گروه هکری «Muddy Water»؛ از عملیات جاسوسی سایبری تا خطاهای عملیاتی

دو گزارش فنی تازه چه تصویری از یک بازیگر سایبری وابسته به جمهوری اسلامی ارائه می‌دهند
گروه هکری «Muddy Water»؛ از عملیات جاسوسی سایبری تا خطاهای عملیاتی
تهدید امنیت پیشرفته

دو گزارش تحقیقاتی تازه که به‌طور مستقل منتشر شده‌اند، جزئیات تازه‌ای از فعالیت‌های گروه هکری Muddy Water ارائه می‌دهند؛ گروهی که در سال‌های اخیر در بسیاری از گزارش‌های امنیتی غربی به عنوان یکی از بازیگران اصلی عملیات سایبری وابسته به وزارت اطلاعات جمهوری اسلامی ایران معرفی شده است. این دو تحقیق اگرچه از نظر سطح تحلیل متفاوت هستند، اما در مجموع تصویری نسبتا منسجم از نحوه عمل این گروه ارائه می‌کنند: از ساختار و اهداف عملیاتی گرفته تا ابزارها، زیرساخت‌ها و حتی خطاهای امنیتی در عملیات.

یکی از این گزارش‌ها که توسط تیم CtrlAltIntel منتشر شده، یک تحلیل جامع از فعالیت‌های MuddyWater ارائه می‌دهد و تلاش می‌کند الگوی عملیاتی این گروه را در سطح کلان بررسی کند. در مقابل، گزارش دوم که توسط پژوهشگران BreakGlass منتشر شده، بر یک کمپین مشخص از این گروه تمرکز دارد و با بررسی کد بدافزار، زیرساخت فرماندهی و کنترل و اشتباهات عملیاتی، جزئیات فنی بیشتری از نحوه اجرای حملات را آشکار می‌کند.

در کنار هم قرار دادن این دو تحقیق نشان می‌دهد که چگونه یک گروه سایبری وابسته به دولت می‌تواند هم عملیات جاسوسی طولانی‌مدت انجام دهد و هم در اجرای برخی کمپین‌ها مرتکب خطاهایی شود که به تحلیلگران امنیتی امکان شناسایی آن را می‌دهد.

در گزارش CtrlAltIntel، گروه MuddyWater به عنوان یک گروه پیشرفته تهدید پایدار (APT) معرفی شده که دست‌کم از اواسط دهه ۲۰۱۰ در عملیات سایبری فعال بوده است. این گروه در گزارش‌های امنیتی مختلف با نام‌های دیگری نیز شناخته شده، از جمله Seedworm، MERCURY و Static Kitten. نهادهای دولتی غربی از جمله آژانس‌های امنیت سایبری آمریکا نیز پیش‌تر این گروه را به عنوان بخشی از عملیات اطلاعاتی جمهوری اسلامی معرفی کرده‌اند.

به گفته پژوهشگران، هدف اصلی MuddyWater در بیشتر عملیات‌ها جاسوسی سایبری و جمع‌آوری اطلاعات بوده است. اهداف حملات این گروه معمولا شامل نهادهای دولتی، شرکت‌های انرژی، زیرساخت‌های مخابراتی و سازمان‌های فناوری در خاورمیانه، اروپا و گاهی آمریکای شمالی بوده است.

یکی از ویژگی‌های قابل توجه این گروه استفاده گسترده از حملات فیشینگ هدفمند برای نفوذ اولیه به شبکه‌ها است. در بسیاری از موارد، مهاجمان ایمیل‌هایی حاوی اسناد آلوده یا لینک‌های دانلود بدافزار ارسال می‌کنند که پس از باز شدن، امکان دسترسی اولیه به سیستم قربانی را فراهم می‌کند.

پس از نفوذ، مهاجمان معمولا از اسکریپت‌ها و ابزارهای مدیریتی سیستم برای گسترش دسترسی و ایجاد دسترسی پایدار در شبکه استفاده می‌کنند.

اتکا به ابزارهای ساده به جای بدافزارهای پیچیده

یکی از نکات جالب در تحلیل فعالیت‌های MuddyWater این است که برخلاف بسیاری از گروه‌های پیشرفته سایبری، این گروه اغلب از ابزارهای پیچیده اختصاصی استفاده نمی‌کند. در عوض، در بسیاری از عملیات‌ها از ابزارهای موجود یا متن‌باز بهره می‌برد.

گزارش CtrlAltIntel نشان می‌دهد که مهاجمان این گروه به طور گسترده از PowerShell، اسکریپت‌های ساده و ابزارهای مدیریت سیستم برای اجرای حملات استفاده می‌کنند. چنین رویکردی باعث می‌شود فعالیت آن‌ها در بسیاری از موارد در میان ترافیک عادی شبکه پنهان بماند، زیرا ابزارهای استفاده شده در اصل ابزارهای قانونی مدیریت سیستم هستند.

این روش که در ادبیات امنیت سایبری با عنوان Living off the Land شناخته می‌شود، به مهاجمان اجازه می‌دهد بدون استفاده از بدافزارهای پیچیده نیز عملیات جاسوسی موثر انجام دهند.

کمپین «Mazafakaerindahouse»؛ یک نمونه عملی

در حالی که گزارش اول تصویری کلی از فعالیت‌های MuddyWater ارائه می‌دهد، تحقیق منتشر شده توسط BreakGlass بر یک عملیات مشخص تمرکز دارد که با نام Mazafakaerindahouse شناخته می‌شود.

در این کمپین، مهاجمان از یک dropper پایتون بسیار کوچک استفاده کرده‌اند که تنها حدود ۸۷۳ بایت حجم دارد. وظیفه این برنامه کوچک دانلود و اجرای مرحله بعدی بدافزار و برقراری ارتباط با سرور فرماندهی و کنترل است.

به گفته پژوهشگران، زنجیره حمله در این عملیات نسبتا ساده بوده است: ابتدا قربانی از طریق یک ایمیل فیشینگ یا فایل آلوده برنامه اولیه را اجرا می‌کند، سپس این برنامه یک payload دیگر را دانلود می‌کند و ارتباط با زیرساخت مهاجم برقرار می‌شود. پس از آن مهاجمان می‌توانند ابزارهای جاسوسی بیشتری را در سیستم نصب کنند.

این ساختار ساده نشان می‌دهد که مهاجمان در این عملیات به جای استفاده از ابزارهای پیچیده، به ابزارهای سبک و سریع متکی بوده‌اند.

شش خطای عملیاتی

یکی از مهم‌ترین یافته‌های گزارش BreakGlass کشف شش خطای عملیاتی (OPSEC failures) در این کمپین است؛ خطاهایی که به تحلیلگران امکان می‌دهد عملیات را با احتمال بیشتری به MuddyWater نسبت دهند.

در برخی موارد، داده‌های موجود در کد بدافزار حاوی اطلاعاتی درباره محیط توسعه مهاجمان بوده است. برای مثال مسیرهای ذخیره فایل یا نام پوشه‌ها در metadata برنامه باقی مانده بودند. چنین اطلاعاتی می‌تواند سرنخ‌هایی درباره نحوه توسعه بدافزار و حتی ساختار داخلی تیم مهاجم ارائه دهد.

در موارد دیگر، نام فایل‌ها و پروژه‌ها الگوهایی داشتند که در کمپین‌های قبلی MuddyWater نیز مشاهده شده بود. همچنین برخی سرورهای مورد استفاده در این عملیات پیش‌تر در حملات دیگر این گروه دیده شده بودند، موضوعی که نشان می‌دهد زیرساخت‌های عملیاتی به اندازه کافی از هم جدا نشده‌اند.

پژوهشگران همچنین به استفاده گسترده از ابزارهای عمومی و متن‌باز اشاره کرده‌اند که باعث می‌شود تحلیلگران بتوانند راحت‌تر رفتار مهاجمان را ردیابی کنند.

دو تصویر از یک بازیگر سایبری

در کنار هم قرار دادن این دو گزارش نشان می‌دهد که آن‌ها در واقع دو سطح متفاوت از تحلیل یک بازیگر سایبری واحد را ارائه می‌کنند.

گزارش CtrlAltIntel تصویری کلان از ساختار، اهداف و روش‌های عملیاتی MuddyWater ارائه می‌دهد و نشان می‌دهد این گروه چگونه در چارچوب عملیات اطلاعاتی جمهوری اسلامی فعالیت می‌کند. در مقابل، گزارش BreakGlass یک بررسی فنی دقیق از یک کمپین خاص است که جزئیات نحوه اجرای حمله و خطاهای عملیاتی مهاجمان را آشکار می‌کند.

این دو تحلیل در مجموع نشان می‌دهند که MuddyWater اگرچه یک بازیگر سایبری دولتی محسوب می‌شود، اما عملیات آن همیشه پیچیده یا پیشرفته نیست. در برخی موارد، این گروه از ابزارهای بسیار ساده استفاده می‌کند و حتی خطاهای عملیاتی قابل توجهی مرتکب می‌شود.

جمع‌بندی

تحقیقات تازه درباره MuddyWater تصویری پیچیده از یک بازیگر سایبری وابسته به دولت ارائه می‌دهند. از یک سو این گروه توانسته طی سال‌های گذشته عملیات جاسوسی سایبری گسترده‌ای علیه اهداف دولتی و صنعتی در مناطق مختلف جهان انجام دهد. از سوی دیگر، بررسی دقیق برخی کمپین‌ها نشان می‌دهد که ابزارهای استفاده شده گاهی ساده هستند و حتی اشتباهات عملیاتی در آن‌ها دیده می‌شود.

برای تحلیلگران امنیت سایبری، چنین خطاهایی فرصت ارزشمندی برای شناسایی زیرساخت‌ها، ابزارها و الگوهای عملیاتی مهاجمان فراهم می‌کند. در عین حال این تحقیقات نشان می‌دهند که عملیات سایبری دولتی همیشه به معنای استفاده از ابزارهای بسیار پیچیده نیست؛ گاهی ترکیبی از ابزارهای ساده، زیرساخت گسترده و تداوم عملیات می‌تواند به همان اندازه موثر باشد.