گزارش آزمایشگاه کسپرسکی در خصوص حمله به سرور ها توسط گروه Energetic Bear/Crouching Yeti
Energetic Bear/Crouching Yeti نام گروهی شناخته شده در سطح جهانی در حوزه ی APT است. این گروه حداقل از سال 2010 آغاز به کار کرده است و علاقه ی شدیدی به حمله به سرور های شرکت های مختلف دارد، تمرکز اصلی اش بر روی بخش های صنعت و انرژی است و کمپانی هایی که توسط این گروه مورد حمله قرار گرفته اند موقعیت جغرافیایی خاصی ندارند و در نقاط مختلف جهان هستند. این گروه بیشتر شرکت های اروپایی و آمریکایی را مورد حمله قرار می دهد؛ در سال های 2017 و 2016 تعداد حملات این گروه به شرکت های ترکیه ای به میزان قابل توجهی افزایش یافت.
تاکتیک اصلی این گروه در حملات، ارسال ایمیل های فیشینگ با محتوای مخرب و آلوده است که به خرابی و اختلال در سرور منجر می شود. این گروه همچنین از سرور های آلوده برای اهداف کمکی در سرویس های میزبانی (هاست ها) استفاده می کند. در این روش کاربران با ورود به سرور آلوده مورد حملات مختلف قرار می گیرند و آسیب های مختلفی را متحمل می شوند.
یکی از فعالیت های اخیر این گروه اقدام علیه سازمان های ایالات متحده ی آمریکا بود که موجب شد بحث در سازمان مشاوره ای US-CERT بالا بگیرد و مشاور CERT به روسیه و سازمان امنیت سایبری بریتانیا متصل شود تا تحقیقات در شرایط جامع تری ادامه بیابد.
آزمایشگاه کسپرسکی به تازگی گزارشی منتشر کرد که شامل اطلاعات سرور های آلوده شده توسط این گروه است. همچنین این گزارش شامل تجزیه و تحلیل وب سرور هایی است که در سال های 2016 تا 2017 هدف حمله ی این گروه قرار گرفته و آلوده شده اند.
قربانیان این حملات
در پایین جدولی تهیه شده است که گستردگی موقعیت جغرافیایی سرور های آلوده شده توسط این گروه را همراه با نوع سرور، نوع حمله و کشوری که سرور در آن بوده است نشان می دهد:
| Country | Description | Role in the attack |
| Russia | Opposition political website | Waterhole |
| Real estate agency | Auxiliary (collecting user data in the waterhole attack) | |
| Football club | Waterhole | |
| Developer and integrator of secure automation systems and IS consultant | Waterhole | |
| Developers of software and equipment | Auxiliary (collecting user data in the waterhole attack, tool hosting) | |
| Investment website | Auxiliary (collecting user data in the waterhole attack) | |
| Ukraine | Electric power sector company | Waterhole |
| Bank | Waterhole | |
| UK | Aerospace company | Waterhole |
| Germany | Software developer and integrator | Waterhole |
| Unknown | Auxiliary (collecting user data in the waterhole attack) | |
| Turkey | Oil and gas sector enterprise | Waterhole |
| Industrial group | Waterhole | |
| Investment group | Waterhole | |
| Greece | Server of a university | Auxiliary (collecting user data in the waterhole attack) |
| USA | Oil and gas sector enterprise | Waterhole |
| Unknown | Affiliate network site | Auxiliary (collecting user data in the waterhole attack) |
WaterHole یا چاله آب
تمامی حملات به سرور های waterhole به یک روش و با استفاده از الگویی مشخص انجام شده اند. این حملات یا از طریق ارائه ی لینک مخرب در یک صفحه ی وب انجام شده اند یا از طریق یک فایل JS با الگوی کلی: IP/filename.png.
لینک آلوده از طریق درخواست image شروع به متصل کردن کاربر به ریموت سرور روی پروتکل SMB می کند. در این دست حملات هدف مهاجم دسترسی و استخراج اطلاعات زیر است:
- آی پی کاربر
- نام کاربری
- نام دامنه
- هش NTLM از رمز عبور کاربر
لازم به ذکر است که فایل image حاوی لینک مخرب در ریموت سرور موقعیت فیزیکی ندارد.
منابع شناسایی شده
در برخی از حملات، سرور آلوده شده برای هدایت حملات دیگر استفاده شده است. در تجزیه تحلیلی هایی که بر روی سرورهای آلوده شده توسط این گروه انجام شد مشخص شد که مهاجمان در تعدادی از سرور ها و وبسایت ها اقدام به اسکن با ابزار های مختلفی چون nmap، dirsearch، sqlmap و … کرده اند.
جدول پایین منابعی را نشان می دهد که از یکی از سرور های آلوده اسکن شده اند:
|
Country |
Description |
| Russia | Non-profit organization |
| Sale of drugs | |
| Travel/maps | |
| Resources based on the Bump platform (platform for corporate social networks) – non-profit organization, social network for college/university alumni, communication platform for NGOs, etc. | |
| Business – photographic studio | |
| Industrial enterprise, construction company | |
| Door manufacturing | |
| Cryptocurrency exchange | |
| Construction information and analysis portal | |
| Personal website of a developer | |
| Vainah Telecom IPs and Subnets (Chechen Republic) Various Chechen resources (governmental organizations, universities, industrial enterprises, etc.) |
|
| Web server with numerous sites (alumni sites, sites of industrial and engineering companies, etc.) | |
| Muslim dating site | |
| Brazil | Water treatment |
| Turkey | Hotels |
| Embassy in Turkey | |
| Software developer | |
| Airport website | |
| City council website | |
| Cosmetics manufacturer | |
| Religious website | |
| Turktelekom subnet with a large number of sites | |
| Telnet Telecom subnet with a large number of sites | |
| Georgia | Personal website of a journalist |
| Kazakhstan | Unknown web server |
| Ukraine | Office supplies online store |
| Floral business | |
| Image hosting service | |
| Online course on sales | |
| Dealer of farming equipment and spare parts | |
| Ukrainian civil servant’s personal website | |
| Online store of parts for household appliance repair | |
| Timber sales, construction | |
| Tennis club website | |
| Online store for farmers | |
| Online store of massage equipment | |
| Online clothes store | |
| Website development and promotion | |
| Online air conditioner store | |
| Switzerland | Analytical company |
| US | Web server with many domains |
| France | Web server with many domains |
| Vietnam | Unknown server |
| International | Flight tracker |
سایت ها و وبسایت هایی که در جدول بالا وجود دارند از نظر موضوعی و موارد مختلف به یکدیگر شباهتی ندارند. البته به نظر نمی رسد که این سرور ها قربانی نهایی این گروه باشند؛ ممکن است این گروه قصد داشته باشد تا از این سرور ها برای گسترش حملات خود استفاده کند. برخی از سایت هایی که مورد حمله ی گروه قرار گرفته اند برای میزبانی حملات waterhole بسیار جذابند و گمان می رور که مهاجمان هم با همین هدف به این سایت ها حمله کرده اند.
در برخی از موارد مهاجمان گروه دامنه هایی را اسکن کرده اند که روی یک سرور میزبانی می شدند؛ گاهی مهاجمان تلاش می کنند تا از طریق یک لیست از دامنه های احتمالی به یک IP مشخص دست پیدا کنند. گروه Energetic Bear/Crouching Yeti تا به حال با هدف ایجاد صدمات بزرگ به تارنمایی حمله نکرده است و تنها در موارد معدودی در حملات به سایت های روی پلتفرم Bump، حمله به سایت های هواپیمایی و چند سایت مربوط به هتل های ترکیه ای از روش های صدمه زننده استفاده کرده است.
نکته ی جالبی که در این حملات وجود دارد این است که سایت هایی که مورد حمله و اسکن گروه قرار گرفته اند شامل یک وبسایت توسعه دهنده به نام kashey.ru بوده اند.
ابزار استفاده شده توسط گروه
برنامه های کاربردی که این گروه از آن ها استفاده کرده است همگی متن باز بوده اند و بر روی سایت GitHub برای همگان قابل دسترسی اند. این برنامه ها عبارتند از:
- Nmap– این برنامه یک ابزار کاربردی متن باز برای تحلیل و آنالیز امنیت شبکه و تایید امنیت آن است.
- Dirsearch– این برنامه یک ابزار خط فرمان ساده برای اعمال جستجو و اجبار است (این برنامه قدرت جستجو در میان تمامی داده های وب سایت را به مهاجم می دهد)
- Sqlmap– این برنامه بصورت خودکار به بررسی و آنالیز آسیب پذیری های SQL بر روی دیتا بیس ها می پردازد.
- Sublist3r- این برنامه بصورت متن باز است و به زبان پایتون توسعه یافته است و برای شمارش زیر دامنه های وب سایت طراحی شده مورد استفاده قرار می گیرد. Sublist3r از بسیاری از موتور های جستجو مانند Google، Yahoo، Bing، Baidu و Ask پشتیبانی می کند. این ابزار به آزمایش گنندگان، اطلاعات مربوط به زیر دامنه های مورد نظرشان را می دهد.
- Wpscan– از این برنامه برای تست آسیب پذیری وردپرس استفاده می شود. این برنامه از BlackBox برای تست آسیب پذیری استفاده می کند و به دسترسی به کد های وب سایت نیازی ندارد. این بزار می تواند سایت های مبتنی بر وردپرس را از راه دور مورد اسکن قرار دهد.
- Impacket– این ابزار برای کار با پروتکل های مختلف شبکه است که SMBTrap نیز به آن نیاز دارد.
- SMBTrap – این برنامه ابزاری است برای ثبت اطلاعات دریافت شده از طرف پروتکل SMB (اطلاعاتی از قبیل نام کاربری کاربر، IP کاربر، دامنه کاربر و هش NTLM رمز عبور کاربر)
- Commix– این ابزار برای جستجوی آسیب پذیری و اجرای فرمان ها است که توسط زبان برنامه نویسی پایتون توسعه یافته است.
- Subbrute– این برنامه برای شمارش زیر دامنه مورد استفاده قرار می گیرد و برای ویندوز و پایتون دردسترس است و ترافیک را به سرور DNS ارسال نمی کند.
- PHPMailer– ابزاری برای ارسال ایمیل.
علاوه بر این ها یک اسکریپت سفلرشی پایتون به نام ftpChecker.py در یکی از سرور ها یافته شده است که این اسکریپت برای چک کردن FTP لیست ورودی طراحی شده است.
فایل های PHP مخرب
فایل های PHP آسیب زننده زیر در بخش های مختلفی از پوشه ی nginx و یکی از پوشه های اجرایی یافت شدند که برای آلوده کردن وب سایت ها توسط مهجمان ایجاد شده بودند:
| File name | Brief description | md5sum | Time of the latest file change (MSK) | Size, bytes |
| ini.php | wso shell+ mail | f3e3e25a822012023c6e81b206711865 | 2016-07-01 15:57:38 | 28786 |
| mysql.php | wso shell+ mail | f3e3e25a822012023c6e81b206711865 | 2016-06-12 13:35:30 | 28786 |
| opts.php | wso shell | c76470e85b7f3da46539b40e5c552712 | 2016-06-12 12:23:28 | 36623 |
| error_log.php | wso shell | 155385cc19e3092765bcfed034b82ccb | 2016-06-12 10:59:39 | 36636 |
| code29.php | web shell | 1644af9b6424e8f58f39c7fa5e76de51 | 2016-06-12 11:10:40 | 10724 |
| proxy87.php | web shell | 1644af9b6424e8f58f39c7fa5e76de51 | 2016-06-12 14:31:13 | 10724 |
| theme.php | wso shell | 2292f5db385068e161ae277531b2e114 | 2017-05-16 17:33:02 | 133104 |
| sma.php | PHPMailer | 7ec514bbdc6dd8f606f803d39af8883f | 2017-05-19 13:53:53 | 14696 |
| media.php | wso shell | 78c31eff38fdb72ea3b1800ea917940f | 2017-04-17 15:58:41 | 1762986 |
فایل های PHP مخرب ini.php و mysql.php حاوی پوسته های WSO بوده اند و توسط ایمیل به کاربرا ارسال می شدند. تمامی اسکریپت هایی که پیدا شد اند مخرب و سردرگم کننده اند.
Sshd اصلاح شده
در روند بررسی و آنالیز سرور آلوده یک sshd اصلاح شده با backdoor پیدا شد. پچ برخی از نسخه های backdoor برای sshd که همانند نسخه های پیدا شده در سرور اند در لینک زیر موجود اند:
https://github.com/jivoi/openssh-backdoor-kit
یکی از نتایج جایگزینی sshd اصلاح شده (تغیر یافته توسط مهاجمان) این است که مهاجمان می توانند پس از جایگزینی اجازه دسترسی از راه دور و کنترل سرور را به خود بدهند. علاوه بر این ها Sshd اصلاح شده می تواند به تمامی اتصالات و حساب های کاربری دسترسی داشته باشد.
فعالیت مهاجمان در سرور های آسیب دیده
مهاجمان پس از ورود و دستیابی به سرور علاوه بر اسکن منابع مختلف فعالیت های دیگری نیز می کردند. این مهاجمان پس از ورود به سرور برنامه هایی را که در زمان های مختلف مورد نیازشان است را نصب می کنند. به عنوان مثال، دستورات زیر برای نصب برخی از برنامه در سرور اجرا شده اند:
- apt install traceroute
- apt-get install nmap
- apt-get install screen
- git clone https://github.com/sqlmapproject/sqlmap.git
علاوه بر موارد بالا، این گروه هر پکیج و ابزار پایتونی که نیاز دارد بر روی سرور نصب می کند.
دیاگرام زیر زمان ورود این مهاجمان را در زمان های مختلف در طی مدت زمان یک ماه نشان می دهد. این هکر ها بیشتر در زمان های معینی وارد سرور شده اند و بصورت روتین عمل کرده اند.
![]()
نتیجه
بر اساس یافته هایی که از تجزیه و تحلیل سرور های آلوده بدست آوردیم، فعالیت این گروه در سرور ها بیشتر بصورت زیر است:
- این گروه برای حملات خود از ابزار های در دسترس و همگانی استفاده می کند و در حملات خود هیچ نشان یا علامتی از گروه به جا نمی گذارد و این، شرایط را برای شناسایی کردنشان سخت تر می کند.
- به طور کلی می توان گفت که هر سرور آسیب پذیری بر بستر اینترنت برای مهاجمان جذاب است و زمانی که این افراد قصد حمله به سروری را می گیرند، سرور های آسیب پذیر در اولویت قرار دارند.
- بر اساس مشاهداتمان، این گروه ابتدا به دنبال سرور های آسیب پذیر و نقاط ضعف آن ها می گردد و سپس از طریق این نقطه ضعف ها به سرور ها حمله کرده و اطلاعاتش را به سرقت می برد.
- تنوع قربانیان این گروه نشان از تنوع اهداف این گروه است و این احتمال را بالا می برد که این گروه بر اساس سفارشات خارجی به سرور های خاصی حمله می کند.
سلام و خسته نباشید
با تشکر از زحمات فراوان شما
سایت بسیار خوبی دارید و واقعا مطالب عالی و بروزی اراعه میدید
خدا قوت