با توجه به تحقیقات انجام شده در روز جمعه، ابزارهای هک NSA که در WannaCry و NotPetya مورد استفاده قرار گرفته اند، از سوی گروه Fancy Bear برای هک کردن کمیته ملی دموکراتیک (DNC) استفاده شده اند.
هکرهایی که به نام APT28 شناخته می شوند و توسط دولت ایالات متحده فرض می شود که تحت رهبری سازمان اطلاعات روسیه اداره می شوند، از آسیب پذیری استفاده می کنند – که توسط گروه Shadow Brokers افشاء شده، به طور گسترده ای اعتقاد بر این است که شامل یک بخش از زرادخانه دیجیتال NSA، می شود – و برای هدف قرار دادن هتل ها و شبکه بی سیم آنها مورد استفاده قرار گرفته است، و در تلاش های احتمالی برای جاسوسی بر روی افرادمی باشد. شرکت امنیتی سایبری FireEye خاطر نشان کرد یافته های آن با اطمینان”متوسط” بوده است، هرچند یکی دیگر از سرویس های اطلاعاتی خطرناک با آگاهی از فعالیت های APT28 تایید کرده است که فعالیت مشابهی را مشاهده کرده است.
این نقص خاص که در یک برنامه بهره برداری به نام EternalBlue یافت شده است، در پروتکل (SMB) قرار داشته است. اگر چه آسیب پذیری ها از بین رفته اند، همانطور که حملات اخیر باج افزار نشان داده است، صدها هزار کامپیوتر در معرض آسیب پذیری قرار دارند.
بیشتر اهداف در حملات اخیر در اروپا بوده اند، هرچند یک هتل در خاورمیانه نیز در فهرست بوده است. FireEye همچنین مظنون است که عواملی از تیم هکرها برای دسترسی به Wi-Fi هتل ها از آنها بازدید می کنند. این شرکت امروز در پست خود نوشت: “ما نشانه های محدودی داریم که نشان می دهد APT28 به دنبال ایجاد مصالحه با مسافران دولتی و مسافرین با استفاده از دسترسی شخصی و دسترسی به شبکه های Wi-Fi در هتل ها است.”
FireEye دریافت که مهاجمان در حداقل هفت کشور اروپایی و یک کشور در خاورمیانه فایل های ضبط شده را به شرکت های مهمان نوازی چندگانه ارسال می کنند. هنگامی که باز شود، سند رزرو جعلی هتل در تلاش برای راه اندازی نرم افزارهای مخرب اجرا می شود، dubbed Gamefish، همراه با APT28. هنگامی که در داخل شبکه قرار گرفت، هکرها با استفاده از EnternalBlue به ماشین های دیگر دسترسی می یابند، به طریق مشابه WannaCry و NotPetya. سپس آنها کامپیوترهای خاصی که کنترل هر دو شبکه مهمان و شبکه داخلی Wi-Fi را بر عهده دارند جستجو می کنند. یکی از ابزارهای منبع باز Responder است که به نفوذگران کمک خواهد کرد که نام کاربری و کلمه عبور Wi-Fi را سرقت کنند.
Christiana Brafman Kitter، تحلیلگر ارشد FireEye، گفت که APT28 از پاییز سال 2016 این حملات را انجام داده است. رکوردهای موجود در VirusTotalپایگاه داده گوگل نمونه هایی از گزارش FireEye را در ژوئیه 2017 ارسال کردند و این نشان می دهد که حملات به هتل ها اخیرا شناسایی شده است. Kitter اضافه کرد: “ما همچنین APT28 را به طور فعال مورد توجه قرار داده ایم و آنها شرکت های فناوری اطلاعات در اروپا را هدف قرار داده اند، و نشان دهنده روش های بالقوه نوین به خظر انداختن شرکت ها می باشد که به هکرها اجازه می دهد تا از قربانی اولیه IT شروع کرده و دیگر بخش های مورد علاقه را از طریق پروکسی آلوده کند.” او گفت که تکنیک های مشابه توسط یک گروه مرتبط با چین به نام APT10 نیز استفاده شده است. با این حال، با توجه به شیوه های عملیاتی قبلی خود، APT28 همچنان بر نهادهای دولتی اروپا تمرکز دارد. “
او نام هیچ کدام از افراد یا هتل ها را که هدف قرار داده شده اند اعلام نکرد. در حملات قبلی در شبکه های Wi-Fi هتل، مانند حوادث DarkHotel در سال 2014، افراد برجسته در دنیای شرکت های بزرگ، هدف بودند. اخیرا، شرکت امنیتی BitDefender ادعا کرد هکرهای DarkHotel به دنبال اهداف سیاسی هستند.
معما روز صفر
بعضی از افراد به افشاء Shadow Broker در خصوص آسیب پذیری های صفر روز NSA (ضعف هایی که هیچ پچ برای آنها وجود نداشت) پاسخ داده و ادعا می کنند دولت ایالات متحده نباید چنین نقص هایی را احتکار می کرده است، زیرا می تواند به کشورهای دیگر و یا مجرمان مانند کسانی که پشت WannaCry بودند، سود برساند.
Matthew Hickey مدیر اجرایی Hacker House می گوید: “متأسفانه زمانی که کد سوء استفاده را آماده و ذخیره می کند ، پنجره زمانی را افزایش می دهد که سیستم ها آسیب پذیر باقی خواهند ماند.اگر مشکل زمانی که شناسایی شده پچ شود ممکن است که تمامی نسخه های مختلف Windows را تحت تاثیر قرار ندهد و تائیر کمتری در زمان نشت داشته باشد. او که پیش از این نیز فایل های Shadow Brokers را تحلیل کرده بود، گفت: به دلیل اینکه این آسیب پذیری ها می توانند به سرقت رفته، اصلاح شده و مجددا مورد استفاده قرار گیرند، دولت هایی که این کار را انجام می دهند، با امنیت عمومی قمار می کنند.”
بخشی از استراتژی هکرها برای افشاء کردن چنین حفره های نفوذی این است که بر افکار عمومی تاثیر بگذارد تا سعی کند آژانس های دولتی را تضعیف کنند.”