محققان گروه اسرارآمیز جاسوسی سایبری «متادور» را از اطلاعات داده‌های بلوک‌چین Plato کشف کردند. جستجوی عمودی Ai.

محققان گروه جاسوسی سایبری مرموز "متادور" را کشف کردند

تمبر زمان: 22 سپتامبر 2022، 8:00 بعد از ظهر

LABSCON – Scottsdale, Ariz – یک عامل تهدید جدید که یک شرکت مخابراتی در خاورمیانه و چندین ارائه‌دهنده خدمات اینترنت و دانشگاه‌ها در خاورمیانه و آفریقا را آلوده کرده است، مسئول دو پلتفرم بدافزار «بسیار پیچیده» است – اما چیزهای زیادی در مورد بر اساس تحقیقات جدیدی که امروز در اینجا فاش شد، گروهی که در هاله ای از رمز و راز قرار دارند.

محققان SentintelLabs که یافته‌های خود را در اولین کنفرانس امنیتی LabsCon به اشتراک گذاشتند، نام گروه را Metador بر اساس عبارت «من متا هستم» که در کد مخرب ظاهر می‌شود و این واقعیت است که پیام‌های سرور معمولاً به زبان اسپانیایی هستند، نامگذاری کردند. گمان می رود این گروه از دسامبر 2020 فعال بوده است، اما طی چند سال گذشته با موفقیت زیر رادار پرواز کرده است. Juan Andrés Guerrero-Saade، مدیر ارشد SentinelLabs، گفت که این تیم اطلاعاتی را در مورد Metador با محققان سایر شرکت‌های امنیتی و شرکای دولتی به اشتراک گذاشتند، اما هیچ‌کس چیزی در مورد این گروه نمی‌دانست.

محققین Guerrero-Saade و SentinelLabs، آمیتای بن شوشان ارلیش و الکساندر میلنکوسکی پست های وبلاگ و جزییات فنی در مورد دو پلتفرم بدافزار، metaMain و Mafalda، به امید یافتن قربانیان بیشتری که آلوده شده اند. گوئررو ساعد گفت: "ما می دانستیم آنها کجا هستند، نه اکنون کجا هستند."

MetaMain یک درب پشتی است که می‌تواند فعالیت‌های ماوس و صفحه‌کلید را ثبت کند، اسکرین‌شات‌ها را بگیرد و داده‌ها و فایل‌ها را استخراج کند. همچنین می توان از آن برای نصب Mafalda استفاده کرد، یک چارچوب بسیار ماژولار که به مهاجمان توانایی جمع آوری اطلاعات سیستم و شبکه و سایر قابلیت های اضافی را می دهد. MetaMain و Mafalda هر دو کاملاً در حافظه کار می کنند و خود را روی هارد سیستم نصب نمی کنند.

طنز سیاسی

گمان می رود نام این بدافزار از مافالدا، یک کارتون محبوب اسپانیایی زبان از آرژانتین الهام گرفته شده باشد که مرتباً در مورد موضوعات سیاسی اظهار نظر می کند.

Metador آدرس‌های IP منحصر به فردی را برای هر قربانی تنظیم می‌کند و تضمین می‌کند که حتی اگر یک فرمان و کنترل کشف شود، بقیه زیرساخت‌ها عملیاتی می‌مانند. این همچنین یافتن قربانیان دیگر را بسیار دشوار می کند. اغلب این اتفاق می افتد که وقتی محققان زیرساخت حمله را کشف می کنند، اطلاعاتی را پیدا می کنند که به چندین قربانی تعلق دارد - که به ترسیم وسعت فعالیت های گروه کمک می کند. از آنجایی که متادور کمپین‌های هدف خود را جدا نگه می‌دارد، محققان فقط دیدگاه محدودی در مورد عملیات متادور و اینکه این گروه چه نوع قربانیانی را هدف قرار می‌دهد، دارند.

با این حال، چیزی که به نظر نمی رسد این گروه به آن توجه کند، مخلوط شدن با سایر گروه های مهاجم است. محققان دریافتند که شرکت مخابرات خاورمیانه که یکی از قربانیان متادور بود، قبلاً توسط حداقل 10 گروه حمله کننده دولت-ملت دیگر در معرض خطر قرار گرفته بود. به نظر می رسد که بسیاری از گروه های دیگر وابسته به چین و ایران هستند.

گروه‌های تهدید متعددی که یک سیستم را هدف قرار می‌دهند، گاهی اوقات به عنوان آهنربای تهدیدات شناخته می‌شوند، زیرا آنها گروه‌ها و پلتفرم‌های بدافزار مختلف را به‌طور همزمان جذب و میزبانی می‌کنند. بسیاری از بازیگران دولت-ملت برای حذف آثار عفونت توسط گروه‌های دیگر وقت می‌گذارند، حتی قبل از انجام فعالیت‌های حمله‌ای خود، تا حد رفع نقص‌هایی که سایر گروه‌ها استفاده می‌کردند، پیش می‌روند. محققان SentinelLabs گفتند، این واقعیت که متادور بدافزار را در سیستمی آلوده کرده است که قبلاً (مکرراً) توسط گروه‌های دیگر در معرض خطر قرار گرفته است، نشان می‌دهد که گروه به آنچه که گروه‌های دیگر انجام می‌دهند اهمیتی نمی‌دهد.

این امکان وجود دارد که شرکت مخابراتی هدف با ارزشی بوده باشد که گروه مایل به پذیرش خطر شناسایی باشد، زیرا حضور چندین گروه در یک سیستم احتمال اینکه قربانی متوجه اشتباهی شود را افزایش می‌دهد.

حمله کوسه

در حالی که به نظر می رسد این گروه از منابع بسیار خوبی برخوردار است - همانطور که پیچیدگی فنی بدافزار، امنیت عملیاتی پیشرفته گروه برای فرار از شناسایی و این واقعیت که در حال توسعه فعال است - گوررو-ساد هشدار داد که کافی نیست. برای تعیین اینکه دولت-ملت دخالت داشته است. ژوررو ساعد گفت، ممکن است متادور محصول یک پیمانکار باشد که به نمایندگی از یک دولت-ملت کار می کند، زیرا نشانه هایی وجود دارد که این گروه بسیار حرفه ای بوده است. وی خاطرنشان کرد که ممکن است اعضا تجربه قبلی در انجام این نوع حملات در این سطح داشته باشند.

محققان با اشاره به اینکه نمی‌دانند زیر آن چه می‌گذرد، نوشتند: «ما کشف متادور را شبیه به باله‌ای کوسه در نظر می‌گیریم که سطح آب را شکسته است. "این دلیلی برای پیشگویی است که نیاز صنعت امنیت را به مهندسی پیشگیرانه برای شناسایی لایه بالایی واقعی بازیگران تهدید که در حال حاضر بدون مجازات از شبکه ها عبور می کنند، اثبات می کند."

تمبر زمان:

بیشتر از تاریک خواندن