استفاده از LINE در حملات هکری هدفمند

LINE، برنامه‌ کاربردی محبوب پیام‌رسانی تلفن همراه، به عنوان طعمه برای حمله‌‌ای هدفمند به دولت تایوان مورد استفاده قرار گرفت.

به گزارش پایگاه اطلاع رسانی پایداری ملی به نقل از  آی تی اس ان, LINE برنامه‌ای کاربردی است که قابلیت برقراری تماس‌های رایگان و ارسال پیام را فراهم می‌آورد و در کشور‌هایی چون تایوان، ژاپن، اندونزی، هند، ایالات متحده، مکزیک و کلمبیا مورد استفاده قرار گرفته است. گزارشات حاکی از آن است که این برنامه‌ی کاربردی تا سال ۲۰۱۴ دارای بیش از ۴۹۰ میلیون کاربر بوده است. تعداد کاربران LINE در کشور تایوان به ۱۷ میلیون در همان سال می‌رسد. در اثبات محبوبیت این برنامه‌ی کاربردی می‌توان به استفاده از آن برای اهداف ارتباطی در دفاتر به گفته‌ی مقامات دولتی اشاره کرد.

قربانیان در نظر گرفته شده برای حمله، یک پست الکترونیک spear-phishing دریافت کردند که از LINE به عنوان سوژه استفاده می‌کند و حاوی یک پرونده پیوست با فرمت .ZIP و با نام add_line.zip است. در این پست الکترونیک وانمود شده است که این پست از سوی منشی یک شخصیت سیاسی ارسال شده است که در آن از دریافت‌کنندگان (در یک اداره دولتی در تایوان) درخواست شده که اطلاعات کاربری خود را برای پیوستن به یک گروه خاص در LINE ارائه دهند. هنگامی که کاربران پرونده .ZIP را باز کنند، شامل یک پرونده‌ی اجرایی (add_line.exe) خواهد بود که Trend Micro را به عنوان BKDR_MOCELPA.ZTCD-A شناسایی‌ می‌کند.

بر اساس تجزیه و تحلیل، این تروجان از درگاه ۴۴۳ که به HTTPS مرتبط است استفاده می‌کند. اطلاعاتی که این تروجان استخراج می‌کند در مقایسه با سایر تروجان‌ها که اطلاعاتی مانند نام میزبان، نسخه‌ی سامانه‌ی عامل و دامنه در میان دیگران را به سرقت می‌برند؛ تنها آدرس MAC می‌باشد. حدس ما این است که در پس شناسایی آدرس MAC مهاجمان قصد دارند تا دستگاه را شناسایی کنند. زمانی که کارگزار فرمان دهی و کنترل پاسخ می‌دهد، در آن زمان است که بد‌افزار آدرس MAC سامانه‌ی آلوده شده را ارسال می‌نماید.

این تروجان در ابتدا به منظور اطلاع‌رسانی کارگزار فرمان دهی و کنترل از این بابت که از طریق یک ترافیک HTTPS معتبر اما Hardcode «متصل» یا «زنده» است، پیامی را به این کارگزار ارسال می‌نماید. نظارت ما هیچ‌گونه فعالیتی را از سوی کارگزار فرمان دهی و کنترل (با آدرس آی‌پی: ۲۰۰٫۸۷٫۴۸٫۴) نشان نداد. این احتمال وجود دارد که کارگزار فرمان دهی و کنترل از زمانی که IP مجاز بوده، در معرض خطر قرار گرفته باشد.

ما شاهد بودیم که BKDR_MOCELPA.ZTCD-A هیچ‌گونه رجیستری یا کد تزریقی روی سامانه‌ی آلوده شده ایجاد نکرد و تنها ارتباطات SSL را درگیر کرد. شاید به این دلیل که از هرگونه راه‌حل امنیتی مانند علامت‌گذاری پرونده‌های مشکوک جلوگیری کند. ما همچنین دریافته‌ایم که این بد‌افزار‌ها از "byte string”، یک نوع روش ساخت رشته که در آن حروف یک به یک در حافظه جای می‌گیرند نیز استفاده می‌کند. ما روشی مشابه با این روش را نیز توسط دو ابزار مخوف کنترل از راه دور به نام‌های Gh0st RAT و IXESHE مشاهده نمودیم.

تحقیقات بیشتر در این زمینه نشان می‌دهد که این حمله مشکوک به اتصال به Taidoor می‌باشد؛ زیرا در این صورت از رمز‌گذاری یکسان برای پنهان کردن ترافیک شبکه استفاده می‌کند.

Taidoor یک عملیات مخرب است، در واقع پرونده-هایی با فرمت .DOC که یک سند مجاز را نشان می-دهند در‌حالی‌که محموله‌ای از بدا‌فزار‌های مخرب را در پس‌زمینه اجرا می‌نمایند. یک نمونه خاص که مورد سوء استفاده قرار گرفت، CVE-2012-0158 بود؛ یک آسیب‌پذیری در پنجره کنترل فرمان. این عملیات مخرب پیمانکاران دفاع آمریکا و همچنین شرکت‌های ژاپنی را هدف قرار داد. Trend Micro بد‌افزار‌های Taidoor را به عنوان گونه‌های متفاوت BKDR_SIMBOT شناسایی می‌کند. در سال ۲۰۱۴، Taidoor از طریق دو حمله‌ی روز-صفرم و با هدف قرار دادن آسیب‌پذیری CVE-2014-1761، به سازمان‌های دولتی و یک مؤسسه آموزشی در تایوان ضربه زد.

شیوع Consumerization و آوردن فرهنگ «آوردن دستگاه خود» (BYOD) به شرکت‌ها مزایایی چون کاهش هزینه ها و افزایش بهره‌وری را در پی دارد. اما زمانی که کارمندان از دستگاه تلفن همراه شخصی خود و برنامه‌های کاربردی آن مانند برنامه‌های پیام‌رسانی و یادداشت برداری استفاده می‌کنند، موجب خطراتی را برای اطلاعات شرکت می‌شوند. امنیت، چالشی است که در پیاده‌سازی BYOD و Consumerization در محیط شرکت‌ها به آن پرداخته نشده است. در این حمله خاص، بازیگران تهدید می‌دانستند که اهداف حمله‌ی آنان به منظور کسب و کار از LINE استفاده می‌کنند، بنابراین از این برنامه‌ی کاربردی تلفن همراه به عنوان اهرم فریب مهندسی اجتماعی استفاده کردند.

Trend Micro از سازمان‌ها در برابر این تهدید خاص با به کار‌گیری راه‌حل‌های نقطه پایانی از مجموعه حفاظت هوشمند، محافظت می‌نماید. این راه‌حل‌ها اهرم نظارت بر رفتار هستند که برای شناسایی این نوع تهدید به کار می‌روند. نقطه پایانی و امنیت تلفن همراه در مجموعه حفاظت هوشمند، از نقطه پایانی و امنیت تلفن همراه محافظت می‌نماید؛ در‌حالی‌که مؤلفه امنیت پست الکترونیک تمام پست‌های الکترونیکی مخرب را از ورود به صندوق ورودی کاربر بازمی‌دارد. در گزارش سالانه‌ی ما درباره حملات هدفمند در سال ۲۰۱۴ ، ما شاهد پیشرفت و بهبود روز‌افزون در تاکتیک‌ها، روش‌ها و رویه‌های مرتبط با حملات پیش‌رفته‌ی مداوم بودیم. عملیاتی که ما به بررسی آن پرداختیم نشان داد که به شرکت‌ها و سازمان‌های بزرگی نیاز است که بیش از هر زمان خود را با خطرات ناشی از حملات هدفمند تطبیق دهند.