محققان اپراتورهای حمله اخیر توئیلو و کلودفلر را با کمپین گسترده‌ای که ۱۳۶ سازمان را هدف قرار داده و بیش از ۹ هزار حساب را آلوده نمود، مرتبط دانستند.

این حمله توسط شرکت امنیتی IB “اکتاپوس” نامیده شده است. دلیل این نام‌گذاری به هدف این کمپین مربوط است، چرا که هکرها قصد داشتند با دستیابی به اطلاعات لاگین اکتای قربانیان و کد احراز هویت دو مرحله‌ای، به سازمان مورد نظر نفوذ کنند. اکتا یک شرکت مدیریت هویت و دسترسی آمریکایی است. این سرویس دسترسی امن کارمندان شرکت‌ها، به اپلیکیشن‌ها، سرویس‌های وب و دستگاه‌ها را بر اساس هویت اشخاص، امکان پذیر می‌سازد.

این شرکت امنیتی سنگاپوری در گزارش خود نوشته که حمله فوق بسیار عالی طراحی شده و اجرای بی نقصی داشته است. مهاجم در این حمله کارمندانی را انتخاب کرده که از سرویس اکتا استفاده می‌کنند.

روش حمله به این صورت بوده که ابتدا یک پیام فیشینگ به قربانی ارسال می‌شد. در این پیام لینکی قرار داده شده بود که قربانی را به سایت فیشینگ (صفحه جعلی احراز هویت اکتا) هدایت می‌کرد.

به عقیده گروه IB، در این پرونده با وجود اینکه از روشهای سطح پایین استفاده شده اما تعداد قربانیان و سازمانهای هدف قابل توجه است. علاوه بر این، به محض اینکه مهاجم به سازمانی نفوذ می‌گرد، زنجیره حملات خود را نیز آغاز می‌نمود. این نشان می‌دهد که حمله فوق از پیش کاملا طراحی و برنامه ریزی شده بود.

تا به حال ۱۶۹ دامنه فیشینگ منحصر بفرد برای این کمپین شناسایی شده است. اغلب سازمانهای هدف گرفته شده در این کمپین، در ایالات متحده آمریکا قرار داشتند. در تمام این دامنه‌ها از یک ابزار فیشینگ شناسایی نشده استفاده شده بود.

اغلب سازمانهای هدف، شرکت‌های نرم‌افزاری هستند که در حوزه‌های ارتباطات سرویس‌های تجاری، اقتصادی، آموزشی، خرده‌فروشی و تدارکات، فعالیت می‌کنند.

شرکت‌هایی که حمله فیشینگ را تایید کرده‌اند، شامل توئلیو، کلودفلر، Kalviyo و Mailchimp هستند. بررسی‌ها نشان داده این کمپین به AT&T، KuCoin، Mailgun، Metro PCS، Slack، T-Mobile و Verizon نیز حمله کرده است. این حملات سکویی برای اجرای حملات زنجیره‌ای بعدی محسوب می‌شوند. برای نمونه از حمله به Twilio برای دستیابی به سیگنال و برای دستیابی به MailChimp  از DigitalOcean استفاده شده است.

از نکات جالب این حمله، استفاده از کانال تلگرامی تحت کنترل هکر است که برای دریافت اطلاعات حسابهای هک شده استفاده می‌شود. این اطلاعات معمولا شامل نام کاربری، رمز عبور، ایمیل، و کد احراز هویت دو مرحله‌ای است.

گروه IB توانسته ادمین یکی از کانالهای تلگرامی را شناسایی کند که از نام مستعار X استفاده می‌کند. سپس توانسته او را به حسابی در گیت‌لب و توییتر ارتباط دهد. با توجه به مستندات بدست آمده این شرکت حدس می‌زد یکی از خرابکاران در ایالت کارولینای شمالی باشد.

محققان هنوز موفق به شناسایی هدف اصلی این حملات نشده‌اند، اما احتمال می‌رود که انگیزه هکرها جاسوسی و درآمدزایی بوده است. در این کمپین، مهاجمان توانسته‌اند به اطلاعات محرمانه، دارایی‌های فکری، صندوق پستی شرکت‌ها دسترسی پیدا کنند.

علاوه بر این، تلاش برای نفوذ به حساب سیگنال اشخاص، نشان می‌دهد که هکرها قصد دارند به مکالمات محرمانه اشخاص نیز دسترسی پیدا کرده و اطلاعات حساس آنها را استخراج کنند. هنوز مشخص نشده که هکرها از چه روشی به شماره تماس و نام کارمندان این سازمان‌ها دسترسی پیدا کرده‌اند.

به عقیده محققان، بخش بزرگی از کمپین اکتاپوس به شانس وابسته بوده و احتمال اینکه چنین حمله زنجیره‌ای، از پیش به صورت دقیق طراحی شده، بسیار کم است، با این وجود میزان موفقیت بسیار بالا داشت.

نظرات

نظر (به‌وسیله فیس‌بوک)