چند روز پیش خبرهایی از نفوذ هکرهای پیشرفته به تاسیسات هسته‌ای در آمریکا و برخی کشورهای دیگر منتشر شد. اکنون، محققان تکنیک‌های مورد استفاده هکرها برای دستیابی به اختیاراتی در تاسیسات انرژی مشابه را تشریح می‌کنند.

چند روز پیش خبرهایی از نفوذ هکرهای پیشرفته به تاسیسات هسته‌ای در آمریکا و برخی کشورهای دیگر منتشر شد. اکنون، محققان تکنیک‌های مورد استفاده هکرها برای دستیابی به اختیاراتی در تاسیسات انرژی مشابه را تشریح می‌کنند.

سیسکو تالوس گزارش داد که حمله‌های مبتنی بر ایمیل که از روش‌های تزریق قالب استفاده می‌کنند و تاسیسات اتمی و سایر قربانیان را هدف می‌گیرند از ماه می جریان داشته اند.

افراد متخاصم از حملات فیشینگ کلاسیک مبتنی بر اسناد ورد بهره می‌برند، اما بر خلاف انتظار فایل‌های ورد مورد استفاده دارای ماکروی VBA یا اسکریپت جاسازی شده‌ای نیستند، بلکه فایل‌های مورد استفاده (که به پیوست ایمیل ارسال شده اند) یک فایل قالب .dotm را با استفاده از اتصال SMB از یک سرور بدخواه دانلود می‌کنند و با استفاده از آن اطلاعات و گواهی‌های کاربران را به دست می‌آورند.

سیسکو تالوس ادعا نمی‌کند که این حمله خاص در برابر شرکت هسته‌ای Wolf Creek استفاده شده یا در رابطه با حملات فهرست شده در گزارش مشترک DHS و FBI مورد استفاده قرار می‌گیرد. همچنین محققان ادعا نکرده اند که سیستم کنترل کننده پلان‌های انرژی مورد نفوذ قرار گرفته یا دچار اختلال شده باشند.

طبق گفته تالوس، فایل ورد سعی می‌کند یک فایل قالب را از یک IP خاص دانلود کند. اما این کار به وسیله یک درخواست SMB از طریق پورت TCP 445 صورت می¬گیرد نه پورت 80. سپس در هنگام درخواست قالب یک اتصال WebDAV روی نشست SMB ایجاد می شود .

با استفاده از اتصال WebDAV فایل DOCX یک Relationship ID خاص را درخواست می¬کند که در فایل word/_rels/settings.xml.rels یا دستورات XML موجود است. این ID مشابه ID مورد استفاده در ابزار Phishery است. Phishery یک ابزار فیشینگ است که در Github قرار دارد.

ابزار Phishery بدین ترتیب کار می‌کند که وقتی قربانی فایل ورد پیوست را باز می‌کند، درخواست قالب به یک سرور Phishery ارسال می‌شود که باعث می‌شود یک پنجره روی کامپیوتر قربانی باز شود و نام کاربری و گذرواژه ویندوز را درخواست کند.

اما طبق مشاهدات محققان، Phishery در این حملات مورد استفاده قرار نگرفته است و احتمال دارد هکرها از کد تغییر یافته Phishery استفاده کرده باشند. بر خلاف فیشری، در این حمله پنجره‌ای برای درخواست نام کاربری و گذرواژه نمایش داده نمی‌شود، بلکه وقتی قربانی فایل پیوست را باز می‌کند، درخواستی به یک سرور ثالث فرستاده می‌شود. این درخواست باعث دانلود فایل قالبی می‌شود که قابلیت رفتار مخرب را دارد. بدین صورت مشخصات کاربر به طور مخفیانه جمع‌آوری می‌شود. همچنین این فایل قالب، این قابلیت را دارد که payloadهای بدخواهانه دیگری را نیز به کامپیوتر هدف دانلود کند.

طبق گزارش نیویورک تایمز حملات صورت گرفته علیه شرکت هسته‌ای Wolf Creek از طریق فیشینگ و با استفاده از ایمیل‌های انجام شده که به شکل رزومه ظاهرسازی شده بودند. ماه گذشته، دولت آمریکا به شرکت‌های زیرساختی حساس هشدار داده بود که بخش‌های هسته‌ای و انرژی مورد حملات هک قرار گرفته اند.

 

 

کلمات کلیدی