LABSCON – Scottsdale, Ariz – یک عامل تهدید جدید که یک شرکت مخابراتی در خاورمیانه و چندین ارائهدهنده خدمات اینترنت و دانشگاهها در خاورمیانه و آفریقا را آلوده کرده است، مسئول دو پلتفرم بدافزار «بسیار پیچیده» است – اما چیزهای زیادی در مورد بر اساس تحقیقات جدیدی که امروز در اینجا فاش شد، گروهی که در هاله ای از رمز و راز قرار دارند.
محققان SentintelLabs که یافتههای خود را در اولین کنفرانس امنیتی LabsCon به اشتراک گذاشتند، نام گروه را Metador بر اساس عبارت «من متا هستم» که در کد مخرب ظاهر میشود و این واقعیت است که پیامهای سرور معمولاً به زبان اسپانیایی هستند، نامگذاری کردند. گمان می رود این گروه از دسامبر 2020 فعال بوده است، اما طی چند سال گذشته با موفقیت زیر رادار پرواز کرده است. Juan Andrés Guerrero-Saade، مدیر ارشد SentinelLabs، گفت که این تیم اطلاعاتی را در مورد Metador با محققان سایر شرکتهای امنیتی و شرکای دولتی به اشتراک گذاشتند، اما هیچکس چیزی در مورد این گروه نمیدانست.
محققین Guerrero-Saade و SentinelLabs، آمیتای بن شوشان ارلیش و الکساندر میلنکوسکی پست های وبلاگ و جزییات فنی در مورد دو پلتفرم بدافزار، metaMain و Mafalda، به امید یافتن قربانیان بیشتری که آلوده شده اند. گوئررو ساعد گفت: "ما می دانستیم آنها کجا هستند، نه اکنون کجا هستند."
MetaMain یک درب پشتی است که میتواند فعالیتهای ماوس و صفحهکلید را ثبت کند، اسکرینشاتها را بگیرد و دادهها و فایلها را استخراج کند. همچنین می توان از آن برای نصب Mafalda استفاده کرد، یک چارچوب بسیار ماژولار که به مهاجمان توانایی جمع آوری اطلاعات سیستم و شبکه و سایر قابلیت های اضافی را می دهد. MetaMain و Mafalda هر دو کاملاً در حافظه کار می کنند و خود را روی هارد سیستم نصب نمی کنند.
طنز سیاسی
گمان می رود نام این بدافزار از مافالدا، یک کارتون محبوب اسپانیایی زبان از آرژانتین الهام گرفته شده باشد که مرتباً در مورد موضوعات سیاسی اظهار نظر می کند.
Metador آدرسهای IP منحصر به فردی را برای هر قربانی تنظیم میکند و تضمین میکند که حتی اگر یک فرمان و کنترل کشف شود، بقیه زیرساختها عملیاتی میمانند. این همچنین یافتن قربانیان دیگر را بسیار دشوار می کند. اغلب این اتفاق می افتد که وقتی محققان زیرساخت حمله را کشف می کنند، اطلاعاتی را پیدا می کنند که به چندین قربانی تعلق دارد - که به ترسیم وسعت فعالیت های گروه کمک می کند. از آنجایی که متادور کمپینهای هدف خود را جدا نگه میدارد، محققان فقط دیدگاه محدودی در مورد عملیات متادور و اینکه این گروه چه نوع قربانیانی را هدف قرار میدهد، دارند.
با این حال، چیزی که به نظر نمی رسد این گروه به آن توجه کند، مخلوط شدن با سایر گروه های مهاجم است. محققان دریافتند که شرکت مخابرات خاورمیانه که یکی از قربانیان متادور بود، قبلاً توسط حداقل 10 گروه حمله کننده دولت-ملت دیگر در معرض خطر قرار گرفته بود. به نظر می رسد که بسیاری از گروه های دیگر وابسته به چین و ایران هستند.
گروههای تهدید متعددی که یک سیستم را هدف قرار میدهند، گاهی اوقات به عنوان آهنربای تهدیدات شناخته میشوند، زیرا آنها گروهها و پلتفرمهای بدافزار مختلف را بهطور همزمان جذب و میزبانی میکنند. بسیاری از بازیگران دولت-ملت برای حذف آثار عفونت توسط گروههای دیگر وقت میگذارند، حتی قبل از انجام فعالیتهای حملهای خود، تا حد رفع نقصهایی که سایر گروهها استفاده میکردند، پیش میروند. محققان SentinelLabs گفتند، این واقعیت که متادور بدافزار را در سیستمی آلوده کرده است که قبلاً (مکرراً) توسط گروههای دیگر در معرض خطر قرار گرفته است، نشان میدهد که گروه به آنچه که گروههای دیگر انجام میدهند اهمیتی نمیدهد.
این امکان وجود دارد که شرکت مخابراتی هدف با ارزشی بوده باشد که گروه مایل به پذیرش خطر شناسایی باشد، زیرا حضور چندین گروه در یک سیستم احتمال اینکه قربانی متوجه اشتباهی شود را افزایش میدهد.
حمله کوسه
در حالی که به نظر می رسد این گروه از منابع بسیار خوبی برخوردار است - همانطور که پیچیدگی فنی بدافزار، امنیت عملیاتی پیشرفته گروه برای فرار از شناسایی و این واقعیت که در حال توسعه فعال است - گوررو-ساد هشدار داد که کافی نیست. برای تعیین اینکه دولت-ملت دخالت داشته است. ژوررو ساعد گفت، ممکن است متادور محصول یک پیمانکار باشد که به نمایندگی از یک دولت-ملت کار می کند، زیرا نشانه هایی وجود دارد که این گروه بسیار حرفه ای بوده است. وی خاطرنشان کرد که ممکن است اعضا تجربه قبلی در انجام این نوع حملات در این سطح داشته باشند.
محققان با اشاره به اینکه نمیدانند زیر آن چه میگذرد، نوشتند: «ما کشف متادور را شبیه به بالهای کوسه در نظر میگیریم که سطح آب را شکسته است. "این دلیلی برای پیشگویی است که نیاز صنعت امنیت را به مهندسی پیشگیرانه برای شناسایی لایه بالایی واقعی بازیگران تهدید که در حال حاضر بدون مجازات از شبکه ها عبور می کنند، اثبات می کند."