گروه هکری ایندرا مسئول حملات سایبری اخیر به وزارت راه و راه آهن

معرفی:

در این مقاله از Check Point Research به بررسی حملات سایبری اخیر به ایران که شامل سیستم های راه آهن و وزارت راه و شهرسازی میشود میپردازیم و در نهایت ارتباط گروه هکری ایندرا را با این حملات تا حد زیادی مشخص میکنیم. در این متن ما تجزیه و تحلیل های یک حمله موفقیت آمیز با انگیزه های سیاسی که به زیر ساخت های ایران شده را بررسی میکنیم که گمان می رود توسط یک عامل حمله غیردولتی انجام شده است.

ما به بررسی برخی از جزییات فنی می پردازیم و یک عامل حمله پشت پرده ی این حملات یعنی گروه هکری ایندرا را افشا می کنیم و سپس آن رو با دیگر حملات با انگیزه های سیاسی در سال های قبل مرتبط میکنیم.

یافته های کلیدی:

– در 9 ام و 10 ام جولای (18 و 19 تیرماه) 2021 ، راه آهن ایران و سیستم های وزارت راه و شهرسازی مورد حملات سایبری قرار گرفتند ، Check Point Research این حملات را مورد بررسی قرار داد و شواهد متعددی پیدا کرد که این حملات به شدت بر دانش قبلی مهاجم و شناسایی شبکه های مورد نظر متکی بوده است.

– مشخص شد که حملات به ایران از نظر فنی و تاکتیکی به حملات علیه چندین شرکت خصوصی در سوریه که حداقل از سال 2019 انجام شده شبیه هستند و ما توانستیم این حملات را به گروه هکری ایندرا ربط دهیم.

– در طول این سال ها ، گروه هکری ایندرا سه نسخه مختلف از Wiper خود با نام های Meteor ، Stardust و Comet را در داخل شبکه های قربانیان توسعه داده و مستقر کرده اند.
با بررسی در مورد کیفیت ابزار های استفاده شده و عملکرد و حضور آنها در شبکه های اجتماعی بعید می دانیم گروه هکری ایندرا توسط یک عامل حمله در سطح دولت ملی اداره شود.
– یک تجزیه و تحلیل فنی در مورد ابزار ها، تکنیک ها و تاکتیک های استفاده شده توسط عامل حمله اصلی این حملات به طور کامل در این مقاله توضیح داده شده است. ما با قوانین عمومی Yara و لیست کامل از LOC ها این مقاله را به اشتراک می گذاریم.

در روز جمعه 9 جولای (18تیر) شرکت راه آهن ایران تحت حملات سایبری قرار گرفت ، به گزارش اخبار ایران ، هکر ها پیام هایی در مورد تاخیر یا لغو قطار ها را در تابلو های اطلاعاتی ایستگاه های سراسر کشور نشان دادند و از مسافران خواستند تا برای اطلاعات بیشتر با شماره ای تماس بگیرند که متعلق به دفتر رهبر جمهوری اسلامی ایران، آیت الله خامنه ای است.

حملات سایبری به ایران

در روز بعد ، یعنی 10 جولای (19تیر) وب سایت وزارت راه و شهر سازی ایران از دسترس خارج شد و در فضای مجازی تصویری از یکی از سیستم های هک شده این وزارت خانه نشت پیدا کرد که نشان می دهد مسئولیت این دو حمله بر عهده ی یک گروه است:

حمله سایبری به وزارت راه

چند روز بعد شرکت امنیت سایبری ایرانی “امن پرداز” آنالیز مختصری از بد افزاری که ظاهرا مربوط به این حملات بود منتشر کرد که نام آن Trojan.Win32.BreakWin بود.
بر اساس اطلاعات منتشر شده ، تیم Check Point Researcher پرونده ها را از منابع مختلف بررسی کرده و تحقیقات کاملی انجام داده ، یافته های این تحقیقات توسط روزنامه نگاران و محققان از دیگر گروه های امنیتی مورد بازبینی قرار گرفته و در همین زمان ، SentinelOne گزارشی بر اساس آنالیز های “امن پرداز” منتشر کرد.

ابتدا آثار و شواهد به جا مانده از این حملات را مورد تجزیه و تحلیل قرار خواهیم داد:

بر اساس این بررسی ها ، ما مجموعه ای از ابزارهای مشابهی را که قبلاً در حملات دیگر طی سال های 2019-2020 استفاده شده بود را کشف کردیم. به طور مشخص حمله علیه چندین هدف که در سوریه صورت پذیرفته بود.
سپس به برخی از تاکتیک ها ، تکنیک ها و رویه های این گروه که خود را ایندرا می نامند می پردازیم (به گفته برخی منابع ایرانی ، ممکن است با گروه های هکتیویست یا جنایتکار سایبری ارتباط داشته باشد).

روند اجرای بدافزار بر اساس اجرای چندین لایه از Batch scripts ها می باشد و در زمان اجرا آنها اقدامات ذیل را انجام میدهند:

  • تلاش برای جلوگیری از تشخیص آنتی ویروس
  • از بین بردن داده های پیکربندی بوت
  • قفل کردن و پاک کردن کامل کامپیوترهای شبکه

زنجیره های Bat:

گروه هکری ایندرا

زنجیره بعدی یک سری فایل های .bat هستند که رویداد های زیر را به ترتیب اجرا میکنند:

*سیستم های  هدف را جدا میکند:

setup.bat ابتدا بررسی می کند که آیا hostname سیستم  یکی از موارد زیر هست یا خیر: PIS-APP ، PIS-MOB ، WSUSPROXY یا PIS-DB، اگر بود  در این صورت ، اجرا را متوقف می کند و پوشه حاوی اسکریپت مخرب را از این دستگاه حذف می کند. PIS در نام های میزبان مخفف عبارت System Information System (سیستم اطلاعات مسافر) است. با این روش مهاجمان میخواهند  مطمئن شوند که پیام آنها به عموم مردم ایران به درستی نمایش داده می شود.یعنی سیستمی را انتخاب میکند که مرتبط با اطلاعات مسافران نباشد

*فایل های مخرب را روی دستگاه بارگزاری میکند:

فایل env.cab را از آدرس زیر در شبکه داخلی مورد نظر جهت اقدامات خرابکارانه دانلود می کند:

\railways.ir\sysvol\railways.ir\scripts\env.cab

با توجه به دانستن hostname ها ، ادرس ها و مسیرهای شبکه داخلی و استفاده از آنها میتوان متوجه شد که مهاجم یا مهاجمان از قبل اطلاعاتی در رابطه با محیط و شبکه داشته اند.

*Extract کردن و اجرای ابزارهای فرعی:

update.bat که توسط setup.bat استخراج و راه اندازی شد، از رمز عبور hackemall برای استخراج مراحل بعدی که شامل  cache.bat ، msrun.bat و bcd.bat می شود، استفاده می کند.

*قطع اتصال دستگاه از کل شبکه:

cache.bat ، اسکریپتی است که اتصال Network Adaptor را با استفاده از دستور زیر قطع میکند :

powershell -Command “Get-WmiObject -class Win32_NetworkAdapter | ForEach { If ($.NetEnabled) { $.Disable() } }” > NUL

*بررسی کردن فعالیت های Anti-AV: 

اسکریپت cache.bat بررسی می کند که آیا آنتی ویروس کسپرسکی روی سیستم نصب شده است یا خیر، اگر نصب نبود تمام فایل ها و پوشه های مربوط به حمله را به لیست استثنا های Windows Defender اضافه کرده و حمله را ادامه می دهد.

*تخریب بوت:

فایل bcd.bat برای آسیب رساندن به پروسه بوت اجرا میشود، در ابتدا سعی میکند که بوت را باز نویسی کند و آن را با محتوای جدید جایگزین کند که این کار را توسط ابزار Windows built-in BCDEdit tool و دستور زیر انجام میشود:

for /F “tokens=2” %%j in (‘%comspec% /c “bcdedit -v | findstr identifier”‘) do bcdedit /delete %%j /f

*پاک کردن رد پاها:

همان فایل bcd.bat بعد از بازنویسی بوت فایل های لاگ Security, System and Application پاک میکند ( این لاگ ها در ابزار Event Viewver ویندوز وجود دارد )

اجرای قسمت اصلی برنامه:

اسکریپت msrun.bat مسئول اجرای برنامه Wiper است، فایل های مربوطه را به “C:\temp” منتقل و یک Task زمان بندی شده را با نام mstask ایجاد می کند تا برنامه Wiper را فقط یک بار و در ساعت 23:55:00 اجرا کند.

بررسی Payload اصلی:

بار اصلی حمله بر عهده یک فایل اجرایی به نام msapp.exe است و هدف آن از خارج کردن سیستم قربانی از طریق قفل کردن و پاک کردن محتویات می باشد

فایل پیکربندی Wiper:

Wiper کار نمیکند مگر اینکه یک فایل پیکربندی به نام msconf.conf داشته باشد، فایل پیکربندی به Wiper انعطاف پذیری میدهد که در یک سیستم خاص و یک قربانی خاص اجرا شود.

دستورات پشتیبانی شده در فایل کانفیگ:

دقت داشته باشید همه دستورات بالا در فایل پیکربندی استفاده نشده که نشان میدهد انحصارا برای این حمله ساخته نشده است. اگر پیکربندی به درستی انجام شده باشد پیام Meteor has started در یک فایل لاگ Encrypt شده نمایش میدهد که Meteor نام بدافزار است ( Meteor به معنای شهاب سنگ است ).

مراحل پیکربندی بدافزار:

اول بدافزار جلوی قربانی را میگیرد تا نتواند مراحل تخریب را متوقف کند، در ابتدا سیستم را با استفاده از WIN API یا WMI از Active Directory Domain خارج میکند که این عملیات کار را برای دسترسی از طریق Remote به سیستم قربانی سخت تر میکند سپس بدفزار بوت کامپیوتر آلوده شده را بازنویسی میکند ( c:\boot. ini ) و پسورد کاربر های لوکال را با الگو زیر تعییر میدهد:

Aa153![random sequence]

برای مثال پسورد سیستم قربانی به حالت زیر تغییر میکند:

Aa153!IRro3d2JYm

وقتی پروسه های ذکر شده انجام شد کاربران دیگر قادر به دسترسی از سیستم نیستند.

سپس Screen Saver توسط بدافزار خاموش شده و تصویر Lock Screen را عوض میکند و به تصویر دلخواه تعییر میدهد.

بعد از اتمام مراحل بالا بدافزار همه کاربران Log Out کرده و یک برنامه خیلی کوچک به اسم Locker اجرا میکند که در mssetup.exe قرار دارد که ورودی هایی مثل موس و کیبورد را بلاک میکند. در نهایت قبل از ورود به مرحله اصلی یعنی پاک کردن کل سیستم بدافزار یک وظیفه برنامه ریزی شده را در Start Up سیستم قرار میدهد.

حمله سایبری به وزارت راه

نحوه فعالیت Wiper:

این Wiper یک نوع Prefix Suffix Wiper است یعنی همانطور که از نامش پیداست یک لیست از پیشوند و پسوند از فایل پیکربندی خود میگیرد و آن ها را مطابق با قوانین خود Wipe میکند. در خطی دیگر ازین بدافزار Middle Wiper قرار دارد که احتمالا برای پاک کردن بعضی فایل ها که حاوی خطوط خاصی از کد باشند استفاده میشود.

فرایند Wiping به خودی خود بسیار ساده است در ابتدا بدافزار به فایل ها و دایرکتوری هایی میرود که در فایل پیکربندی خود با paths_to_wipe شناسایی میکند .
بعد از Wiping بدافزار سعی میکند که Shodow Copy ها را با اجرا این دستور پاک کند:

vssadmin.exe delete shadows /all /quiet **and **C:\\Windows\\system32\\wbem\\wmic.exe shadowcopy delete

در نهایت بدافزار وارد یک Infinity Loop یا به اصطلاح جلقه بی نهایت میشود که داخل کانفیگ خود مینوسد

Meteor is still alive

ارتباط این فایل ها با حمله سایبری اخیر به ایران:

تجزیه و تحلیل ما از پرونده ها با تجزیه با تحلیل ارائه شده توسط امن پرداز مطابقت دارد، جریان حمله تقریبا یکسان است ، فایل ها شباهت دارند و اسم ها و کارایی آن ها یکی است ولی همچنان تفاوت هایی وجود دارد برای مثال اسکریپت update.bat در حملات قبلی استفاده نشده است و به جای آن یک فایل nti.exe که یک الوده کننده mbr است مورد استفاده قرار گرفته است همچنین تفاوت های بسیار جزئی در فایل های پیکربندی Wiper وجود دارد.

بعضی از فایل هایی که ما پیدا کرده ایم حاوی مدارکی هست که آن ها با حمله به راه اهن ایران مرتبط هستند، یکی از آن ها عکسی هست که حمله کنندگان جایگزی Wallpaper و Lock Screen کردند.

حملات علیه شرکت هایی در سوریه – در جستجوی فایل های بیشتر:

برای پیدا کردن جواب این سوال که آیا در حمله به اهداف ایرانی این اولین باری بود که مهاجمان از این ابزارها استفاده می کردند یا خیر به بررسی نمونه های بیشتر پرداختیم، درخواستهای ما به سرعت نتیجه داد و فایلهایی که توسط سه فرد مختلف در سوریه در سایت Virus Total بارگذاری شده بود را پیدا کردیم، به نظر می رسید که پرونده ها متعلق به سه حادثه جداگانه در ژانویه ، فوریه و آوریل 2020 بوده و متعلق به بیش از یک سال قبل از حملات اخیر علیه نهادها در ایران است. در ضمن نسخه های استفاده شده شبیه به یکدیگر ولی با نام های مختلف هستند.

با گروه هکری ایندرا آشنا شوید:

بررسی دقیق ما نه تنها اهداف حملات ، بلکه هویت گروه پشت این حملات را نیز آشکار کرد،  گروهی که خود را خدای جنگ هندوها “ایندرا” می نامد. در واقع ، گروه هکری ایندرا سعی نکرده تا پنهان کند که آنها مسئول این عملیات هستند و امضای خود را در چندین مکان گذاشته اند.

تصویری که مهاجمان بر روی رایانه های قفل شده در یکی از حملات گذشته خود در سوریه به قربانیان نشان دادند اعلام می کند “من ایندرا هستم” و مسئولیت حمله این تیم  به گروه کاترجی را بر عهده می گیرد.

گروه هکری ایندرا

ایندرا مسئولیت حمله ای را که با بدافزار “Comet” رخ داده است را نیز  بر عهده گرفته است.

گروه هکری ایندرا در ایران

علاوه بر این، همه نمونه های برنامه های Meteor با نام های متفاوت شامل چندین مورد رشته “INDRA” است (در برنامه مورد استفاده قرار گرفته است). در نوع Comet این بدافزار به عنوان نام کاربری یک حساب Administrator تازه ایجاد شده استفاده می شود.

و در نوع Stardust ، به عنوان یک عامل بدون اثر وجود دارد و اقدامی انجام نمیدهد.

باج افزار و بد افزار

ما از اینکه گروه ایندرا در شبکه های اجتماعی حضور فعال  دارد متعجب بودیم. آنها چندین حساب درشبکه های اجتماعی مختلف از جمله توییتر ، فیس بوک ، تلگرام و یوتیوب داشته و آنها را اداره میکنند.

در میان سایر داده های موجود در این اکانت ها  ، اطلاعاتی از حمله به کمپانی های دیگر نیز وجود دارد، به عنوان مثال در حساب توییتری گروه ایندرا مسئولیت حمله به  AFRADA بر عهده گرفته شده است.

با بررسی فعالیت های این گروه در  شبکه اجتماعی ، می توانید اطلاعاتی از ایدئولوژی سیاسی و انگیزه این گروه را برای این نوع حملات به دست آورید و حتی در مورد برخی از عملیات های قبلی این گروه اطلاعات کسب کنید.

و همچنین ادعا می کنند که تمرکز خود را برای حمله به شرکت های مختلفی میگذارند که با رژیم ایران همکاری می کنند، نوشته های آنها به زبان های  انگلیسی یا عربی نوشته شده است (البته به نظر می رسد که زبان مادری آنها نباشد)  و بیشتر در مورد مخالفت با تروریسم صحبت می کنند و یا از شرکت های مختلف که به دلیل ارتباط مشکوک با گروه قدس قربانی حملات  این گروه شده اند.

حملات قبلی گروه هکری ایندرا:

با بررسی فعالیت های گروه ایندرا در  شبکه های اجتماعی میتوان حملات زیر را به این گروه ارتباط داد:

سپتامبر 2019: حمله به Alfadelex Trading ، یک شرکت مبادله ارز و خدمات انتقال پول واقع در سوریه.

ژانویه 2020: حمله به خطوط هوایی Cham Wings ، یک شرکت هواپیمایی خصوصی مستقر در سوریه.

فوریه 2020 و آوریل 2020: در اختیار گرفتن  زیرساخت شبکه Afrada و Katerji Group، هر دو شرکت در سوریه مستقر هستند.

نوامبر 2020: ایندرا تهدید به حمله به پالایشگاه نفت بنیاس سوریه می کند ، اگرچه مشخص نیست که آیا این تهدید عملی شده است یا خیر.

در حدود نوامبر 2020 ، فعالیت همه حساب های ایندرا متوقف شدند. و تا این لحظه ما نتوانستیم شواهد بیشتری  از عملیات ها پیدا کنیم.

این حملات همه علیه اهداف مرتبط با ایران صورت می گیرد ، خواه راه آهن ایران و وزارت راه  و شهرسازی ایران در سال 2021 باشد ، خواه کاترجی، افرادا، الفادلکس و دیگر شرکت های سوری که در سال 2020 و 2019 مورد هدف قرار گرفته اند. توییت ها و پست های ایندرا به وضوح نشان می دهد که آنها نهادهایی را که معتقدند با ایران ارتباط دارند ، هدف قرار می دهند.

بر خلاف عملیات های  قبلی آنها به طور علنی مسئولیت حملات در ایران را بر عهده نگرفته اند و با توجه به اینکه این ابزارها قبلاً در حملات علیه شرکت های سوری مورد استفاده قرار گرفته و در آنجا نیز این گروه مسئولیت حمله ها را در شبکه های اجتماعی خود برعهده گرفته بودند  میتوان به به عوامل این حمله پی برد.

 

اشتراک گذاری

دیدگاهتان را بنویسید

لطفا امتیاز دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *