استفاده مخرب هکرها از سرویس‌های ابری، گزارشی از یافته‌های جدید سیمانتک

در سال‌های اخیر، یکی از روش‌های رایج و پرکاربرد هکرها، به‌کارگیری سرویس‌های ابری معتبر برای انجام حملات سایبری است. استفاده از این سرویس‌ها، به دلیل زیرساخت‌های ارزان و مخفیانه، به شدت افزایش یافته است. بازیگران مختلف، از گروه‌های جاسوسی تحت حمایت دولت‌ها گرفته تا هکرهای مستقل، از این سرویس‌ها برای انجام فعالیت‌های مخرب خود بهره می‌برند. طبق یافته‌های جدید سیمانتک، این روند نه تنها رشد یافته بلکه به تکامل نیز رسیده است. در این مقاله، به بررسی یافته‌های سیمانتک در زمینه نحوه سوءاستفاده این بازیگران از سرویس‌های ابری معتبر پرداخته خواهد شد.

استفاده هکرها از سرویس‌های ابری معتبر

سرویس‌های ابری مانند Google Drive و Microsoft OneDrive به دلیل اعتبار بالایی که دارند، به عنوان زیرساخت‌های مناسبی برای حملات سایبری مورد استفاده قرار می‌گیرند. بازیگران تهدید به جای استفاده از سرورهای تحت کنترل خود که ممکن است سریعاً شناسایی شوند، از این سرویس‌ها برای ایجاد زیرساخت‌هایی جهت انجام حملات، ارتباط با سرورهای فرماندهی و کنترل (C&C) و نیز سرقت اطلاعات بهره می‌گیرند. از آنجا که ترافیک ارتباطات میان قربانی و سرویس‌های ابری مانند Microsoft OneDrive یا Google Drive، عموماً مشکوک به نظر نمی‌رسد، این روش به هکرها اجازه می‌دهد که با احتمال کم‌تری از شناسایی فرار کنند.

بررسی حملات اخیر: ابزارها و روش‌ها

در چند هفته اخیر، تیم شکار تهدید سیمانتک موفق به کشف سه عملیات جاسوسی مختلف شده است که از سرویس‌های ابری به‌عنوان زیرساخت اصلی خود استفاده می‌کنند. این تیم شواهدی از توسعه ابزارهای جدید توسط بازیگران تهدید به دست آورده است. این عملیات‌های جاسوسی که توسط بازیگران مختلف در کشورهای آسیایی صورت گرفته، نشان‌دهنده استفاده فزاینده از سرویس‌های ابری در حملات پیچیده است.

گراگر (Grager)

یکی از حملاتی که به‌طور خاص توسط سیمانتک کشف شد، حمله‌ای با استفاده از بک‌دور جدیدی به نام «گراگر» (Trojan.Grager) بود. این بک‌دور که در ماه آوریل 2024 علیه سازمان‌هایی در تایوان، هنگ کنگ و ویتنام استفاده شد، از API گراف مایکروسافت برای ارتباط با سرورهای C&C استفاده کرده است. هکرها از یک URL تایپو اسکوئیت شده که به نظر می‌رسید متعلق به نرم‌افزار آرشیو فایل 7-Zip باشد، برای نصب این بدافزار استفاده کرده‌اند.

گراگر، پس از نصب بر روی سیستم قربانی، توانایی‌های مختلفی از جمله بارگذاری و دانلود فایل‌ها، اجرای فایل‌ها و جمع‌آوری اطلاعات مربوط به سیستم‌های فایل و شبکه را دارا است. این ابزار از نام کاربری و توکن‌های ذخیره شده برای برقراری ارتباطات خود استفاده می‌کند و بدافزارهای دیگری مانند «تونرجام» (Tonerjam) را نیز در کنار خود بارگذاری می‌کند.

گوگرا (GoGra)

یکی دیگر از ابزارهای مخرب کشف شده توسط تیم سیمانتک، بدافزاری به نام «گوگرا» (Trojan.Gogra) بود. این بدافزار در نوامبر 2023 علیه یک سازمان رسانه‌ای در جنوب آسیا مورد استفاده قرار گرفت. گوگرا که با استفاده از زبان برنامه‌نویسی Go توسعه یافته است، از API گراف مایکروسافت برای برقراری ارتباط با سرویس‌های ابری مایکروسافت، به ویژه سرویس‌های ایمیل، استفاده می‌کند.

گوگرا پیام‌های دریافتی از یک حساب کاربری Outlook مشخص را خوانده و پس از رمزگشایی محتوای پیام‌ها با استفاده از الگوریتم AES-256، فرمان‌های دریافت شده را اجرا می‌کند. این بدافزار پس از اجرای فرمان‌ها، نتیجه آن را رمزگذاری کرده و به همان کاربر ارسال می‌کند. تیم سیمانتک احتمال می‌دهد که این ابزار توسط یک گروه تحت حمایت دولتی به نام «هاروستر» (Harvester) توسعه داده شده باشد.

ابزارهای اکسیل‌تراسیون از Google Drive

یکی از دیگر حملات قابل توجه، استفاده از ابزار اکسیل‌تراسیون جدیدی بود که توسط گروه جاسوسی «فایرفلای» در حمله به یک سازمان نظامی در جنوب شرق آسیا مورد استفاده قرار گرفت. این ابزار که بر پایه کلاینت Google Drive و با استفاده از زبان برنامه‌نویسی پایتون توسعه یافته بود، وظیفه داشت تا فایل‌های مهم را جستجو و به حساب Google Drive مهاجمان ارسال کند. بیشتر فایل‌های استخراج شده توسط این ابزار، فایل‌های رمزگذاری شده RAR بودند که احتمالاً توسط مهاجمان یا ابزارهای دیگری در سیستم قربانی ایجاد شده بودند.

روند رو به رشد استفاده از سرویس‌های ابری در حملات سایبری

استفاده از سرویس‌های ابری برای کنترل و فرماندهی در حملات سایبری یک روش جدید نیست، اما در سال‌های اخیر، این روش به شدت رایج شده است. به‌عنوان مثال، گروه جاسوسی «ولکسیتی» (Volexity) در سال 2021 از ابزارهایی برای استفاده از API گراف مایکروسافت در حملات خود استفاده کرده بود. پس از آن، سیمانتک چندین ابزار دیگر از گروه‌های مختلف را کشف کرد که از سرویس‌های ابری استفاده می‌کردند، از جمله بدافزار «گرافیت» که توسط گروه جاسوسی روسی «سوالو‌تیل» (Swallowtail) توسعه داده شده بود.

امروزه تعداد بیشتری از بازیگران تهدید به تقلید از این روش‌ها پرداخته‌اند و سرویس‌های ابری را به عنوان زیرساخت اصلی خود برای حملات انتخاب کرده‌اند. این نشان می‌دهد که این روش‌ها به دلیل موفقیت‌هایی که در حملات قبلی به‌دست آورده‌اند، توسط سایر گروه‌های هکری نیز به کار گرفته شده‌اند.

روش‌های محافظت و کاهش خطر

برای مقابله با این نوع حملات، استفاده از روش‌های محافظتی مناسب بسیار حائز اهمیت است. شرکت‌ها و سازمان‌ها باید به‌طور دقیق ترافیک شبکه خود را پروفایل کنند و هر گونه ناهنجاری در ارتباطات با سرویس‌های ابری را شناسایی کنند.

برخی از بهترین روش‌های پیشنهادی توسط سیمانتک عبارت‌اند از:

مسدود کردن سرویس‌های ابری غیرضروری: تنها سرویس‌هایی که به‌صورت رسمی مورد استفاده سازمان قرار دارند، باید دسترسی داشته باشند و سایر سرویس‌های ابری باید مسدود شوند.

نظارت بر فایل‌های بزرگ: آپلود فایل‌های بزرگ به سرویس‌های ابری باید به‌دقت نظارت شود و از هرگونه ناهنجاری در این زمینه جلوگیری گردد.

استفاده از لیست سفید برنامه‌ها: اجرای برنامه‌ها باید محدود به آن‌هایی باشد که تأیید شده و مورد اعتماد سازمان هستند.

مسدود کردن ارتباطات مشکوک: هرگونه تلاش برای برقراری ارتباط توسط فرایندهای غیرمجاز با سرویس‌های ابری باید مسدود شود.

سرویس‌های ابری معتبر همچنان به‌عنوان یکی از ابزارهای مورد علاقه بازیگران تهدید برای انجام حملات سایبری باقی می‌مانند. همان‌طور که یافته‌های سیمانتک نشان می‌دهند، تعداد زیادی از گروه‌های هکری از این سرویس‌ها برای ایجاد زیرساخت‌های حملات خود استفاده می‌کنند. با توجه به پیچیدگی و پیشرفته‌تر شدن این حملات، سازمان‌ها باید به‌طور جدی به تقویت روش‌های امنیتی خود پرداخته و از شناسایی و مسدود کردن هرگونه فعالیت مشکوک در این زمینه اطمینان حاصل کنند. آلما شبکه با مدیریت جناب آقای وحید فوائدی، آماده ارائه انواع لایسنس های سیمانتک به شما مشتریان عزیز می باشد.