گروه هکری چینی Meet Naikon

کارشناسان غربی مدعی شدند که جاسوسان سایبری نظامی چینی از یک مرز جدید و خطرناک عبور کرده‌اند. محققان سایبری «Check Point»، شرکت اسرائیلی فناوری‌های نرم‌افزاری در گفتگو با زَک دافمن (Zak Doffman)، مؤسس و مدیرعامل «Digital Barriers»، شرکت توسعه دهنده راه‌حل‌های پیشرفته نظارتی در حوزه دفاعی، امنیت ملی و مقابله با تروریسم درخصوص وسیع‌ترین گزارش مربوط به یک گروه چینی «APT» صحبت کردند؛ محققان همچنین هشدار دادند که این یک کمپین پیچیده و هدفمند 5 ساله است. چندین دولت خارجی با سلاح‌های سایبری این گروه تهدید شده‌اند و از سیستم‌های دولتی برای حمله به کشورهای دیگر استفاده شده است.

به گفته شرکت اسرائیلی، تاکتیک‌های بسیار خطرناک گروه جاسوسی نظامی شامل ربودن کانال‌های ارتباطی دیپلماتیک برای هدف قرار دادن رایانه‌های خاص در وزارتخانه‌های خاص بودند. ارتباطات بدافزاری شاید از یک سفارت در خارج به وزارتخانه‌های داخل کشور یا به نهادهای دولتی در کشور میزبان آن ارسال شوند. این گروه سلاح سایبری جدیدی را برای جمع‌آوری اطلاعات در مقیاس گسترده معرفی کرده و به دنبال دستورالعمل‌های مأموران اطلاعاتی برای یافتن یک نام خاص روی یک دستگاه خاص است.

فعالیت‌های میت نایکون (Meet Naikon)، واحد شناسایی سایبری مرتبط با ارتش آزادی‌بخش خلق چین در گزارش شرکت «ThreatConnect» و «Defense Group» در سال 2015 فاش شدند. از آن زمان، عملیات‌های گروه تحت عنوان «عملیات‌های شبکه کامپیوتری منظقه‌ای، اطلاعات سیگنال‌ها و تجزیه و تحلیل سیاسی کشورهای مرزی جنوب شرقی آسیا، به‌ویژه کشورهایی که ادعای مناطق پرانرژی دریای جنوب چین را دارند» توصیف شده است.

براساس مصاحبه دافمن، در واقع نفوذ به رایانه‌های شخصی دیپلمات‌ها و به دست گرفتن سرورهای وزیران باعث موفقیت گروه در جمع‌آوری اطلاعات پرسنل ارشد و دارایی‌های مهم شده است. تمرکز منطقه‌ای نیز اینچنین است؛ در طی این 5 سال، سلاح‌های سایبری نایكون، استرالیا، اندونزی، فیلیپین، ویتنام، تایلند، میانمار و برونئی را هدف قرار داده است.

رویکرد نایکون، هدف قرار دادن یک دولت برای رسیدن به دیگران و فراتر از عملیات پرچم‌دار مبهم است. تحقیقات Check Point از مشاهده یک ایمیل مخرب ارسال شده از یک سفارت دولتی در منطقه آسیا-اقیانوسیه به دولت استرالیا شروع شد. این سند «RTF» با بدافزار موسوم به «RoyalRoad» آلوده و سپس کدگذاری شده بود تا پرونده‌ها را روی رایانه آلوده رها کند و درنتیجه دیگران آن را بارگذاری کنند.

شرکت اسرائیلی طبق رویکرد مشابه به‌دست آمده و منتسب به یک گروه هکری چینی، مدعی شد که در ماه مارس امسال برخی اسناد به ظاهر دارای هشدارهایی درخصوص ویروس کرونا از دولت مغولستان آمده و سایر سازمان‌های دولتی را در داخل کشور هدف قرار داده است. این سوءاستفاده شاید مشابه داشته باشد، اما سطح تجاری آن بسیار شبیه به نایکون بوده است.

کارشناسان استارت‌آپ اسرائیلی هشدار دادند :

«این حمله بسیار پیشرفته است؛ ما فهمیدیم که نایکون از طریق ایمیل‌های دیپلماتیک بدافزارهای خود را بین سفارتخانه‌ها و دولت‌های خارجی منتشر می‌کند تا از ارتباط آنها با سرورهای خارجی و بالقوه مخرب خودداری شود. آنها حتی کنترل سرورهای اداری را نیز به دست گرفتند.»

امکان هدف قرار دادن سلاح در پرونده‌های خاص روی دستگاه شخصی خاص در یک وزارتخانه خاص دولت می‌تواند به کمک یک ابزار جمع‌آوری یا حذف باشد. به گفته شرکت، این کار معمولاً مرتبط با کشورهایی است که قصد از بین بردن ردپای خود را دارند. با توجه به سیاست منطقه‌ای نبرد همیشگی چین برای نفوذ و برتری دفاعی، این موضوع بسیار قابل توجه است.

محققان اسرائیلی گزارش دادند که پوشش نایکون دیگر از بین رفته و این گروه علاوه بر فعالیت در 5 سال گذشته، فعالیت‌های جاسوسی سایبری خود را بیشتر کرده است. روش اصلی حمله نایكون، نفوذ به یك نهاد دولتی، سپس استفاده از مخاطبان، اسناد و داده‌های شخص برای حمله به دیگران، سوءاستفاده از اعتماد و روابط دیپلماتیک بین ادارات و دولت‌ها برای افزایش شانس حمله است.

کمپین کشف شده به‌وسیله Check Point شامل سلاح‌های سایبری پیشرفته توانمند برای به خطر انداختن سیستم‌های دولتی و یک عملیات گسترده اطلاعاتی با هدف شناسایی اهداف و فریب با ایمیل‌های جعلی ارسال شده از یک نهاد دولتی به دیگران است. این ایمیل‌ها با استقرار در اکوسیستم مورداعتماد، شبکه‌های امنیتی را از بین می‌برند. موضوعات ساختگی سپس اشخاص را هدف قرار می‌دهند. به عنوان مثال، سرور مورد استفاده در حملات، متعلق به وزارت علوم و فناوری دولت فیلیپین بوده است.

بدافزار اصلی کمپین نایکون، لودری موسوم به «Aria-body» بوده که از سال 2017 برای تهیه پشتیبان سرورهای فرماندهی و کنترل APT طراحی شده است. این لودر پس از اجرا، در پوشه راه‌اندازی یا رجیستری دستگاه آلوده می‌نشیند و سپس قبل از رمزگشایی و نصب روی دستگاه، یک تروجان دسترسی از راه دور مخرب (RAT) از سرور خارجی خود بارگیری می‌کند.

کارشناسان معتقدند که از این تروجان می‌توان برای ایجاد یا حذف پرونده‌ها یا کل دایرکتوری‌ها، ثبت تصاویر، جستجو در پرونده‌ها و جمع‌آوری ابرداده‌ها و حتی ورود به سیستم‌ها و کلیدها استفاده کرد. هدف اصلی تروجان، جمع‌آوری اطلاعات و جاسوسی دولت‌ها است. این امر شامل یافتن و جمع‌آوری اسناد خاص از رایانه‌ها و شبکه‌های آلوده و استخراج درایوهای قابل جابجایی داده‌ها ، گرفتن عکس‌های صفحه‌ای و رمزگشایی برنامه‌ها است.

Check Point بر اساس شباهت‌های موجود در کد در این بهره‌برداری‌ها و گزارش‌های سال 2015، فعالیت‌ها را به کمپین نایکون تخصیص داد. لوتم فینکلشتاین (Lotem Finkelsteen)، نویسنده اطلاعات تهدید سایبری در شرکت اسرائیلی طبق یافته‌های تیمش اظهار داشت :

«ما این مطلب را به عنوان تهدید و منبعی برای هر نهاد دولتی منتشر کرده‌ایم تا بتواند بهتر به فعالیت‌های نایکون یا سایر گروه‌های هکری توجه شود.»