشوار است. این شاید دلیلی باشد بر اینکه روترهای سازمان امنیت ملی آمریکا به مدت سالهای زیادی تحت حمله قرار می‌گیرند.

منابع

وبسایت www.wired.com