📌 حمله خرس سیاه به چشم عقاب، عملیات بر علیه یانکیها در مرزهای سایبرنتیکدر سال 2008 یک مهاجم ناشناس به شبکههای وزارت دفاع آمریکا نفوذ کرد. مدافعان امنیت سایبری در ماه اکتبر موفق به شناسایی یک بدافزار شدند که این بدافزار بعدها توسط شرکت امنیتی F-Secure با عنوان Agent.btz یا BTZ نامیده شد. این بدافزار بعد از اجرا شدن در سیستم هدف به سرور C&C خود متصل میشد. شایان ذکر است، این بدافزار بسیار پیچیده بود و پس از اجرا شدن در سیستم قربانی عملا تشخیص آن دشوار بود.
برخلاف اکثر حملات دولتی مهاجمین از یک روش غیرمرسوم برای بدست آوردن دسترسی اولیه از سیستمهای وزارت دفاع آمریکا (DOD) استفاده کردند. آنها به شکل هدفمندی فلشهای USB آلوده به BTZ را در مکانهایی که فاصله نزدیکی با تاسیسات وزارت دفاع آمریکا داشت قرار دادند. به گفته مقامات نظامی احتمالا یکی از سربازان یا کارمندان فلش آلوده را پیدا کرده و به سیستمهای وزارت دفاع متصل کرده که موجب آلوده شدن سیستمها به BTZ شد. شایان ذکر است، وزارت دفاع بدافزار BTZ را به یک آژانس اطلاعات خارجی نسبت داد.
بدافزار موجود در فلش یک نوع کرم بوده است که پس از ورود به سیستم هدف شروع به آلوده کردن دیگر سیستمها میکرد. این بدافزار پس از آلوده کردن سیستمهای جدید به دنبال اسناد آفیس که حاوی اطلاعات محرمانه بودند میگشت و پس از پیدا کردن اسناد مربوطه آن را به C&C خود ارسال میکرد.
حدود 14 ماه زمان برد تا وزارت دفاع توانست خود را در مقابل این تهدید میتیگیت کند، زیرا کرم BTZ به سرعت انتشار پیدا میکرد. رویکرد اولیه که شامل شناسایی و حذف بدافزار از سیستمهای آلوده بود که این رویکرد موٍثر واقع نشد. وزارت دفاع یک رویکرد برای مقابله موثر با بدافزار در پیش گرفت، این سازمان شروع به بررسی و تحلیل ارتباطات بدافزار مذکور با سرور C&C کرد و در گام بعد یک سرور پروکسی را میان بدافزار و سرور C&C قرار داد که اینکار سبب این می شد که براحتی بتوانند به مطالعه و واکاوی ساختاری ارتباطی بدافزار با سرور C&C بپردازند. سپس با اطلاعات بدست آمده وزارت دفاع توانست سرور مهاجم مهاجم را اسپوف کرده و دستور terminate را به بدافزار ارسال کرد که موجب رفع آلودگی شد.
واشنگتن پست اولین بار این داستان را منتشر کرد و اطلاعات ایالات متحده مشخص میکرد که این کمپین با نام مستعار Buckshot Yankee با سازمان اطلاعات روسیه یعنی
FSB مرتبط است. تحلیلهای وندورهای امنیت نشان میداد که زمانهایی که مهاجمان بر روی شبکههای قربانی در حال انجام فعالیت بودند با ساعت کاری استاندارد در مسکو مطابقت داشت علاوه بر این تحقیقات نشان میداد که قبل از کشف بدافزار در سال 2008 این جمله سایبری به مدت چند سال در جریان بوده و به سازمانهای دیپلماتیم، سیاسی و نظامی انجام شده بود.
پ.ن: پس از عملیات Buckshot Yankee، فرماندهی سایبری ایالات متحده (USCYBERCOM) ایجاد شد.
✍️ نویسنده میلاد کهساری الهادی و محمد مهدی انبارکی
➖راهبر فنی تحقیقات تیم آیو / مدرس برنامهنویسی سیستمی
➖کارشناس ارشد / مدرس حملات ردتیم ⏰ سه شنبه - ۹ اَمرداد ۱۴۰۳@aioooir |
#cybernetics_espionage #fsb #pentagon #cia