DDoS Globe Internet Traffic Traffic

یکی از گروه های نخبگان تحت حمایت دولت ایران ، شبکه خصوصی گره های VPN خود را ساخته و فعالیت کرده است ، که آنها از آنها برای اتصال به زیرساخت های هک استفاده کرده اند ، شناسایی اهداف آینده را انجام داده اند. و حتی مرور گاه به گاه وب ، طبق تحقیقاتی که امروز توسط شرکت امنیت سایبری Trend Micro منتشر شده است.

این گروه که در محافل امنیت سایبری تحت نام کد APT33 ردیابی می شود ، تاکنون ، پیشرفته ترین واحد هکری ایران است. [19659003] آنها کسانی هستند که بدافزارهای مربوط به دیسک را تحت عنوان Shamoon (DistTrack) ایجاد کرده اند که بیش از 35،000 ایستگاه کاری در عربستان سعودی در سال 2012 را نابود کرده اند.

اخیراً ، این گروه با حملات جدید ظاهر شده است ، و در درجه اول نفت را هدف قرار داده است. صنایع حمل و نقل هوایی ، و حتی استقرار نسخه جدیدی از بدافزار شامون ، در اواخر سال گذشته.

در سال 2019 ، عملیات APT33 به عملیات کلاسیک فیشینگ نیزه و گاهی اوقات استفاده از هوشمندانه ای متکی شده است. آسیب پذیری خوب.

هر ترند میکرو ، تأیید شده است که عفونت های APT33 در سال 2019 شامل یک شرکت خصوصی آمریکایی است که خدمات مرتبط با امنیت ملی را ارائه می دهد ، قربانیانی که به یک دانشگاه و کالج در ایالات متحده وصل می شوند ، قربانیانی که به احتمال زیاد به ارتش آمریکا مربوط می شوند ، و چندین قربانی در خاورمیانه و آسیا.

ردیابی زیرساخت های APT33

اما محققان می گویند در حالی که در حال تحقیق در مورد این هک ها بودند ، آنها توانستند از نحوه مدیریت APT33 زیرساخت های هک خود استفاده کنند.

همه چیز لایه بندی شده و جدا شده است ، برای نگه داشتن اپراتورهای APT33 در زیر پنهان کاری از پاسخ دهندگان حادثه.

بر اساس یک طرح دستی که توسط محققان ترند میکرو به اشتراک گذاشته شده است ، بین اپراتورهای APT33 و اهداف آنها چهار لایه وجود دارد.

  • VPN لایه – یک شبکه اختصاصی از گره های VPN برای مخفی کردن آدرس IP واقعی و مکان
  • لایه کنترل کننده Bot – یک لایه واسطه ای از سرور s
  • L& Backend layer – سرورهای با پسوند واقعی که از طریق آن گروه دسته بندی های بدافزار خود را مدیریت می کند
  • لایه پروکسی – مجموعه ای از سرورهای پروکسی ابری که از طریق آنها C&C (دستور و کنترل) سرورها از میزبان آلوده پنهان می شوند
apt-nfrastrast.jpg "data-original =" https://zdnet3.cbsistatic.com/hub/i/2019/11/14/c958a2e7-4195-4d56-b3a8-d3c28cb11006/2ff49f0af7f133b /apt-nfrast ساختار.jpg عکس19659017 Frenchapt-nfrast ساختار.jpg موفق19659018 زبان تصویر: Trend Micro                                                 </span></figcaption></figure> <p> اما آنچه مورد توجه محققان قرار گرفت این واقعیت است که APT33 از سرورهای تجاری VPN برای مخفی کردن محل زندگی خود استفاده نمی کند ، همانطور که برخی از گروه های هکر تمایل به انجام این کار دارند. </p> <p> در عوض ، این گروه راه اندازی کرده بود و VPN خصوصی خود را اداره می کرد. </p> <p> محققان گفتند: "راه اندازی یک VPN خصوصی با اجاره دو سرور از مراکز داده در سراسر جهان و استفاده از نرم افزار منبع باز مانند OpenVPN به راحتی انجام می شود." </p> <h3> شبکه VPN سفارشی APT33 یک اشتباه بزرگ بود. </h3> <p> اما آنچه APT33 نمی دانست این بود که ، در واقع ، ردیابی آنها را آسان تر کرد. محققان فقط باید چند آدرس IP را مورد توجه قرار دهند. اگر APT33 از شبکه ارائه دهنده VPN تجاری استفاده می کرد ، آنها به طور یکپارچه در تمام ترافیک قانونی دیگر ذوب می شدند. </p> <p> "احتمالاً APT33 از گره های خروجی VPN خود به طور انحصاری استفاده می کند." "ما بیش از یک سال است که برخی از گره های خروجی VPN خصوصی گروه را ردیابی کرده ایم و آدرس های IP شناخته شده مرتبط را در جدول زیر ذکر کرده ایم." </p> <figure class= apt33-vpns.png "height =" auto "width =" 370 "data-original =" https://zdnet1.cbsistatic.com/hub/i/r/2019/11/14/1c3f32ca-586b-4c90-821e-a71f7732d1d9/resize/370xauto/8968e5a59bf575fab104f60cc3aptf

تصویر: Trend Micro
                                                

اما علاوه بر اتصال به صفحه کنترل های نرم افزاری مربوط به بوت نت های بدافزار ، ترند میکرو گفت که این گروه همچنین از همان گره های خروجی خصوصی VPN استفاده کرده اند "برای شناسایی شبکه هایی که مربوط به زنجیره تأمین صنعت نفت هستند."

" به طور دقیق تر ، ما شاهد برخی از آدرس های IP در جدول 3 هستیم که در شبکه یک شرکت اکتشاف نفت و بیمارستان های نظامی در خاورمیانه و یک شرکت نفتی در ایالات متحده مشغول به کار بازآفرینی هستند. "

" APT33 علاقه مشخصی به وب سایتهایی دارد که در استخدام کارمندان در صنعت نفت و گاز تخصص دارند. " "ما به شرکت های صنعت نفت و گاز توصیه می کنیم پرونده های امنیتی امنیتی خود را با آدرس های IP ذکر شده در بالا متصل کنند."

علاوه بر این ، Trend Micro گفت: APT33 همچنین از شبکه VPN خصوصی خود برای دسترسی به وب سایت های شرکت های تست نفوذ استفاده می کند. ایمیل ، وب سایتهای آسیب پذیری و سایتهای هکری cryptocurrency.