ادامه حملات گروه هکری به اهداف آمریکایی با وجود پیگیری‌های قضایی و یافته‌های سیمانتک

گروه سایبری استون‌فلای (Stonefly)، که با نام‌های دیگری همچون Andariel، APT45، Silent Chollima و Onyx Sleet نیز شناخته می‌شود، همچنان به حملات خود علیه اهداف آمریکایی ادامه می‌دهد. این گروه که به کره شمالی وابسته است، حتی پس از صدور کیفرخواست و تعیین جایزه چند میلیون دلاری برای اطلاعات مرتبط با اعضای آن، فعالیت‌های خود را متوقف نکرده است. بر اساس جدیدترین گزارش تیم شکار تهدیدات سیمانتک، این گروه همچنان به حملات مالی علیه سازمان‌های آمریکایی دست می‌زند.

در ادامه این مقاله، به بررسی جزئیات این حملات، ابزارهای مورد استفاده استون‌فلای و تلاش‌های آمریکا برای مقابله با این گروه می‌پردازیم.

کیفرخواست و پیگیری قضایی

در تاریخ ۲۵ جولای ۲۰۲۴، وزارت دادگستری ایالات متحده کیفرخواستی علیه یک شهروند کره شمالی به نام "ریم جونگ هیوک" صادر کرد. بر اساس این کیفرخواست، ریم به دلیل ارتباط با گروه استون‌فلای و نقش او در حملات سایبری علیه بیمارستان‌ها و مؤسسات بهداشتی در آمریکا متهم شد. از جمله اتهامات او، اخاذی مالی از این سازمان‌ها در بازه زمانی ۲۰۲۱ تا ۲۰۲۳ و استفاده از وجوه به‌دست‌آمده برای انجام حملات بیشتر علیه اهداف دفاعی، فناوری و دولتی در سراسر جهان بود.

ریم جونگ هیوک، به‌عنوان یکی از اعضای استون‌فلای، متهم به هماهنگی حملاتی است که هدف آنها کسب درآمد مالی و تقویت زیرساخت‌های حملات بعدی این گروه بوده است. وزارت امور خارجه ایالات متحده همچنین جایزه‌ای تا سقف ۱۰ میلیون دلار برای هرگونه اطلاعات منجر به شناسایی یا دستگیری وی تعیین کرده است.

ادامه حملات: یافته‌های سیمانتک

تیم تهدیدسنجی سیمانتک گزارش داده که حتی پس از انتشار این کیفرخواست، حملات گروه استون‌فلای همچنان ادامه دارد. در ماه آگوست ۲۰۲۴، سیمانتک شواهدی از نفوذ این گروه به شبکه‌های سه سازمان مختلف در آمریکا را کشف کرد. هرچند که در هیچ یک از این موارد، گروه موفق به نصب باج‌افزار نشد، اما شواهد نشان می‌دهد که انگیزه اصلی این حملات مالی بوده است. این سازمان‌ها از شرکت‌های خصوصی بودند و در صنایعی فعالیت می‌کردند که به نظر نمی‌رسید ارزش اطلاعاتی خاصی برای گروه داشته باشند.

ابزارهای مورد استفاده استون‌فلای

گروه استون‌فلای در حملات اخیر خود از مجموعه‌ای از ابزارهای پیشرفته استفاده کرده است که برخی از آنها به‌طور اختصاصی توسط این گروه توسعه یافته و برخی دیگر از ابزارهای عمومی و متن‌باز به‌کار گرفته شده‌اند. از جمله این ابزارها می‌توان به موارد زیر اشاره کرد:

Preft (Dtrack, Valefor): این بدافزار به‌عنوان یک درب پشتی چند مرحله‌ای عمل می‌کند و قادر به دانلود و آپلود فایل‌ها، اجرای دستورات و افزودن پلاگین‌های اضافی است. Preft با استفاده از چندین روش پایداری همچون "Startup_LNK"، "Service"، "Registry" و "Task Scheduler" در سیستم نفوذی باقی می‌ماند.

Nukebot: یک درب پشتی که قادر به اجرای دستورات، دانلود و آپلود فایل‌ها و گرفتن عکس از صفحه‌نمایش است. هرچند این ابزار پیش از این به گروه استون‌فلای نسبت داده نشده بود، اما کد منبع آن لو رفته و احتمالاً این گروه از آن بهره‌برداری کرده است.

Mimikatz: ابزار عمومی معروف برای سرقت اعتبارنامه‌ها که در این حملات از نسخه‌ای سفارشی‌شده استفاده شده است. این نسخه، اطلاعات دزدیده‌شده را به یک فایل خاص در دایرکتوری ویندوز می‌نویسد و به دلیل استفاده در کمپین‌های قبلی به استون‌فلای نسبت داده شده است.

Keyloggers: گروه دو ابزار کی‌لاگر مختلف را برای سرقت اطلاعات از سیستم‌ها به‌کار گرفته است. این ابزارها داده‌های کلیدفشاری و محتوای کلیپ‌بورد را سرقت کرده و اطلاعات را در فایل‌های رمزنگاری‌شده ذخیره می‌کنند.

Chisel و FRP: دو ابزار متن‌باز دیگر که برای ایجاد تونل‌های پروکسی و ارتباطات امن از طریق اینترنت عمومی استفاده شده‌اند. این ابزارها به مهاجمان اجازه می‌دهند تا به‌طور مخفیانه ارتباطات بین سرورها و سیستم‌های هدف را کنترل کنند.

Megatools: این ابزار به‌طور خاص برای استخراج داده‌ها به‌کار رفته است. داده‌های سرقتی از طریق این ابزار به فضای ابری Mega.nz منتقل شده‌اند.

شیوه‌های نفوذ و حمله

یکی از تکنیک‌های کلیدی که استون‌فلای در حملات اخیر خود به‌کار گرفته است، استفاده از گواهینامه‌های جعلی برای اجرای حملات بوده است. به‌عنوان مثال، آنها از یک گواهینامه جعلی از شرکت Tableau استفاده کردند که توسط مایکروسافت مستند شده است. همچنین دو گواهینامه دیگر که به نظر می‌رسد مختص این حمله باشند نیز در این حملات مورد استفاده قرار گرفته‌اند.

به‌علاوه، مهاجمان از فایل‌های دسته‌ای مخرب برای فعال‌سازی اعتبارنامه‌های متن‌باز و تغییر تنظیمات رجیستری استفاده کرده‌اند. این کار باعث می‌شد تا ابزار Mimikatz بتواند اعتبارنامه‌های کاربرانی که به سیستم وارد شده‌اند را سرقت کند.

سابقه گروه استون‌فلای

گروه استون‌فلای اولین بار در جولای ۲۰۰۹ با حملات منع سرویس توزیع‌شده (DDoS) علیه تعدادی از وب‌سایت‌های دولتی و مالی کره جنوبی و ایالات متحده مطرح شد. این گروه در سال ۲۰۱۱ دوباره ظاهر شد و این بار علاوه بر حملات DDoS، به‌طور همزمان از یک تروجان پیشرفته برای جاسوسی استفاده کرد.

در سال ۲۰۱۳، این گروه به حملات پاک‌کننده دیسک علیه بانک‌ها و پخش‌کننده‌های تلویزیونی کره جنوبی مرتبط شد. پس از آن، استون‌فلای چندین حمله DDoS علیه وب‌سایت‌های دولتی کره جنوبی را نیز ترتیب داد.

از سال ۲۰۱۹ به این سو، تمرکز اصلی این گروه بر روی عملیات جاسوسی علیه اهداف باارزش و حساس بوده است. استون‌فلای به‌طور ویژه به دنبال اطلاعات طبقه‌بندی‌شده یا دارایی‌های فکری حساس بوده و عملیات آن به شدت پیشرفته و هدفمند بوده‌اند.

با وجود صدور کیفرخواست علیه یکی از اعضای اصلی گروه استون‌فلای و تعیین جایزه برای اطلاعات مربوط به این گروه، فعالیت‌های آنها همچنان ادامه دارد. یافته‌های سیمانتک نشان می‌دهد که این گروه به‌طور جدی به دنبال حملات مالی است و ابزارهای پیشرفته‌ای را برای دستیابی به اهداف خود به کار می‌گیرد.

حملات گروه استون‌فلای نه‌تنها امنیت سایبری سازمان‌های آمریکایی را تهدید می‌کند، بلکه نشان‌دهنده سطح بالای پیچیدگی و توانمندی این گروه در زمینه نفوذ و جاسوسی سایبری است. مقابله با چنین تهدیداتی نیازمند همکاری‌های گسترده بین‌المللی و به‌روزرسانی مداوم تکنیک‌ها و ابزارهای امنیتی است.

آلما شبکه، با مدیریت جناب آقای وحید فوائدی، آماده ارائه راه حل های امنیتی و نرم افزارهای اورجینال شرکت سیمانتک می باشد.