مرکز تخصصی آپا
گروه هکری «تازهکار» از ایران پشت حملات باجافزاری اخیر Dharma
خلاصه: شرکت امنیت سایبری Group-IB، گروه هکری ایرانی را شناسایی کرده که حملاتی علیه چندین شرکت آسیایی داشته است. حملات این گروه از نوع باجافزار بوده و بدین منظور از باجافزار Dharma استفاده میکند. با توجّه به سطح پائین روشهای مورداستفاده و استفاده از ابزارهای ساده و رایگان، نام «تازهکار» بر این گروه هکری ایرانی نهاده شد.
شرکت امنیت سایبری Group-IB، گروه هکری ایرانی را شناسایی کرده که حملاتی علیه چندین شرکت آسیایی داشته است. حملات این گروه از نوع باجافزار بوده و بدین منظور از باجافزار Dharma استفاده کرده است. این مهاجمین از زبان فارسی برای جستجوی گوگل روی سرورهای به خطر افتاده و از ابزارهای دانلودشده از گروههای تلگرام دامنه ایران استفاده میکنند.
براساس گزارشی که Group-IB، 24 آگوست منتشر کرد؛ قربانیان این حملات شرکتهایی در روسیه، ژاپن، چین و هند بودند. در این حملات، تنها ازابزارهای نفوذی که در GitHub یا کانالهای خاصی در تلگرام در دسترس عموم قرار دارند، استفاده شده است و به نظر میرسد که این گروه، قادر به توسعه ابزارهای اختصاصی خود نیست یا هنوز به منابع مالی کافی برای توسعه یا سفارش ابزارهای پیشرفتهتر دسترسی ندارد. بیشتر آن که استفاده از باجافزار Dharma، نشانهای از مهاجمین کممهارت است؛ چرا که کد منبع باجافزار سال جاری به صورت آنلاین فاش و به اشتراک گذاشته شد. بدین ترتیب با توجّه به سطح پائین روشهای مورداستفاده و استفاده از ابزارهای ساده و رایگان، نام «تازهکار» بر این گروه هکری ایرانی نهاده شد.
به گزارش Group-IB این گروه هکری از پروتکل «دسکتاپ از راه دور» یا RDP استفاده میکند تا بتوانند به شبکه هدف نفوذ کند. به دلیل سهولت شناسایی سیستمهای RDP ، استفاده از اعتبارنامههای ضعیف و اعتبارسنجی ناکافی آنها، درحال حاضر پروتکل RDP یکی از اصلی ترین نقاط نفوذ به شبکههای سازمانی برای گروههای باج افزاری است.
گروه «تازهکار» علیرغم حمله به شرکتهای بخش خصوصی کشورهای مذکور، تقاضای باجهای صدها هزار/ میلیون دلاری نداشته و به 1 تا 5 بیتکوین (معادل 10 تا 50 هزار دلار) اکتفا کرده است. به احتمال زیاد شرکتها به راحتی پول را پرداخته و گروه به سادگی فایلهای رمزشده را رمزگشایی میکند. اساساً گروه «تازهکار» فرسنگها از مهمترین گروه باجافزاری ایران یعنی SamSam فاصله دارد ولی به اندازه خودش توانسته موفّق باشد. گروه SamSam یک گروه هکری حرفهای است که بدافزارهای بسیار پیچیدهای ایجاد و علیه شرکتهای بزرگ و نهادهای دولتی از آنها استفاده میکند.
پیش از سالهای 2018-2017، پیادهسازی حملات باجافزاری نیاز به مهاجمینی مستعد و ماهرداشت. امّا امروزه حتّی گروههای مبتدی نیز میتوانند با استفاده از ابزارهای هک رایگان و روشهای پیشپاافتادهای که در انجمنهای هک و نفوذ فرامیگیرند؛ امنیت سازمانهای کوچک و بزرگ را تهدید کنند. در حالی که برخی انگشت اتهام خود را به سمت برنامههای اشتراکگذاری منابع ( همچون تلگرام یا GitHub) نشانه رفتهاند؛ واقعیت آن است که مقصر اصلی سازمانهایی هستند که هنوز رعایت ابتداییترین مکانیزمها و روشهای امنیتی و آموزش کارمندان خود را دستکم گرفتهاند.
