کشف عملیات هک گسترده در قزاقستان؛ پای شاهین طلایی در میان است

شرکت امنیت سایبری چینی چیهو 360 به تازگی در گزارشی از اجرای عملیات هک گسترده در کشور قزاقستان خبر داده است.

این حملات، تمامی افراد و سازمان ها از جمله نهادهای دولتی، نیروهای نظامی، دیپلمات های خارجی، محققین، خبرنگاران، شرکت های خصوصی، مراکز آموزشی، شخصیت های دینی، مخالفان دولت را هدف گرفته اند. در واقع تمام موجودات زنده در قزاقستان هدف این حملات هستند.

به عقیده چیهو 360 این حملات توسط فرد یا گروهی با منابع عظیم صورت گرفته، چون شاهد استفاده از ابزارهای هک پیشرفته، جاسوس افزارهای گران قیمت و حتی استفاده از سخت افزارهای جاسوسی مخابراتی هستیم. بخشی از قربانیان با حملات فیشینگ اختصاصی هدف قرار گرفته اند و در مواردی هم دسترسی فیزیکی به تجهیزات رخ داده، یعنی هکرها در خاک قزاقستان عوامل نفوذی دارند.

شاهین طلایی

محققین چیهو، نام این گروه هکری را «شاهین طلایی» یا APT-C-34 اعلام کرده اند. به عقیده کارشناسان کسپرسکی، شاهین طلایی نام دیگر گروه DustSquad است که از سال 2017 فعالیت می کند. تنها حمله اثبات شده از این گروه به سال 2018 و انتشار نسخه آلوده تلگرام از طریق ایمیل های فیشینگ بر می گردد.

گزارش جدید چیهو پس از دسترسی به یکی از سرورهای فرمان و کنترل (C&C) شاهین طلایی تنظیم شده است. اطلاعات موجود در این سرور، اسناد اداری را نشان می دهند که از قربانیان در 13 شهر بزرگ قزاقستان و چند شهر دیگر به سرقت رفته و بر اساس نام شهر، دسته بندی شده اند.

چیهو با رمزگشایی اطلاعات، موفق شده جاسوسی از شهروندان خارجی از جمله دانشجویان بین المللی دیپلمات های چینی توسط گروه شاهین طلایی را هم فاش سازد.

ابزارهای هک گران قیمت

فایل های سرور C&C گروه شاهین طلایی نشان می دهد که هکرها از ابزارهای پیشرفته و گران قیمت برای اجرای پروژه استفاده کرده اند. بین این ابزارها دو نمونه خاص به چشم می خورد؛ یکی ابزار RCS که توسط گروه ایتالیایی HackingTeam به فروش می رسد و دیگری تروجان بکدور Harpoon که احتمالاً توسط خود این تیم توسعه یافته است.

نکته جالب اینکه هکرها به تازگی نسخه جدید RCS را از گروه ایتالیایی خریداری کرده اند، چون سورس کد نسخه های قبلی در سال 2015 فاش شده بودند. تروجان مورد استفاده توسط گروه شاهین طلایی هم بسیار پیشرفته و دقیق طراحی شده و قابلیت های برجسته ای دارد، از جمله:

• کیلاگینگ
• سرقت اطلاعات کلیپبورد
• ثبت اسکرین شات در بازه های زمانی مشخص
• استخراج محتوای فولدرها
• دریافت نام کاربری، مخاطبین و تاریخچه پیام های اسکایپ
• دریافت لیست مخاطبین و تاریخچه پیام های صوتی گوگل هنگ اوت
• ضبط صدا و جاسوسی از میکروفون
• کپی فایل های مشخص از کامپیوتر
• کپی خودکار فایل ها از روی فلش و هارد
• ذخیره سازی اطلاعات به شکل رمزنگاری شده داخل پوشه مشخص
• ارسال اطلاعات به سرقت رفته به سرور FTP
• اجرای یک برنامه یا فرمان سیستم عامل
• دانلود فایل ها از سرور FTP روی فولدر مشخص
• پیکربندی سیستم از راه دور
• دریافت فایل از سرور FTP و بازگشایی آنها روی یک فولدر مشخص
• حذف کامل ردپای تروجان پس از اجرای عملیات

بدافزار موبایل

چیهو چند قرارداد مربوط به گروه شاهین طلایی را هم پیدا کرده که بین آنها، قرارداد خرید جعبه ابزار جاسوسی موبایلی به نام پگاسوس (Pegasus) هم به چشم می خورد. این ابزارها که توسط گروه NSO فروخته می شود، بسیار پیشرفته بوده و روی هر دو سیستم عامل اندروید و iOS کار می کنند. از جمله قابلیت های این جعبه ابزار جاسوسی می توان به ضبط صدا، سرقت تاریخچه مرور وب، محتوای پیام رسان ها و موقعیت مکانی کاربر اشاره کرد.

سخت افزار جاسوسی ارتباطات رادیویی

دومین قراردادی که در اسناد شاهین طلایی پیدا شده، به خرید سخت افزار جاسوسی ارتباطات رادیویی از شرکت Yurion اختصاص دارد. این شرکت روسی یکی از برجسته ترین تأمین کنندگان تجهیزات جاسوسی و نظارت رادیویی محسوب می شود.

ردیابی اعضای شاهین طلایی

شرکت امنیت سایبری چینی می گوید با استفاده از اطلاعات به دست آمده، توانسته چهار عضو گروه شاهین طلایی را ردیابی کند. ظاهراً یکی از این افراد به برنامه نویس مقیم روسیه اختصاص دارد که به عنوان «مهندس فنی» فعالیت می کند.

چه کسی پشت ماجراست؟

طبق اطلاعات موجود، کارشناسان چند نظریه را مطرح کرده اند. گروه شاهین طلایی که به زبان روسی با یکدیگر صحبت می کنند احتمالاً:

• یا یک گروه هکر حرفه ای روس هستند
• یا نهادهای اطلاعاتی قزاقستان هستند که از شهروندان این کشور جاسوسی می کنند
• یا یک گروه هکری روس هستند که به خدمت دولت قزاقستان درآمده اند

با این حال جاسوسی از دیپلمات ها و شهروندان چینی توسط گروه شاهین طلایی، ماجرا را پیچیده تر کرده است.