چند روز پیش خبرهایی از نفوذ هکرهای پیشرفته به تاسیسات هستهای در آمریکا و برخی کشورهای دیگر منتشر شد. اکنون، محققان تکنیکهای مورد استفاده هکرها برای دستیابی به اختیاراتی در تاسیسات انرژی مشابه را تشریح میکنند.
چند روز پیش خبرهایی از نفوذ هکرهای پیشرفته به تاسیسات هستهای در آمریکا و برخی کشورهای دیگر منتشر شد. اکنون، محققان تکنیکهای مورد استفاده هکرها برای دستیابی به اختیاراتی در تاسیسات انرژی مشابه را تشریح میکنند. |
سیسکو تالوس گزارش داد که حملههای مبتنی بر ایمیل که از روشهای تزریق قالب استفاده میکنند و تاسیسات اتمی و سایر قربانیان را هدف میگیرند از ماه می جریان داشته اند. |
افراد متخاصم از حملات فیشینگ کلاسیک مبتنی بر اسناد ورد بهره میبرند، اما بر خلاف انتظار فایلهای ورد مورد استفاده دارای ماکروی VBA یا اسکریپت جاسازی شدهای نیستند، بلکه فایلهای مورد استفاده (که به پیوست ایمیل ارسال شده اند) یک فایل قالب .dotm را با استفاده از اتصال SMB از یک سرور بدخواه دانلود میکنند و با استفاده از آن اطلاعات و گواهیهای کاربران را به دست میآورند. |
سیسکو تالوس ادعا نمیکند که این حمله خاص در برابر شرکت هستهای Wolf Creek استفاده شده یا در رابطه با حملات فهرست شده در گزارش مشترک DHS و FBI مورد استفاده قرار میگیرد. همچنین محققان ادعا نکرده اند که سیستم کنترل کننده پلانهای انرژی مورد نفوذ قرار گرفته یا دچار اختلال شده باشند. |
طبق گفته تالوس، فایل ورد سعی میکند یک فایل قالب را از یک IP خاص دانلود کند. اما این کار به وسیله یک درخواست SMB از طریق پورت TCP 445 صورت می¬گیرد نه پورت 80. سپس در هنگام درخواست قالب یک اتصال WebDAV روی نشست SMB ایجاد می شود . |
با استفاده از اتصال WebDAV فایل DOCX یک Relationship ID خاص را درخواست می¬کند که در فایل word/_rels/settings.xml.rels یا دستورات XML موجود است. این ID مشابه ID مورد استفاده در ابزار Phishery است. Phishery یک ابزار فیشینگ است که در Github قرار دارد. |
ابزار Phishery بدین ترتیب کار میکند که وقتی قربانی فایل ورد پیوست را باز میکند، درخواست قالب به یک سرور Phishery ارسال میشود که باعث میشود یک پنجره روی کامپیوتر قربانی باز شود و نام کاربری و گذرواژه ویندوز را درخواست کند. |
اما طبق مشاهدات محققان، Phishery در این حملات مورد استفاده قرار نگرفته است و احتمال دارد هکرها از کد تغییر یافته Phishery استفاده کرده باشند. بر خلاف فیشری، در این حمله پنجرهای برای درخواست نام کاربری و گذرواژه نمایش داده نمیشود، بلکه وقتی قربانی فایل پیوست را باز میکند، درخواستی به یک سرور ثالث فرستاده میشود. این درخواست باعث دانلود فایل قالبی میشود که قابلیت رفتار مخرب را دارد. بدین صورت مشخصات کاربر به طور مخفیانه جمعآوری میشود. همچنین این فایل قالب، این قابلیت را دارد که payloadهای بدخواهانه دیگری را نیز به کامپیوتر هدف دانلود کند. |
طبق گزارش نیویورک تایمز حملات صورت گرفته علیه شرکت هستهای Wolf Creek از طریق فیشینگ و با استفاده از ایمیلهای انجام شده که به شکل رزومه ظاهرسازی شده بودند. ماه گذشته، دولت آمریکا به شرکتهای زیرساختی حساس هشدار داده بود که بخشهای هستهای و انرژی مورد حملات هک قرار گرفته اند.
|