حمله گروه APT به سرور شرکتهای بخش صنعتی و انرژی
به تازگی یک گروه APT با عنوان Energetic Bear/Crouching Yeti سرورهای شرکتهای مختلف بخش صنعت و انرژی را مورد هدف قرار داده است. این گروه که از سال ۲۰۱۰ فعالیت میکند، شرکتهای مختلفی در سراسر جهان را مورد حمله قرار داده است.
به گزارش ایسنا، تمرکز بیشتر حملات این گروه روی کشورهای اروپایی و آمریکا بوده است. همچنین، در سال ۲۰۱۶ و ۲۰۱۷ تعداد حملات این گروه روی سرورهای کشور ترکیه رشد قابل توجهی داشته است.
اما رویکردهای اصلی این گروه شامل ارسال ایمیلهای فیشینگ حاوی اسناد مخرب و آلودهسازی سرورهای مختلف است. این گروه از از سرورهای آلوده به منظور استقرار ابزارهای گوناگون و در برخی موارد جهت اجرای حملات waterhole استفاده میکنند. waterhole به حملهای گفته میشود که مهاجم سایتهایی که فرد یا گروههای قربانی بطور روزمره بازدید میکند را با بدافزار آلوده میکند.
باتوجه به گزارش کسپرسکی، قربانیان حملاتی که اخیرا صورت گرفته است فقط محدود به شرکتهای صنعتی نمیشود و روسیه، اکراین، انگلستان، آلمان، ترکیه، یونان و آمریکا را شامل میشود. به عنوان مثال نوع سرورهایی که در کشور روسیه مورد هدف قرار گرفته است شامل وبسایتهای سیاسی، بنگاههای املاک، باشگاه فوتبال و ... است.
بر اساس اطلاعات سایت افتا، نکته قابل توجه در مورد این حملات این است که تمامی سرورهایی که هدف حمله waterhole قرار گرفتهاند با الگو یکسانی آلوده شدهاند. در این الگو، یک لینک در یک صفحه وب و یا فایل جاوا اسکریپت تزریق شده است که حاوی آدرس فایل بصورت file://IP/filename.png است که به منظور ارسال یک درخواست برای یک فایل تصویری است و موجب میشود تا کاربر از طریق پروتکل SMB به یک سرور کنترل از راه دور متصل شود.
بنابر گزارش کسپرسکی، در برخی از موارد مهاجمین از سرورهای آلوده جهت حمله به سایر منابع استفاده میکنند که برای این امر پس از دسترسی به سرورها، لازم است ابزارهای مورد نیاز خود را نصب شوند.
همچنین باتوجه به تحلیلهای انجام شده میتوان دریافت که مهاجمین از ابزارهای در دسترس عموم و متن باز استفاده میکنند. همچنین، مهاجمان در اکثر سرورهای هدف به دنبال یافتن آسیبپذیریها و سرقت اطلاعات احراز هویت کاربران هستند.