Shadow-Earth-۰۵۳ چگونه آسیا را هدف گرفت؟

به گزارش پایگاه خبری پایداری ملی به نقل از سیناپرس، این کمپین که از دسامبر ۲۰۲۴ فعالیت خود را آغاز کرده، به‌طور عمده نهاد‌های دولتی، دفاعی و فناوری در کشور‌های مختلف آسیا و حتی یک کشور عضو ناتو را هدف قرار داده است. نکته مهم این گزارش، هدف قرار دادن فعالان مدنی و خبرنگاران است که این تهدید را از یک حمله سایبری معمولی به یک حمله پیچیده‌تر با ابعاد انسانی تبدیل کرده است.

جزئیات فنی حملات: شیوه‌های نفوذ و ابزار‌های مورد استفاده

گزارش ترند میکرو نشان می‌دهد؛ این گروه هکری از آسیب‌پذیری‌های شناخته‌شده در سرور‌های Microsoft Exchange و IIS استفاده می‌کند. این آسیب‌پذیری‌ها مربوط به مسائل امنیتی قدیمی هستند که به دلیل عدم به‌روزرسانی، هنوز بسیاری از سازمان‌ها و نهاد‌ها در سراسر جهان از آنها رنج می‌برند.

در مرحله اول، مهاجمان از آسیب‌پذیری‌های N-day (آسیب‌پذیری‌هایی که مدت‌ها پیش کشف شده‌اند، اما هنوز اصلاح نشده‌اند) در سرور‌های اینترنتی استفاده می‌کنند تا به سیستم‌های هدف نفوذ کنند. پس از ورود، ابزار‌های تونل‌سازی مانند IOX و GOST برای برقراری ارتباط مخفیانه و حرکت در شبکه مورد استفاده قرار می‌گیرند.

در نهایت، بدافزار ShadowPad به‌عنوان ابزار اصلی دسترسی دائمی به سیستم‌ها نصب می‌شود. این بدافزار با استفاده از تکنیک‌های پیچیده مانند DLL side-loading (لود کردن کد‌های مخفی در سیستم به‌صورت غیرمستقیم) به سیستم‌های هدف نفوذ می‌کند و پس از مدت‌ها پنهان بودن، امکان دسترسی کامل به شبکه‌های هدف را فراهم می‌آورد.

هدف‌گیری خبرنگاران و فعالان: تغییر در تاکتیک‌های جاسوسی دولتی

یکی از مهم‌ترین نکات این گزارش، هدف‌گیری خبرنگاران و فعالان اجتماعی است. بر اساس تحلیل ترند میکرو، این گروه هکری به طور خاص خبرنگارانی را هدف قرار داده که در مورد موضوعات حساس مربوط به چین، تایوان، هنگ‌کنگ و سین‌کیانگ (ایغورها) گزارش‌نویسی می‌کنند. علاوه بر این، فعالان سیاسی و حقوق بشری نیز در معرض این تهدیدات قرار دارند.

این تغییر در تاکتیک‌های جاسوسی، مشخصاً نمایانگر سیاست‌های دولت چین است که همزمان با هدف قرار دادن نهاد‌های دولتی، به جاسوسی از جامعه مدنی و رسانه‌ها نیز پرداخته است. این نوع تهدیدات علاوه بر تهدید‌های امنیتی، می‌تواند عواقب جدی برای حقوق بشر و آزادی‌های فردی به دنبال داشته باشد.

ارتباط با سایر گروه‌های تهدید: زیرساخت‌های مشترک و احتمالات پیمانکاری

ترند میکرو در گزارش خود به این نکته اشاره کرده که این گروه هکری با سه گروه تهدید دیگر، از جمله CL-STA-۰۰۴۹ و Earth Alux، همپوشانی دارد. این همپوشانی‌ها شامل استفاده از زیرساخت‌های مشابه، ابزار‌های مشترک و نقاط نفوذ مشابه هستند که نشان می‌دهد ممکن است یک زیرساخت پشتیبانی مشترک برای این عملیات‌ها وجود داشته باشد.

تحلیلگران Trend Micro با اطمینان متوسط بر این باورند که این گروه‌ها ممکن است توسط پیمانکاران خصوصی که از سوی دولت چین برای انجام عملیات جاسوسی استخدام شده‌اند، پشتیبانی شوند. این تحلیل با توجه به اطلاعاتی که در سال ۲۰۲۴ از یکی از پیمانکاران چینی فاش شد، مورد تأیید قرار گرفته است.

اقدامات احتیاطی و پیشنهادات امنیتی

با توجه به پیچیدگی این حملات و هدف قرار دادن زیرساخت‌های حساس، ترند میکرو  به سازمان‌ها و نهاد‌های دولتی و دفاعی توصیه کرده که فوراً سیستم‌های خود را به‌روزرسانی کرده و آسیب‌پذیری‌های شناخته‌شده را رفع کنند. همچنین، باید به طور ویژه مراقب فعالیت‌های مشکوک مانند استفاده از ابزار‌های ریموت دسکتاپ یا AnyDesk باشند.

علاوه بر این، خبرنگاران و فعالان اجتماعی که در زمینه‌های سیاسی و حقوق بشری فعالیت دارند، باید از ابزار‌های امنیتی پیشرفته استفاده کرده و مراقب حملات فیشینگ و بدافزار‌های هدفمند باشند. توصیه می‌شود که این افراد از مشاوره‌های امنیتی سازمان‌های متخصص مانند Access Now برای حفاظت از دستگاه‌ها و ارتباطات خود استفاده کنند.

گفتنی است، کمپین Shadow-Earth-۰۵۳ تنها یک نمونه از تهدیدات سایبری است که می‌تواند ابعاد انسانی و حقوق بشری گسترده‌ای داشته باشد. به نظر می‌رسد که این گروه هکری با استفاده از تکنیک‌های پیشرفته و ابزار‌های پیچیده، قادر به نفوذ در سیستم‌های حساس دولتی و خصوصی است.

همچنین با توجه به هم‌راستایی این حملات با سیاست‌های دولت چین و هدف قرار دادن خبرنگاران و فعالان اجتماعی، این تهدیدات بیش از پیش به یک بحران جهانی تبدیل شده‌اند که نیازمند اقدامات فوری و هماهنگ برای مقابله است.

درنهایت، سازمان‌ها باید امنیت سایبری خود را تقویت کرده و هم‌زمان با ایجاد آگاهی در میان خبرنگاران و فعالان، مانع از گسترش این تهدیدات شوند. همچنین، فعالان حقوق بشر باید بدانند که در چنین شرایطی، حفظ امنیت دیجیتال تنها از طریق آگاهی، ابزار‌های مناسب و پشتیبانی از سازمان‌های امنیتی ممکن است.