فیس بوک می گوید هکرها با حمایت دولت ویتنام با یک شرکت فناوری اطلاعات مرتبط هستند


عکس تلطیف شده در رایانه رومیزی.

فیس بوک گفت که گروه هکرهای پیشرفته ای را که تصور می شود از طرف دولت ویتنام حمایت مالی می شوند ، به آنچه که تصور می شود یک شرکت قانونی فناوری اطلاعات در این کشور است ، مرتبط کرده است.

به اصطلاح گروه تهدید مداوم پیشرفته با نامهای APT32 و OceanLotus نامگذاری شده است. این حداقل از سال 2014 فعالیت خود را آغاز کرده و شرکت های بخش خصوصی را در تعدادی از صنایع ، به همراه دولت های خارجی ، مخالفان و روزنامه نگاران در جنوب آسیا و سایر مناطق ، هدف قرار داده است. این از تاکتیک های مختلفی از جمله فیشینگ برای آلوده کردن اهداف با بدافزارهای رومیزی و موبایل با امکانات کامل که از ابتدا ساخته شده اند استفاده می کند. برای جلب اعتماد اهداف ، این گروه تلاش زیادی می کند تا وب سایت ها و شخصیت های آنلاین ایجاد کند که خود را به عنوان افراد و سازمان های قانونی مبدل می کنند.

در اوایل سال جاری ، محققان حداقل هشت برنامه پیچیده غیرمعمول اندروید را در Google Play کشف کردند که به گروه هکرها مرتبط بودند. حداقل از سال 2018 تعداد زیادی از آنها در آنجا حضور داشته اند. OceanLotus بارها و بارها با تأیید نسخه های خوب برنامه ها و بعداً به روزرسانی آنها برای افزودن درهای پشتی و سایر عملکردهای مخرب ، روند تأیید برنامه Google را دور زده است.

FireEye این گزارش مفصل را در سال 2017 در OceanLotus منتشر کرد و BlackBerry اطلاعات جدیدتری را در اینجا دارد.

روز پنجشنبه ، فیس بوک شرکت فناوری ویتنامی CyberOne Group را به عنوان وابسته به OceanLotus شناسایی کرد. این گروه آدرس در شهر هوشی مین را ارائه می دهند.

ایمیل ارسال شده به شرکت درخواست نظر ، پیغام خطایی مبنی بر تنظیم نادرست بودن سرور ایمیل را برمی گرداند. با این حال ، روز جمعه گزارش رویترز به نقل از شخصی که صفحه فیس بوک این شرکت را که اکنون به حالت تعلیق درآمده است ، مدیریت می کند ، اظهار داشت: “ما اوشن لوتوس نیستیم. این یک اشتباه است “

در زمان انتشار این مقاله ، وب سایت شرکت نیز در دسترس نبود. بایگانی آن از اوایل روز جمعه در اینجا است.

فیس بوک گفت ، تحقیقات اخیر ، تعدادی از تاکتیک ها ، روش ها و روش های قابل توجه را نشان داد ، از جمله:

  • مهندسی اجتماعی: APT32 افراد موهومی را در اینترنت ایجاد می کند ، خود را به عنوان فعال و نهاد تجاری نشان می دهد یا هنگام ارتباط با افرادی که هدف قرار می دهند ، از فریب های عاشقانه استفاده می کند. این تلاش ها اغلب شامل پشتیبان گیری از این افراد جعلی و سازمان های جعلی در سایر سرویس های اینترنتی است تا قانونی تر به نظر برسند و بتوانند در برابر موشکافی مقاومت کنند ، از جمله توسط محققان امنیتی. برخی از صفحات آنها برای جلب پیروان خاصی طراحی شده است که بعداً فیشینگ و بدافزار را هدف قرار دهند.
  • بدافزار Play Store: علاوه بر استفاده از Pages ، APT32 اهدافی را برای بارگیری برنامه های Android از طریق Google Play Store جذب کرد ، که دارای مجوزهای گسترده ای برای نظارت گسترده بر دستگاه های افراد بود.
  • توزیع بدافزار: APT32 وب سایتها را به خطر می اندازد و برای ایجاد ردیابی اطلاعات مرورگر در مورد اهداف خود ، Javascript مخفی مخفی را به عنوان بخشی از حمله آبیاری ایجاد می کند. حمله حفره ای زمانی است که هکرها وب سایتهایی را که اغلب از آنها بازدید می کنند آلوده می کنند تا دستگاه های خود را به خطر بیندازند. به عنوان بخشی از این ، گروه بدافزار سفارشی ایجاد کرده است که قادر به شناسایی نوع سیستم عامل مورد استفاده شی (Windows یا Mac) قبل از ارسال محموله اختصاصی است که کد مخرب را اجرا می کند. در راستای فعالیت قبلی در این گروه ، APT32 همچنین از پیوندهایی به سرویسهای اشتراک فایل در جایی که آنها فایلهای مخربی را میزبانی می کنند استفاده می کند تا بتوان بر روی آنها کلیک و بارگیری کرد. اخیراً ، آنها از میانبرها برای تحویل بدافزار استفاده کرده اند. سرانجام ، این گروه به حملات جانبی Dynamic-Link Library (DLL) در برنامه های Microsoft Windows اعتماد کردند. آنها پرونده های مخربی را در exe ، rar ، rtf و ایزو قالب ها و اسناد خوش خیم Word را که حاوی پیوندهای مخرب در متن است ، تحویل داد.

نامگذاری گروه CyberOne اولین باری نیست که محققان به طور علنی گروه های هک مورد حمایت دولت را به سازمان های واقعی مرتبط می کنند. در سال 2013 ، محققان در Mandiant ، اکنون بخشی از شرکت امنیتی FireEye ، یک برج اداری 12 طبقه در شانگهای ، چین را به عنوان مرکز اعصاب نظر Crew ، یک گروه هکر مسئول هک بیش از 140 سازمان در هفت سال گذشته ، شناسایی کردند. این ساختمان مقر فرماندهی لشکر 61398 ارتش آزادیبخش خلق بود. و در سال 2018 ، FireEye گفت که بدافزار بالقوه تهدید کننده زندگی که با مکانیسم های ایمنی یک تأسیسات صنعتی در خاورمیانه دستکاری می کند ، در یک آزمایشگاه تحقیقاتی در روسیه ساخته شد.

فیس بوک گفت که توانایی OceanLotus را برای سو abuse استفاده از سیستم عامل این شرکت از بین می برد. فیس بوک گفت که انتظار دارد تاکتیک های این گروه به تکامل برسد ، اما بهبود سیستم های تشخیص ، جلوگیری از قرار گرفتن در معرض را برای گروه دشوارتر خواهد کرد.

گزارش روز پنجشنبه اطلاعات مشخصی در مورد چگونگی اتصال فیس بوک OceanLotus با گروه CyberOne ارائه نداد ، و این تأیید یافته را برای محققان خارج از کشور دشوار می کند. فیس بوک به رویترز گفت که ارائه این جزئیات اطلاعاتی را در اختیار مهاجمان و افرادی مانند آنها قرار می دهد که به آنها امکان می دهد در آینده از شناسایی جلوگیری کنند.


منبع: tarjome-news.ir

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>