حمله هکری علیه زنجیره تامین آمریکا توسط یک شرکت آنتی ویروس چینی

وزارت دادگستری آمریکا این هفته اعلام کرد که ۷ تبعه چینی برای مدت بیش از یک دهه بالغ بر ۱۰۰ شرکت های-تک یا حوزه گیمینگ را هدف حملات هکری قرار داده اند. دولت آمریکا ادعا این کند این مردان با کمک ایمیل حملات فیشینگ یکپارچه ای را علیه اهداف خود از جمله «زنجیره تامین» انجام داده اند تا از این طریق دیتای متعلق به شرکت ها و مشتریان آنها را سرقت کنند. یکی از هکرهایی که اسمش اعلام شده پیشتر مالک یک شرکت آنتی ویروس چینی بوده است.

اسناد شکایت نشان می دهند که این هفت مرد بخشی از یک گروه هکری به نام APT41 بوده اند که با نام های دیگری نظیر Barium، Winnti، Wicked Panda و Wicked Spider نیز فعالیت می کرده است. این گروه پس از آنکه به هدف مورد نظرش نفوذ می کرد سورس کد، گواهینامه های امضای کد نرم افزاری، دیتای حساب های کاربری و دیگر اطلاعاتی که ممکن است روزی به کارشان بیاید یا قابلیت فروش داشته باشد را سرقت میکرد.

فعالیت های APT41 از اواسط دهه ۲۰۰۰ میلادی تا به امروز ادامه داشته است. اوایل امسال نیز ارتباط آن با یک کمپین بدافزاری روشن شد که اقدام به بهره برداری از آسیب پذیری های جدید در محصولات شبکه پرکاربرد از جمله روترهای دی لینک یا سیسکو می کرد. شرکت امنیتی Fire Eye از این حمله هکری با نام یکی از گسترده ترین کمپین ها توسط جاسوسان چینی یاد کرد که طی سال های اخیر مشاهده شده است.

دولت آمریکا ادعا می کند که این گروه با توسعه بدافزار و همچنین استفاده از منابع وبسایت های به شکل غیرقانونی و پنهانی برای استخراج رمزارز، تامین مالی فعالیت های خود را انجام می داده است.

علاوه بر این، این گروه خلافکار شرکت های سازنده بازی های ویدیویی و مشتریان آنها را هدف قرار داده تا اقلام دیجیتالی آنها از قبیل پاور را که امکان فروش دارند به سرقت ببرد.

APT41 بدافزار خود را درون رزومه های ساختگی پنهان می کرد و در ادامه آنها را برای اهداف خود ارسال می کرد. این شرکت همچنین حملات پیشرفته تری را علیه زنجیره تامین کلید می زد و مثلا پس از هک کردن شرکت های نرم افزاری نسخه تغییر یافته از بدافزار خود را درون محصولات آن شرکت قرار می داد.

شرکت نرم افزاری قربانی که از تغییرات در محصولات خود آگاهی نداشت در ادامه نرم افزارهای آلوده را به مشتریان شخص ثالث خود می فروخت و آنها نیز بی اطلاع از همه چیز نرم افزار را روی سیستم خود نصب می کردند.

یکی از متهمان این پرونده که تان دیلین نام دارد و حالا ۳۵ ساله است در سال ۲۰۱۲ نیز به خاطر پرونده یک آنتی ویروس چینی به نام Anvisoft در سرخط خبرها قرار گرفت. در آن زمان محصول یاد شده بعد از بررسی فروشنده های آنتی ویروس ایمن خوانده شد. Anvisoft ادعا می کرد که دفتر اصلی اش در کالیفرنیا قرار دارد اما بعد از بررسی ها مشخص شد که این شرکت در منطقه چنگدو از استان سیچوان چین تاسیس شده است.

پس از بررسی های دقیق تر مشخص شد که دامنه وبسایت این شرکت توسط تان دیلین ثبت شده است؛ یک هکر بدنام چینی که با نام های مختلفی نظیر Wicked Rose و Withered Rose شناخته می شد.

او در واقع رهبر یک تیم چهار نفره از هکرهای گروه NCPH بود که در سال ۲۰۰۶ میلادی تولکیتی را برای بهره برداری از آسیب پذیری موجود در مایکروسافت ورد ساخت و سپس از یک حمله گسترده DoD در خاک آمریکا از آن استفاده نمود.