کشف عملیات هک گسترده در قزاقستان؛ پای شاهین طلایی در میان است

شرکت امنیت سایبری چینی چیهو 360 به تازگی در گزارشی از اجرای عملیات هک گسترده در کشور قزاقستان خبر داده است.

این حملات، تمامی افراد و سازمان ها از جمله نهادهای دولتی، نیروهای نظامی، دیپلمات های خارجی، محققین، خبرنگاران، شرکت های خصوصی، مراکز آموزشی، شخصیت های دینی، مخالفان دولت را هدف گرفته اند. در واقع تمام موجودات زنده در قزاقستان هدف این حملات هستند.

به عقیده چیهو 360 این حملات توسط فرد یا گروهی با منابع عظیم صورت گرفته، چون شاهد استفاده از ابزارهای هک پیشرفته، جاسوس افزارهای گران قیمت و حتی استفاده از سخت افزارهای جاسوسی مخابراتی هستیم. بخشی از قربانیان با حملات فیشینگ اختصاصی هدف قرار گرفته اند و در مواردی هم دسترسی فیزیکی به تجهیزات رخ داده، یعنی هکرها در خاک قزاقستان عوامل نفوذی دارند.

شاهین طلایی

محققین چیهو، نام این گروه هکری را «شاهین طلایی» یا APT-C-34 اعلام کرده اند. به عقیده کارشناسان کسپرسکی، شاهین طلایی نام دیگر گروه DustSquad است که از سال 2017 فعالیت می کند. تنها حمله اثبات شده از این گروه به سال 2018 و انتشار نسخه آلوده تلگرام از طریق ایمیل های فیشینگ بر می گردد.

گزارش جدید چیهو پس از دسترسی به یکی از سرورهای فرمان و کنترل (C&C) شاهین طلایی تنظیم شده است. اطلاعات موجود در این سرور، اسناد اداری را نشان می دهند که از قربانیان در 13 شهر بزرگ قزاقستان و چند شهر دیگر به سرقت رفته و بر اساس نام شهر، دسته بندی شده اند.

چیهو با رمزگشایی اطلاعات، موفق شده جاسوسی از شهروندان خارجی از جمله دانشجویان بین المللی دیپلمات های چینی توسط گروه شاهین طلایی را هم فاش سازد.

ابزارهای هک گران قیمت

فایل های سرور C&C گروه شاهین طلایی نشان می دهد که هکرها از ابزارهای پیشرفته و گران قیمت برای اجرای پروژه استفاده کرده اند. بین این ابزارها دو نمونه خاص به چشم می خورد؛ یکی ابزار RCS که توسط گروه ایتالیایی HackingTeam به فروش می رسد و دیگری تروجان بکدور Harpoon که احتمالاً توسط خود این تیم توسعه یافته است.

نکته جالب اینکه هکرها به تازگی نسخه جدید RCS را از گروه ایتالیایی خریداری کرده اند، چون سورس کد نسخه های قبلی در سال 2015 فاش شده بودند. تروجان مورد استفاده توسط گروه شاهین طلایی هم بسیار پیشرفته و دقیق طراحی شده و قابلیت های برجسته ای دارد، از جمله:

  • کیلاگینگ
  • سرقت اطلاعات کلیپبورد
  • ثبت اسکرین شات در بازه های زمانی مشخص
  • استخراج محتوای فولدرها
  • دریافت نام کاربری، مخاطبین و تاریخچه پیام های اسکایپ
  • دریافت لیست مخاطبین و تاریخچه پیام های صوتی گوگل هنگ اوت
  • ضبط صدا و جاسوسی از میکروفون
  • کپی فایل های مشخص از کامپیوتر
  • کپی خودکار فایل ها از روی فلش و هارد
  • ذخیره سازی اطلاعات به شکل رمزنگاری شده داخل پوشه مشخص
  • ارسال اطلاعات به سرقت رفته به سرور FTP
  • اجرای یک برنامه یا فرمان سیستم عامل
  • دانلود فایل ها از سرور FTP روی فولدر مشخص
  • پیکربندی سیستم از راه دور
  • دریافت فایل از سرور FTP و بازگشایی آنها روی یک فولدر مشخص
  • حذف کامل ردپای تروجان پس از اجرای عملیات
بدافزار موبایل

چیهو چند قرارداد مربوط به گروه شاهین طلایی را هم پیدا کرده که بین آنها، قرارداد خرید جعبه ابزار جاسوسی موبایلی به نام پگاسوس (Pegasus) هم به چشم می خورد. این ابزارها که توسط گروه NSO فروخته می شود، بسیار پیشرفته بوده و روی هر دو سیستم عامل اندروید و iOS کار می کنند. از جمله قابلیت های این جعبه ابزار جاسوسی می توان به ضبط صدا، سرقت تاریخچه مرور وب، محتوای پیام رسان ها و موقعیت مکانی کاربر اشاره کرد.

سخت افزار جاسوسی ارتباطات رادیویی

دومین قراردادی که در اسناد شاهین طلایی پیدا شده، به خرید سخت افزار جاسوسی ارتباطات رادیویی از شرکت Yurion اختصاص دارد. این شرکت روسی یکی از برجسته ترین تأمین کنندگان تجهیزات جاسوسی و نظارت رادیویی محسوب می شود.

ردیابی اعضای شاهین طلایی

شرکت امنیت سایبری چینی می گوید با استفاده از اطلاعات به دست آمده، توانسته چهار عضو گروه شاهین طلایی را ردیابی کند. ظاهراً یکی از این افراد به برنامه نویس مقیم روسیه اختصاص دارد که به عنوان «مهندس فنی» فعالیت می کند.

چه کسی پشت ماجراست؟

طبق اطلاعات موجود، کارشناسان چند نظریه را مطرح کرده اند. گروه شاهین طلایی که به زبان روسی با یکدیگر صحبت می کنند احتمالاً:

  • یا یک گروه هکر حرفه ای روس هستند
  • یا نهادهای اطلاعاتی قزاقستان هستند که از شهروندان این کشور جاسوسی می کنند
  • یا یک گروه هکری روس هستند که به خدمت دولت قزاقستان درآمده اند

با این حال جاسوسی از دیپلمات ها و شهروندان چینی توسط گروه شاهین طلایی، ماجرا را پیچیده تر کرده است.

مطالب مرتبط

بدافزار Agent Tesla نام‌کاربری و رمز عبور را از VPN و مرورگرها سرقت می‌کند

محققان امنیتی نسخه‌های جدیدی از بدافزار Agent Tesla کشف کرده‌اند که توانایی سرقت نام‌کاربری و رمزعبور بسیاری از اپلیکیشن‌ها از جمله مرورگرها، VPNها و کلاینت‌های ایمیل و FTP را دارند.بدافزار Agent Tesla اولین بار سال ۲۰۱۴ کشف شد و نوعی کی‌لاگر (Keylogger) است که در دو سال گذشته بین هکرها محبوب‌تر شده است. با خرید... ادامه مطلب

حمله سایبری هکرها به کاربران Tor از طریق سرورهای خروجی مخرب

یک گروه هک ناشناس از دی ماه سال قبل با اضافه کردن سرور به شبکه Tor در حال انجام حمله SSL stripping علیه کاربرانی است که با استفاده از مرورگر Tor به سایت‌های ارز دیجیتال دسترسی پیدا کرده‌اند.گروه مورد بحث تا اردیبهشت ماه امسال کنترل یک چهارم سرورهای موسوم به Tor exit relays که ترافیک کاربران از... ادامه مطلب

تپسی: امنیت سفرها از اولویت‌های اصلی ماست

معاون عملیات تپسی، تامین امنیت سفرهای شهری را یکی از اصلی‌ترین اولویت‌های‌ این شرکت معرفی و تاکید کرد با توجه به اهمیت امنیت کاربران، سرمایه گذاری زیادی در این حوزه انجام شده و گزینه‌های امنیتی مختلفی برای مردم فراهم شده است.«هومن دمیرچی» با اشاره به نحوه جذب رانندگان تپسی تصریح کرده که تایید صلاحیت رانندگان... ادامه مطلب

هشدار کارشناسان درباره جاسوسی از ترافیک اینترنت ماهواره‌ای با تجهیزات ساده

آسیب‌پذیری‌های امنیتی در ارتباطات پهن‌باند ماهواره‌ای به مهاجمان اجازه می‌دهند که تنها با تجهیزات خانگی چند صد دلاری از ترافیک اینترنت ماهواره‌ای جاسوسی کنند.هکرها با سوءاستفاده از این آسیب‌پذیری‌ها می‌توانند بدون خطر شناسایی شدن، هزاران کیلومتر دورتر از اهداف خود از آن‌ها جاسوسی کنند. اخیرا یک محقق امنیت سایبری در دانشگاه آکسفورد، «جیمز پاور» نحوه... ادامه مطلب

باگ امنیتی ویندوز امکان نفوذ به پرینتر را فراهم می‌کند

اخیرا یک باگ امنیتی در ویندوز شناسایی شده که روی پرینتر تاثیر می‌گذارد. مایکروسافت اعلام کرده که با انتشار یک پچ امنیتی این مشکل را برطرف خواهد کرد.محققان توانسته‌اند پچ‌های امنیتی را دور بزنند و از این باگ سوءاستفاده کنند که نتیجه آن، امکان نفوذ به هر یک از دستگاه‌های پرینت و کنترل شبکه خصوصی... ادامه مطلب

FBI مدعی حمله هکرهای ایرانی به تجهیزات شبکه F5 شد

FBI اخیرا ادعا کرده گروهی از هکرهای منتسب به ایران به بخش‌های خصوصی و دولتی ایالات متحده آمریکا حمله کرده‌اند.در حالی FBI چنین ادعایی را مطرح کرده که نام این هکرهای ایرانی را مشخص نکرده، البته منابع به اسم رمز این گروه، «Fox Kitten» یا «Parasite» اشاره کرده‌اند. یکی از تحلیلگران سابق دولت ایالات متحده... ادامه مطلب

ویجیاتو

نظرات ۴

وارد شوید

برای گفتگو با کاربران، وارد حساب کاربری خود شوید.

ورود

رمزتان را گم کرده‌اید؟