یافته های جدیدی که هفته گذشته منتشر شد، Source Code و تکنیک های مشترک بین اپراتور های هکرهای Shamoon APT و بدافزار Kwampirs را نشان می دهد که محرز میکند آن ها «یک گروه یا همکاران بسیار نزدیک هستند».
Rincón Crespo از Cylera Labs گفت: «شواهد تحقیقاتی شناسایی تکامل مشترک بین خانواده های هکرهای Shamoon APT و بدافزار Kwampirs را در طول جدول زمانی شناخته شده نشان می دهد.
«اگر Kwampirs بر اساس Shamoon اصلی باشد، و کد کمپین Shamoon 2 و 3 مبتنی بر Kwampirs باشد، […] پس نویسندگان Kwampirs به طور قابل توجهی با نویسندگان Shamoon یکسان خواهند بود، یا باید یک رابطه بسیار قوی باهم دارند. Rincón Crespo اضافه کرد که این موضوع در طول سالیان دیده شده است.
Shamoon که با نام DistTrack نیز شناخته می شود، به عنوان یک بدافزار سرقت اطلاعات عمل می کند که همچنین دارای یک Component مخرب است که به آن اجازه می دهد تا Master Boot Record (MBR) را با داده های دلخواه بازنویسی کند تا دستگاه آلوده را از کار بیاندازد.
بدافزاری که توسط گروه هکری همنام توسعه یافته است که با نام های Magic Hound، Timberworm، COBALT GIPSY نیز شناسایی شده است، برای اولین بار توسط Symantec متعلق به Broadcom در مرداد ماه 1391 ثبت شد. حداقل دو نسخه بهروزرسانی شده Shamoon از آن زمان به وجود آمده است، Shamoon 2 در سال 1395 و Shamoon 3 در سال 1397
در دی ماه 1399، دولت ایالات متحده Shamoon را به عنوان ساخته دست گروهی تحت حمایت دولت ایران نسبت داد و آن را به حملات سایبری که سیستم های کنترل صنعتی را هدف قرار می دهند مرتبط دانست.
از سوی دیگر، حمله (نوع Backdoor) Kwampirs به یک گروه هکری معروف به Orangeworm متصل شده است و Symantec یک کمپین نفوذی را با هدف نهاد های بخش مراقبت های بهداشتی در ایالات متحده، اروپا و آسیا فاش می کند.
Symantec در تحلیلی در فروردین ماه 1397 گفت: «Orangeworm همچنین حملات هدفمندی را علیه سازمان ها در صنایع مرتبط به عنوان بخشی از یک حمله زنجیره ای بزرگ تر انجام داده است تا به قربانیان مورد نظر خود برسد.»
کشف این اتصال توسط Cylera Labs ناشی از artifacts های بدافزار و Component هایی است که قبلاً مورد توجه قرار نگرفته بودند، که گفته می شود یکی از آنها یک نسخه واسطه ای میباشد که یک Shamoon Dropper است، اما ویژگی Wiper را ندارد، در حالی که به طور همزمان از همان Code Loader های Kwampirs استفاده می کند.
علاوه بر این، شباهت های سطح کد بین Kwampirs و نسخههای بعدی Shamoon کشف شده است که شامل قابلیت بازیابی Metadata سیستم، Fetch MAC Address، اطلاعات Layout صفحه کلید قربانی و همچنین استفاده از همان InternetOpenW Windows API برای ایجاد HTTP Request های به سرور فرمان و کنترل (C2) است.
همچنین یک سیستم الگوی رایج برای ایجاد ماژول گزارشگر استفاده می شود که دارای قابلیت آپلود اطلاعات Host و دانلود Payload های اضافی برای اجرا از سرور های C2 است، ویژگی که در نسخه اول Shamoon وجود نداشت.
در اتصال نقاط مختلف، تحقیقات به این ارزیابی منجر شده است که Kwampirs احتمالاً مبتنی بر Shamoon 1 است و Shamoon 2 برخی از کد های خود را از Kwampirs به ارث برده است، به این معنی که اپراتور های هر دو بدافزار زیر گروه های متفاوتی از یک گروه بزرگ یا یک هکر است.
چنین ادعایی بی مقدمه نیست. همین هفته گذشته، Cisco Talos جزئیات TTP گروه هکری MuddyWater را توضیح داد و خاطرنشان کرد که این گروه یک “مجموعه” از چندین تیم است که به طور مستقل به جای یک گروه هکری واحد عمل می کنند.
بدون دیدگاه