هکرهای منتسب به ایران برای اولین بار در یک حمله سایبری از DoH استفاده کردند

یک گروه هک منتسب به ایران موسوم به Oilrig به اولین گروه هک شناخته شده‌ای تبدیل شد که از پروتکل DNS-over-HTTPS یا DoH در حملاتش استفاده می‌کند.

«Vincente Diaz»، از تحلیلگران بدافزار برای آنتی ویروس کسپرسکی می‌گوید گروه هک Oilrig ماه می سال جاری میلادی ابزار جدیدی را به مجموعه ابزارهای خود اضافه کرده است. به گفته او هکرهای Oilrig برای نفوذ به شبکه قربانیان استفاده از ابزار جدیدی به نام DNSExfiltrator را شروع کرده‌اند.

DNSExfiltrator پروژه‌ای متن باز در گیت هاب است که با تزریق داده و پنهان کردن آن درون پروتکل‌های غیر استاندارد، کانال‌های ارتباطی مخفی ایجاد می‌کند. این ابزار همانطور که از نامش پیداست می‌تواند داده را با استفاده از درخواست‌های DNS بین دو نقطه انتقال داده و قادر به استفاده از پروتکل جدیدتر DoH نیز است.

Diaz می‌گوید گروه Oilrig که با نام APT34 نیز شناخته می‌شود از DNSExfiltrator برای انتقال جنبی داده‌ها در سطح شبکه‌های داخلی و سپس استخراج آنها به نقطه خارجی استفاده کرده است. گروه مورد بحث احتمالاً از این ابزار به عنوان کانال استخراج برای جلوگیری از شناسایی یا نظارت حین انتقال داده‌های سرقتی استفاده کرده است.

پروتکل DoH در حال حاضر به دو دلیل یکی از بهترین کانال‌های استخراجی است: نخست پروتکل جدیدی بوده و همه محصولات نمی‌توانند بر آن نظارت کنند و دوم برخلاف DNS به طور پیش‌فرض رمزگذاری شده است.

اینکه گروه Oilrig به عنوان یکی از اولین تهدیدهای پیشرفته و مستمر (APT) از پروتکل DoH استفاده کرده چندان تعجب آور نیست، چرا که در گذشته نیز از تکنیک‌های استخراج مبتنی بر DNS استفاده کرده است. به گفته ZDNet گروه یاد شده پیش از بکارگیری DNSExfiltrator، دستکم از سال ۲۰۱۸ از ابزار سفارشی دیگری به نام DNSpionage استفاده کرده است. کسپرسکی می‌گوید این گروه در حمله ماه می داده‌های دامنه‌های مرتبط با کووید-۱۹ را استخراج کرده است.