Ai000 Cybernetics QLab
#moonlight
Channel
1.99K
subscribers
219
photos
73
videos
62
links
Ai000 Cybernetic QLab is a non-profit research place which is focus on novel defensive and offensive services to protect our customers.
Admin: @clightning
📌شبگردی مخوف: جزئیات هولناک عملیات جاسوسی سایبری Moonlight Maze - بخش دوم
پس از اینکه FBI دریافت که قربانیان به شکل آگاهانه در سرقت کردنشیالها دست نداشتند، سبب شد FBI مطمئن شود که قربانیان در حمله نقشی نداشتند. کارگروه مشترک تمرکز خود را بر شواهد سایبری گذاشت و لاگهای سیستمهای قربانیان دانشگاهی را برای تجزیه و تحلیل جمعآوری کرد.
در 29 جولای 1998، نماینده سازمان تحقیقات کارولینای جنوبی (SCRA) با یکی از مأموران کارگروه Moonlight Maze تماس گرفت. نماینده SCRA ادعایی مبنی بر مورد حمله قرار گرفتن توسط مهاجمی ناشناس که از روسیه نشأت گرفته است داشت. بنظر میرسید این مهاجم با استفاده از زیرساخت SCRA به یک کامپیوتر در پایگاه هوایی Wright Patterson متصل شده است.
اینجا دقیقا نقطهای بود که FBI در انتظار آن بود. SCRA متوجه شده بود که مورد حمله قرار گرفته است و جزئیاتی از انتقال فایلها از پایگاه هوایی Wright Patterson و SCRA به یک کامپیوتر مستقر در روسیه بدست آورد. لاگها حاوی جزئیاتی درباره فایلهای سرقت شده و اتصالات بودند که موجب بدست آوردن بینشهایی از اهداف مهاجم میشد. مهاجم بدنبال نمودارهای مهندسی و تحقیقاتی در مورد فناوری دفاعی برای تشخیص و مقابله با موشکهای بالستیک قارهپیما (هستهای) بود. شایان ذکر است این دادهها از آمریکا در مقابل حملات موشکی محافظت میکردند.
در ژانویه 1999، یکسری نقض جدید در آزمایشگاه ملی Brookhaven، وزارت دفاع (DOD) و چندین سیستم وزارت دفاع واقع در ویکسبورگ میسیسیپی رخ داد. وزارت دفاع یک هانیپات مشابه آنچه که در برکلی ایجاد شده بود راهاندازی کرد. بر اساس گزارشهای رسمی، وزارت دفاع در هانیپات یک سند که در آن کد ردیاب جاسازی شده بود توانست مکان واقعی مهاجم را ردیابی کند. در نهایت، وزارت دفاع آمریکا با بررسیهایی که انجام داد متوجه شد فایلهای سرقت شده به یک آدرس IP که مرتبط با آکادمی علوم روسیه بود منتقل شدهاند. شایان ذکر است آکادمی علوم روسیه مرتبط به دولت و ارتش روسیه است.
مدتی پس از وقوع این حوادث، رسانهها از این داستان مطلع شدند و گزارشهای برنامه خبری شبانه ABC و نیویورک تایمز به جزئیات حملات چند ساله پرداختند. این خبرگزاریها این حادثه را بهعنوان مجموعهای از ابتکارات انجام شده توسط یک کشور بهجهت سرقت اطلاعات حساس از آمریکا طی سالهای متمادی معرفی کردند. پس از اینکه این حمله توسط رسانههای جهانی اعلام شد که این حملات توسط روسیه انجام شدهاند، با این حال مهاجمین به کار خود ادامه دادند و عملیات خود را گسترش دادند و اهداف جدیدی را مورد حمله قرار دادند که سبب شد عملیات گستردهتر از پیش شود. مدتی بعد مهاجم روسی به دو آزمایشگاه تحقیقاتی وابسته به وزارت دفاع نفوذ کردند.
در نهایت، این کمپین جاسوسی فعالیتش پایان یافت و در 2 آوریل 1999 مأموران FBI عازم مسکو شدند تا با پرسنل ارشد نظامی در مقر وزارت دفاع روسیه دیدار کنند. مأموران FBI دادهها و یافتههایشان را به روسها ارائه دادند و مأموران FBI شواهدی را ارائه کردند که نشان میداد این حملات از سرورهای وابسته به آکادمی علوم روسیه نشأت گرفتهاند. روز بعد، مأموران FBI هتل خود را ترک کرده و در حال رفتن به مقر وزارت دفاع روسیه بودند که به ادامه مذاکرات بپردازند که اسکورت روسی مسیر آنها را تغییر داد و آنها را به یک گردش اجباری برد.
چند روز گذشت و مشخص شد روسها علاقهای به مذاکره و همکاری با مأموران FBI ندارند و در نهایت مأموران FBI به کشور خود بازگشتند. مأموران FBI عملاً دست خالی به کشور خود بازگشتند اما بیخیال نشدند و با پشتکار و تحلیلهای قوی توانستند زیرساخت، ابزارها، اکسپلویت و کدهای مخرب مرتبط با Moonlight Maze را کشف و شناسایی کنند که در نهایت FBI به شواهدی رسید که احتمال دست داشتن دولت روسیه در این حملات را تأیید میکرد.
✍️ نویسنده میلاد کهساری الهادی و محمد مهدی انبارکی
➖راهبر فنی تحقیقات تیم آیو / مدرس برنامهنویسی سیستمی
➖کارشناس ارشد / مدرس حملات ردتیم
⏰ جمعه - ۱۲ اَمرداد ۱۴۰۳
@aioooir | #moonlight #maze #russia
پس از اینکه FBI دریافت که قربانیان به شکل آگاهانه در سرقت کردنشیالها دست نداشتند، سبب شد FBI مطمئن شود که قربانیان در حمله نقشی نداشتند. کارگروه مشترک تمرکز خود را بر شواهد سایبری گذاشت و لاگهای سیستمهای قربانیان دانشگاهی را برای تجزیه و تحلیل جمعآوری کرد.
در 29 جولای 1998، نماینده سازمان تحقیقات کارولینای جنوبی (SCRA) با یکی از مأموران کارگروه Moonlight Maze تماس گرفت. نماینده SCRA ادعایی مبنی بر مورد حمله قرار گرفتن توسط مهاجمی ناشناس که از روسیه نشأت گرفته است داشت. بنظر میرسید این مهاجم با استفاده از زیرساخت SCRA به یک کامپیوتر در پایگاه هوایی Wright Patterson متصل شده است.
اینجا دقیقا نقطهای بود که FBI در انتظار آن بود. SCRA متوجه شده بود که مورد حمله قرار گرفته است و جزئیاتی از انتقال فایلها از پایگاه هوایی Wright Patterson و SCRA به یک کامپیوتر مستقر در روسیه بدست آورد. لاگها حاوی جزئیاتی درباره فایلهای سرقت شده و اتصالات بودند که موجب بدست آوردن بینشهایی از اهداف مهاجم میشد. مهاجم بدنبال نمودارهای مهندسی و تحقیقاتی در مورد فناوری دفاعی برای تشخیص و مقابله با موشکهای بالستیک قارهپیما (هستهای) بود. شایان ذکر است این دادهها از آمریکا در مقابل حملات موشکی محافظت میکردند.
در ژانویه 1999، یکسری نقض جدید در آزمایشگاه ملی Brookhaven، وزارت دفاع (DOD) و چندین سیستم وزارت دفاع واقع در ویکسبورگ میسیسیپی رخ داد. وزارت دفاع یک هانیپات مشابه آنچه که در برکلی ایجاد شده بود راهاندازی کرد. بر اساس گزارشهای رسمی، وزارت دفاع در هانیپات یک سند که در آن کد ردیاب جاسازی شده بود توانست مکان واقعی مهاجم را ردیابی کند. در نهایت، وزارت دفاع آمریکا با بررسیهایی که انجام داد متوجه شد فایلهای سرقت شده به یک آدرس IP که مرتبط با آکادمی علوم روسیه بود منتقل شدهاند. شایان ذکر است آکادمی علوم روسیه مرتبط به دولت و ارتش روسیه است.
مدتی پس از وقوع این حوادث، رسانهها از این داستان مطلع شدند و گزارشهای برنامه خبری شبانه ABC و نیویورک تایمز به جزئیات حملات چند ساله پرداختند. این خبرگزاریها این حادثه را بهعنوان مجموعهای از ابتکارات انجام شده توسط یک کشور بهجهت سرقت اطلاعات حساس از آمریکا طی سالهای متمادی معرفی کردند. پس از اینکه این حمله توسط رسانههای جهانی اعلام شد که این حملات توسط روسیه انجام شدهاند، با این حال مهاجمین به کار خود ادامه دادند و عملیات خود را گسترش دادند و اهداف جدیدی را مورد حمله قرار دادند که سبب شد عملیات گستردهتر از پیش شود. مدتی بعد مهاجم روسی به دو آزمایشگاه تحقیقاتی وابسته به وزارت دفاع نفوذ کردند.
در نهایت، این کمپین جاسوسی فعالیتش پایان یافت و در 2 آوریل 1999 مأموران FBI عازم مسکو شدند تا با پرسنل ارشد نظامی در مقر وزارت دفاع روسیه دیدار کنند. مأموران FBI دادهها و یافتههایشان را به روسها ارائه دادند و مأموران FBI شواهدی را ارائه کردند که نشان میداد این حملات از سرورهای وابسته به آکادمی علوم روسیه نشأت گرفتهاند. روز بعد، مأموران FBI هتل خود را ترک کرده و در حال رفتن به مقر وزارت دفاع روسیه بودند که به ادامه مذاکرات بپردازند که اسکورت روسی مسیر آنها را تغییر داد و آنها را به یک گردش اجباری برد.
چند روز گذشت و مشخص شد روسها علاقهای به مذاکره و همکاری با مأموران FBI ندارند و در نهایت مأموران FBI به کشور خود بازگشتند. مأموران FBI عملاً دست خالی به کشور خود بازگشتند اما بیخیال نشدند و با پشتکار و تحلیلهای قوی توانستند زیرساخت، ابزارها، اکسپلویت و کدهای مخرب مرتبط با Moonlight Maze را کشف و شناسایی کنند که در نهایت FBI به شواهدی رسید که احتمال دست داشتن دولت روسیه در این حملات را تأیید میکرد.
✍️ نویسنده میلاد کهساری الهادی و محمد مهدی انبارکی
➖راهبر فنی تحقیقات تیم آیو / مدرس برنامهنویسی سیستمی
➖کارشناس ارشد / مدرس حملات ردتیم
⏰ جمعه - ۱۲ اَمرداد ۱۴۰۳
@aioooir | #moonlight #maze #russia
📌شبگردی مخوف: جزئیات هولناک عملیات جاسوسی سایبری Moonlight Maze - بخش اول
در سال 1999، در فرودگاه دالاس ویرجینیا، مأموران FBI سوار هواپیمای 2772 به مقصد مسکو شدند تا حمله سایبری که به وزارت امور خارجه آمریکا شده بود را بررسی کنند. این حمله سایبری با نام Moonlight Maze شناخته میشد.
از نظر FBI، دولت روسیه مظنون به دست داشتن در حملات علیه ایالات متحده بود. در تحقیقاتی که FBI با مشاوره سفیر آمریکا انجام داده بود، شواهدی بدست آمد که نشان میداد این یک حمله ساده نبوده بلکه یک عملیات هماهنگ، بلندمدت و چند هدفه بوده است. هدف این حملات سرقت دادههای حساس آمریکا بوده است.
یک سال قبل از سفر مأموران FBI به روسیه، یک کارگروه مشترک متشکل از دفتر تحقیقات ویژه نیروی هوایی و FBI ایجاد شد. این دو آژانس شواهدی از حملات سایبری از مبدأ چند کشور علیه سازمانهای نظامی، دولتی و آموزشی بدست آورده بودند و سعی داشتند روشها و ابزارهای مورد استفاده مهاجمین را شناسایی کنند. اما باید در وهله اول مشخص میکردند آیا یک سرویس اطلاعاتی این حملات را هدایت میکند یا خیر، و اگر چنین است، کدام سرویس است.
این کارگروه مشترک کاری بسیار دشوار پیش رو داشت زیرا مهاجم بسیاری از زیرساختهای وزارت دفاع آمریکا (DOD) از جمله پایگاه نیروی هوایی Wright Patterson، آزمایشگاههای تحقیقاتی ارتش (ARL) و سیستمهای نظامی غیرمحرمانه را مورد حمله قرار داده بود. علاوه بر این، مهاجم از زیرساختهای چندین دانشگاه در آمریکا استفاده کرده بود. شایان ذکر است که دانشگاهها جزو اهداف اصلی نبودند بلکه مهاجم از آنها بهعنوان منبعی برای فاز بعدی حمله استفاده میکرد.
مأموران FBI شروع به مصاحبه با قربانیانی که در بخش IT و مهندسی این دانشگاهها مشغول به کار بودند کردند. مأموران سؤالاتی مرتبط با کردنشیال و بطور کل رمز عبور آنها پرسیدند. برای مثال، آیا از رمزعبورهای یکسانی برای حسابهای مختلف استفاده میکردند یا کردنشیال خود را با دیگران به اشتراک گذاشته بودند یا خیر. امروزه به ندرت این سؤالات توسط یک تیم تحقیقاتی رسمی پرسیده میشود زیرا روزانه سرقت کردنشیال انجام میشود. اما اگر به دهه 90 بازگردیم، اینگونه حملات غیرمعمول بودند و FBI تنها تجربه انجام تحقیقاتی که مربوط به انسان میشد را داشت و تجربهای در رابطه با تحقیقات سایبری نداشت.
@aioooir | #moonlight #maze #russia
در سال 1999، در فرودگاه دالاس ویرجینیا، مأموران FBI سوار هواپیمای 2772 به مقصد مسکو شدند تا حمله سایبری که به وزارت امور خارجه آمریکا شده بود را بررسی کنند. این حمله سایبری با نام Moonlight Maze شناخته میشد.
از نظر FBI، دولت روسیه مظنون به دست داشتن در حملات علیه ایالات متحده بود. در تحقیقاتی که FBI با مشاوره سفیر آمریکا انجام داده بود، شواهدی بدست آمد که نشان میداد این یک حمله ساده نبوده بلکه یک عملیات هماهنگ، بلندمدت و چند هدفه بوده است. هدف این حملات سرقت دادههای حساس آمریکا بوده است.
یک سال قبل از سفر مأموران FBI به روسیه، یک کارگروه مشترک متشکل از دفتر تحقیقات ویژه نیروی هوایی و FBI ایجاد شد. این دو آژانس شواهدی از حملات سایبری از مبدأ چند کشور علیه سازمانهای نظامی، دولتی و آموزشی بدست آورده بودند و سعی داشتند روشها و ابزارهای مورد استفاده مهاجمین را شناسایی کنند. اما باید در وهله اول مشخص میکردند آیا یک سرویس اطلاعاتی این حملات را هدایت میکند یا خیر، و اگر چنین است، کدام سرویس است.
این کارگروه مشترک کاری بسیار دشوار پیش رو داشت زیرا مهاجم بسیاری از زیرساختهای وزارت دفاع آمریکا (DOD) از جمله پایگاه نیروی هوایی Wright Patterson، آزمایشگاههای تحقیقاتی ارتش (ARL) و سیستمهای نظامی غیرمحرمانه را مورد حمله قرار داده بود. علاوه بر این، مهاجم از زیرساختهای چندین دانشگاه در آمریکا استفاده کرده بود. شایان ذکر است که دانشگاهها جزو اهداف اصلی نبودند بلکه مهاجم از آنها بهعنوان منبعی برای فاز بعدی حمله استفاده میکرد.
مأموران FBI شروع به مصاحبه با قربانیانی که در بخش IT و مهندسی این دانشگاهها مشغول به کار بودند کردند. مأموران سؤالاتی مرتبط با کردنشیال و بطور کل رمز عبور آنها پرسیدند. برای مثال، آیا از رمزعبورهای یکسانی برای حسابهای مختلف استفاده میکردند یا کردنشیال خود را با دیگران به اشتراک گذاشته بودند یا خیر. امروزه به ندرت این سؤالات توسط یک تیم تحقیقاتی رسمی پرسیده میشود زیرا روزانه سرقت کردنشیال انجام میشود. اما اگر به دهه 90 بازگردیم، اینگونه حملات غیرمعمول بودند و FBI تنها تجربه انجام تحقیقاتی که مربوط به انسان میشد را داشت و تجربهای در رابطه با تحقیقات سایبری نداشت.
@aioooir | #moonlight #maze #russia