کمیته رکن چهارم – کارشناسان امنیتی شرکت Dragos میگویند گروه جدیدی به نام Hexane شناسایی کرده اند.
بهتازگی کارشناسان امنیتی شرکت Dragos مدعی شدند گروه هکری جدیدی به نام Hexane شناسایی کردهاند که سیستمهای کنترل شرکتهای صنعتی، نفت و گاز و مخابرات را در خاورمیانه موردتهاجم سایبری قرار میدهد.
بر اساس ادعای شرکت امنیت سایبری دراگوس این گروه حفاظ تأسیسات را از طریق پیمانکاران معتمد با متضرر ساختن تجهیزات و نرمافزارها و شبکههای مخابراتی که توسط برخی تأسیسات بهعنوان سامانههای کنترل خودکار پروسههای فنی مورداستفاده قرار میگیرند، دور میزند. اعضای این گروه فعالیت خود را از سال ۲۰۱۸ آغاز کرده و از اسناد آلوده برای نفوذ به شبکه استفاده میکنند. نیمه اول سال ۲۰۱۹ این گروه حملات خود را روی شرکتهای نفت و گاز خاورمیانه خصوصاً کویت متمرکز کرده بودند. دراگوش همچنین مدعی شد گروه Hexane همچنین ارائهدهندگان خدمات مخابراتی را در کشورهای خاورمیانه، آفریقا و آسیای مرکزی موردتهاجم سایبری قرار داده است.
شرکت امنیت سایبری امریکایی نام برده در ادامه مدعی شد فعالیتهای مخرب Hexan بسیار شبیه به حملات گروههای هکری (APT33)Magnallium و Chrysene و Xenotime هستند، چراکه کلیه این گروهها تأسیسات نفت و گاز را مورد هدف قرار میدهند و از متدهای مشابهی بهره میگیرند. گروه (APT33) حداقل طی ۶ سال اخیر به جاسوسی سایبری مشغول بوده و از سال ۲۰۱۷ شرکت¬های بینالمللی را در ایالاتمتحده، کره جنوبی و عربستان سعودی موردتهاجم قرار می دهد. نوک پیکان حملات این گروه به سمت هوافضا، انرژی و پتروشیمی گرفتهشده است. به نظر می¬رسد این گروه به MuddyWater معروف است و یا با MuddyWater همکاری نزدیکی دارد.
این گروه در وهله نخست همیشه از حملات فیشینگ هدفدار (Spear Phishing) استفاده می¬کند، بدینصورت که به کارکنان شرکت های با مقاصد خاص (special purpose company) ایمیل هایی ارسال می گردد که آلوده به پیوست های مخرب بوده و بهدقت طراحی و موضوعبندی شده اند. این پیوست معمولاً به فرمت HTA (HTML Application) بوده و حاوی جاوا یا وی بی اسکریپت (JS -VBScript) هستند. فیشینگ ازاینجهت است که این پیوست مخرب در ویندوز بدون هیچ کنترلی فعال می¬شود. این برنامه مخرب در مرورگر باز نمی شود و از طریق Microsoft HTML Application Host و سامانههای کتابخانه ای (system library)mshtml.dll. راه اندازی می شود که درنتیجه کلیه تنظیمات امنیت مرورگر دیگر بی نتیجه می-شود.
گروه APT33 برای واقعی جلوه دادن ایمیل ها، تعدادی دامنه ثبت می کند که به اسامی شرکت های هواپیمایی عربستان سعودی و شرکای غربی آنها در حوزه خدمات فنی شبیهسازیشده است که از میان آنها می توان به آدرس های جعلی بوئینگ (Boeing)، نورثروپ گرومن (Northrop Grumman)، السلام ایرکرفت (Alsalam Aircraft) و Saudia Aerospace Engineering Industries و مؤسسات وابسته به آنها اشاره نمود. شرکت¬های هواپیماییAirAsia, Thai Airways Flydubai и Etihad Airways نیز آماج حملات قرارگرفتهاند.
گروه Chrysene شرکتها و سازمانهایی را در آمریکای شمالی، اروپا و اسرائیل و عراق آماج حملات خود قرار داده و از بدافزارهای پیچیده هم برای تهاجم و هم جاسوسی استفاده میکند. در ماه ژوئن سال جاری گروه هکری Xenotime نیز شرکتهای انرژی ایالاتمتحده و کشورهای آسیا و حوزه اقیانوس آرام را به لیست جامعه هدف خود افزود. این گروه از سال ۲۰۱۴ فعال بوده است، اگرچه سال ۲۰۱۷ پس از حمله به شرکتهای نفت و گاز عربستان سعودی با استفاده از بدافزار صنعتی تریتون «Triton» – با نام Trisis و HatMan نیز شناخته میشود – که برای حمله به سیستمهای امنیتی Schneider Electric Triconex اختصاصیافتهاند، شناساییشده است.
در همین رابطه، شرکت امنیتی فایرآی (fireeye)، بهتازگی با انتشار گزارشی مدعی شد که به شواهدی دستیافته که نشان میدهد، روسیه در توسعه و انتشار بدافزار صنعتی تریتون نقش داشته است. این شرکت از سرنخهای متفاوتی پردهبرداری کرده است که مرتبط با یک آزمایشگاه دولتی با نام موسسه تحقیقات شیمی و مکانیک مسکو «CNIIHM» در روسیه است. به گفته فایرآی، ازآنجاییکه امکان ایجاد یک بدافزار با چنین قابلیتهایی بدون داشتن دانش لازم درزمینه سیستمهای کنترل صنعتی «ICS» امکانپذیر نیست، احتمال حضور موسسه CNIIHM بهعنوان مشاور و فراهمکننده بسترهای توسعه بدافزار برای سازندگان آن وجود دارد.
سال گذشته نیز تیم کارشناسی Dragos گروههای مذکور را در لیست گروههایی قرارداد که بیشترین خطر را برای سامانههای کنترل خودکار پروسههای فنی (automated control system) دارند.
منبع : سایبربان
