هکر های مظنون به دولت ایران, خطوط هواپیمایی را مورد حمله قرار میدهند

به این مطلب امتیاز دهید

هکر های مظنون به دولت ایران به یک شرکت هواپیمایی, با درب پشتی که قبلاً نمونه ای مشابه از آن دیده نشده بود حمله سایبری کرده است.

روز چهارشنبه، محققان امنیت سایبری از IBM Security X-Force گفتند که یک شرکت هواپیمایی آسیایی هدف این حمله بوده است که این حمله احتمالاً از اکتبر 2019 تا سال 2021 آغاز شده است.

گروه هکری (APT)-ITG17، که به عنوان MuddyWater شناخته می شود، از یک کانال فضای کاری در Slack سوءاستفاده کرد تا محتوای مخرب را در آن جای دهد و با استفاده از آن ارتباطات ایجاد شده بین سرورهای کنترل (C2) و سیستم های تحت کنترل را مشکل ساز کرد.

IBM می‌ گوید: «مشخص نیست که آیا هکر های مظنون به دولت ایران توانسته اند با موفقیت اطلاعات را از محیط قربانی استخراج کند، اگرچه فایل‌ های یافت شده در سرور کنترل (C2) احتمال دسترسی آنها به اطلاعات رزرو را نشان می‌ دهد.

رابط برنامه نویسی Slack Workspcae(API) در گذشته توسط گروه هکری Aclop با استفاده از درب پشتی این گروه مورد سوء استفاده قرار گرفته است. Aclip که نام درب پشتی این گروه است قادر است از API برای ارسال اطلاعات و دریافت دستورات استفاده کند.

به طور کلی، سه کانال مجزا توسط درب پشتی برای استخراج بی سر و صدا اطلاعات استفاده میشود. پس از نصب و اجرا، درب پشتی اطلاعات اولیه سیستم, از جمله نام هاست، نام کاربری و آدرس‌های IP را جمع‌ آوری میکند و پس از رمزگذاری آن را به اولین کانال Slack ارسال میکند.

کانال دوم برای بررسی دستوراتی که قرار به اجرای ان است اختصاص یافته است.
بعد از اجرای دستورات و دریافت نتایج این دستورات – مانند آپلود فایل – نتیجه به کانال سوم Slack ارسال میشود .

در حالی که Aclip یک درب پشتی جدید است، تنها بدافزار شناخته شده برای سوء استفاده از Workspace Slack نیست – این نکته باید برای تیم های سازمانی قابل توجه باشد زیرا نرم افزار Workspace slack برای کسانی که از خانه یا به صورت Hybrid کار می کنند – ترکیبی از کار کردن در محل های مختلف – ارزشمند است.
بد افزار Slack C2bot مبتنی بر زبان برنامه نویسی Golang از Slack API برای تسهیل ارتباطات C2 استفاده می کند .
همچنین درب پشتی SLUB نیز از توکن های تایید هویت برای ارتباط با زیرساخت C2 خود استفاده می کند.

Slack Workspace در بیانیه ای گفت: “ما بررسی کردیم و فوراً Slack Workspace های الوده شده را به عنوان نقض شرایط خدماتمان تعدیل کردیم.

ما تأیید کردیم که Slack به هیچ وجه به عنوان بخشی از این حادثه در معرض خطر قرار نگرفته است، و هیچ اطلاعات مشتری Slack در معرض خطر نیست. ما متعهد به جلوگیری از سوء استفاده از پلتفرم خود هستیم و علیه هر کسی که شرایط خدمات ما را نقض کند اقدام می کنیم. “

اشتراک گذاری

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *