Skip to Content

نمایشگر دسته ای مطالب نمایشگر دسته ای مطالب

بازگشت به صفحه کامل

تلاش گروه جاسوسی روسی برای سخت‌تر کردن عبور و مرورهای غیرعادی در برخی سازمان ها

دامنه نما روش بازرسی اطلاعات به شکل جانبی ست که شامل تغییر قیافه دادن عبور و مرور میشود تا بنظر بیاید به میزبانی که بازرس اطلاعات به آن مجوز داده است میرود، مثل گوگل، آمازون یا کلودفلر(cloudflare). شرکت سیستم های زمزمه باز (Open Whisper) اخیرا روشی برای کمک به کاربران نرم‌افزار سیگنال در مصر و امارات برای عبور از  سانسور دولتی، انجام داده است.

براساس گزارش فایر آی؛ این روش حداقل 2سال است بوسیله ی عامل تهدیدآمیز APT29 استفاده میشود، که بنامهای دوکها، خرس راحت و دوک راحت نیز شناخته میشود. این گروه بعنوان عامل پشت صحنه ی حمله ی انتخاباتی اخیر در آمریکا و لشکری که سازمانهای مشخصات‌بالا را در نروژ هدف قرار دادند شناخته میشود.

APT29 از شبکه تُر(Tor) برای ارتباط با ماشینهای آلوده شده استفاده کرده است، که میتوانست توسط بعضی از پدافندگرها مشکوک بحساب آید. برای تغییر قیافه دادن عبور و مرور تُر  به عبور و مرور ظاهرا قانونی، جاسوسان سایبری از میک استفاده کردند، یک پلاگین از تُر که جلوقراردادن دامنه را اجرا میکند و به کاربران اجازه میدهد که عبور و مرور را با شکل درخواست بی‌ضرر HTTPS POST به گوگل، به تُر بفرستند.

در حملاتش، APT29 از PowerShell و یک فایل با پسوند bat برای نصب Tor client و پلاگینِ میک(Meek plugin) در سیستم هدف، استفاده کرد. آنها به شاهکاری نفوذ کردند که شامل خصیصه ی دسترسی کلیدهای چسبنده میشد، جایی که آنها اجراپذیر قانونی را با Windows Command Prompt (cmd.exe) جابجا کردند. چنین چیزی برای مهاجم شرایطی  را فراهم  میکند تا از آن برای دستورات اجرایی با امتیازات در سطح سیستم (SYSTEM-level) استفاده کنند که شامل اضافه کردن یا مدیریت حساب میشود.

محیطی  که شاهکار کلیدهای چسبنده را اجرا میکند، سرویس ویندوزی را نیز بنام "بروزرسانی گوگل" بوجود می آورد برای اطمینان از راه فراری که حتی بعد از دوباره راه اندازی سیستم باقی بماند.

متیو دان وودی از فایر آی میگوید: APT29 دامنه نما را خیلی قبل تر از این شهرت گسترده، در بین خود پذیرفت. با بکارگیری یک اجرای در دسترس عموم، قادر شدند که عبور و مرور شبکه‌ای خود، بهمراه تحقیق و توسعه ی جزئی و با ابزارهایی که حمل آنها سخت است را پنهان کنند. تشخیص این فعالیت روی شبکه، نیازمند پدیداری در ارتباطات TLS و امضاهای شبکه‌ایِ موثر است.