کمیته رکن چهارم – گروهی مظنون به جاسوسی سایبری مرتبط با چین، اخیراً در قالب عملیاتی با نام «Operation Digital Eye» ارائهدهندگان بزرگ خدمات IT در جنوب اروپا را هدف قرار داده است.
به گزارش کمیته رکن چهارم، این گروه با سوءاستفاده از قابلیتی مشروع به نام «Remote Visual Studio Code Tunnels» تونلهای ریموت ویژوال استودیو کد فعالیتهای خود را پنهان کردهاند. این تونلها که معمولاً برای توسعه نرمافزار استفاده میشوند، به هکرها اجازه دادند بهصورت غیرقانونی به سیستمهای هدف دسترسی پیدا کنند. مهاجمان همچنین با استفاده از زیرساختهای ابری عمومی، ترافیک مخرب خود را در میان ترافیک عادی شبکه پنهان کردند. این روش شناسایی و ردیابی آنها را برای کارشناسان امنیتی پیچیده کرد.
دسترسی اولیه: هکرها با استفاده از ابزار SQLmap، از آسیبپذیریهای امنیتی در پایگاه دادهها سوءاستفاده کردند.
حفظ دسترسی: آنها یک ابزار مخرب به نام PHPsert را نصب کردند که امکان دسترسی مداوم به سیستمها را فراهم میکرد.
پیشروی: برای نفوذ بیشتر، از ابزار Mimikatz که تغییراتی در آن داده شده بود استفاده کردند تا بتوانند رمز عبور کاربران را به دست آورده و به سایر بخشهای شبکه نفوذ کنند.
استفاده از زبان چینی سادهشده در ابزارهای مورد استفاده، و همچنین نشانههایی از فعالیت یک ارائهدهنده خدمات در رومانی، شواهدی از ارتباط این حملات با گروههای هکری پیشرفته مرتبط با چین ارائه میدهد.
این حملات نمایانگر چالشهای فزاینده در حوزه امنیت سایبری است که در آن هکرها از ابزارهای قانونی و فناوریهای روز برای اجرای عملیات مخرب استفاده میکنند و امنیت زنجیره تأمین دیجیتال را تهدید مینمایند.
