یک گروه تهدید پیشرفته که به کشور ایران نسبت داده می‌شود با نام OilRig با استفاده از وب‌گاه‌های جعلی شبکه‌ی VPN Juniper و آکسفورد به توزیع بدافزار می‌پردازد.

گروه نفوذ OilRig از سال ۲۰۱۵ ظاهر شده و توسط گروه‌های تحقیقاتی متعددی از جمله فایرآی و پالوآلتو مورد بررسی قرار گرفته است. این گروه نفوذ مؤسسات مالی، دولتی و فناوری را در کشورهای مختلفی از جمله عربستان سعودی، رژیم صهیونیستی، آمریکا، ترکیه، امارات، لبنان، کویت و قطر هدف قرار داده است. 

حملاتی که اخیراً از این گروه نفوذ مشاهده شده، سازمان‌های فناوری اطلاعات، مؤسسات مالی و خدمات پست ملی در رژیم صهیونیستی را هدف قرار داده است. 

در حملات اخیر، مهاجمان با استفاده از وب‌گاه جعلی VPN مربوط به Juniper و رایانامه‌های مخرب کاربران را فریب می‌دهند. هنوز مشخص نیست که آیا مهاجمان کل شبکه‌ی این شرکت را آلوده کرده‌اند یا فقط از حساب‌های رایانامه‌ی این شرکت برای ارسال رایانامه‌ی حاوی پیوند مخرب به وب‌گاه جعلی استفاده کرده‌اند.

در وب‌گاه Juniper به کاربر دستور داده می‌شود تا یک برنامه‌ی کارخواه VPN را نصب کند این برنامه یکی از نرم‌افزارهای مربوط به این شرکت است که بدافزار مورد استفاده توسط OilRig در آن قرار گرفته است. 

به گزارش محققان امنیتی پرونده‌ها توسط یک گواهی‌نامه‌ی معتبر امضاء شده‌اند. این گواهی‌نامه توسط سیمانتک برای یک شرکت نرم‌افزاری در آمریکا با نام AI Squared صادر شده است. بدافزاری که توسط محققان امنیتی کشف شده با استفاده از گواهی‌نامه‌ای متفاوت برای این شرکت امضاء شده است.

محققان می‌گویند: «به نظر می‌رسد مهاجمان پس از آلوده کردن شبکه‌ی AI Squared توانسته‌اند به کلیدهای امضاء این شرکت دست یابند. روش دیگر نیز ممکن است این باشد که مهاجمان، سیمانتک را مجبور کرده‌اند گواهی‌نامه‌هایی را برای این شرکت صادر کند.»

در حملات دیگر گروه OilRig، مهاجمان ۴ نام دامنه متعلق به دانشگاه آکسفورد را ثبت کرده‌اند. این نامِ دامنه‌ها عبارتند از oxford-symposia[.]com ،oxford-careers[.]com ،oxford[.]in و oxford-employee[.]com. 

دامنه‌ی اول می‌خواهد وب‌گاه ثبت‌نام برای کنفرانس دانشگاه آکسفورد را جعل کند. در این وب‌گاه به کاربران توصیه می‌شود پیش از ثبت‌نام ابزاری را نصب کنند که در مراحل ثبت‌نام نیاز خواهد بود. این ابزار با استفاده از گواهی‌نامه‌های AI Squared امضاء شده و کاربر را وادار می‌کند تا اطلاعات مختلفی را در فرم پیش‌ثبت‌نام وارد کند.

از کاربران خواسته شده در ادامه این فرم را به آدرس رایانامه‌ای که بر روی دامنه‌ی دوم مهاجمان میزبانی می‌شود ارسال کنند. آدرس دامنه‌ی دوم oxford-careers[.]com است. در دامنه‌ی دوم پیوندی به دامنه‌ی oxford[.]in قرار گرفته است. بر روی این دامنه پرونده‌های مختلفی وجود دارد ولی محققان امنیتی نتوانستند از محتوای این پرونده‌ها اطلاع یابند چرا که در زمان تحلیل و بررسی محققان، این پرونده‌ها از دسترس خارج شده بود. 

آخرین دامنه‌ی جعلی آکسفورد، oxford-employee[.]com یک وب‌گاه برنامه‌ی شغلی است که به کاربران امکان ایجاد رزومه‌ی رسمی آکسفورد را ارائه می‌دهد. ایجادکننده‌ی جعلی روزمه نیز ابزاری است که توسط مهاجمان توسعه داده شده است.

شرکت شبکه‌ی پالوآلتو در ماه اکتبر در گزارشی اعلام کرد یک آدرس IP که توسط گروه OilRig مورد استفاده قرار گرفته در سال ۲۰۱۵ نیز توسط دو گروه نفوذ ایرانی با نام  Cadelle و Chafer استفاده شده و به نظر می‌رسد این گروه‌ها با هم در ارتباط باشند. 

هرچند که روند انتساب این‌گونه حملات بسیار دشوار است ولی می‌توان حدس زد که گروه نفوذ OilRig یک گروه ایرانی است چرا که در نمونه‌های بررسی‌شده، از زبان فارسی نیز استفاده شده است. همچنین از اطلاعات کارگزار دستور و کنترل می‌توان به این نتیجه رسید.

پی‌نوشت: فعالیت‌های این گروه از نفوذگران، از نظر ما تایید شده نیست و شاید این گزارش‌ها بخشی از برنامه‌ی دولت‌های متخاصم برای وارونه جلوه دادن ماجرا باشد، تا به اشتباه سایر کشورها را از قدرت سایبری ایران ترسانده و سپس عملیات مقابله با آن را آغاز کنند.

منبع : asis

گردآوری و انتشار : آنتی ویروس دکتر وب