جزییات حمله TAO به دانشگاه پلیتکنیک نورث وسترن چین
چین ، Office of Tailored Access Operation یا TAO رو متهم به حمله سایبری به دانشگاه پلیتکنیک نورث وسترن در شیان کرده. این دانشگاه عمدتا روی تحقیقات برنامههای هوانوردی و فضایی متمرکز هستش.
در 22 ژوئن دانشگاه پلیتکنیک نورث وسترن اعلام کرده که مورد حمله سایبری قرار گرفته و تحقیقات در این خصوص شروع شده. تو این تحقیقات National Computer Virus Emergency Response Center یا cverc و شرکت 360 به عنوان تیم فنی با هم مشارکت داشتن.
وزارت خارجه چین گفته تو این حمله در مجموع 140 گیگ اطلاعات مختلف از جمله اطلاعات پرسنل و تحقیقات فنی و ... به سرقت رفته. این حمله با رمز shotXXXX و توسط TAO انجام شده.
تو گزارشی که cverc منتشر کرده اشاره شده که تو این حمله 41 ابزار مختلف استفاده شده، از جمله :
1- ابزارهای دسترسی اولیه و ایجاد شبکه ناشناس :
ابزار Razor : این ابزار برای استفاده از آسیب پذیری های راه دور Solarise با معماری X86 و SPARC استفاده میشه. با این ابزار سرویس های RPC خاصی رو روی ماشین هدف باز میکردن. هنگام حمله میتونه به طور خودکار وضعیت باز بودن سرویس های سیستم هدف رو شناسایی کنه و به طور هوشمند نسخه مناسب اکسپلویت رو بسته به اطلاعات سیستم دانلود و اجرا کنه.
ابزار Island : این ابزار برای انجام حملات راه دور روی سیستم های Solarise که سرویس RPC خاصی روش باز بوده، برای بدست آوردن کنترل اون سیستم، استفاده میشده. فرقش با Razor اینکه ، نمی تونه بطور خودکار باز بودن سرویس RPC رو تشخیص بده.
پلتفرم Sour Fox : این ابزار بصورت ترکیبی با ابزار second date که حملات man-in-the-middle رو انجام میده برای پیاده سازی پیلودهای مختلف روی مرورگرهای مختلف مانند IE و FireFox و Safari و Android Webkit برای بدست آوردن کنترل سیستم ، استفاده میشده.
2- ابزارهای پرسیست (ماندگاری در اهداف) :
ابزار Second date : این ابزار می تونه برای مدت طولانی روی دستگاههای لبه شبکه مانند سرور های gateway و روترهای مرزی (border routers) قرار بگیره و اقدام به فیلترینگ و دزدیدن حجم زیادی از ترافیک شبکه برای دسترسی به حملات man-in-the-middle رو فراهم کنه. TAO با این ابزار ، ترافیک رو ربوده و به پلتفرم Sour Fox ارسال میکرده.
ابزار NOPEN : این ابزار یه تروجان هستش که از چندین سیستم عامل و پلتفرم پشتیبانی میکنه. این ابزار قابلیت اجرای دستورات مختلفی مانند مدیریت فایل ، مدیریت پروسس ها و ... رو از طریق یه تونل رمزگذاری شده رو فراهم میکنه.
ابزار Rage Jet : این ابزار هم یه نوع تروجان اما مبتنی بر ویندوز که از پلتفرم های مختلف پشتیبانی میکنه. قابلیت anti-analysis و anti-debugging بالا و امکان شخصی سازی نسبت به هدف رو هم داره. این ابزار هم همراه Sour Fox استفاده میشده.
ابزار Cunning Heresy : این ابزار برای نصب یه بکدور استفاده میشده که بعد نصبم خودش پاک میکرده . قابلیت افزایش امتیاز رو هم داشته. این ابزار برای استقرار NOPEN عمدتا استفاده میشده.
ابزار Stoic surgeon : این ابزار یه بکدور هستش که روی 4 سیستم عامل ، لینوکس ، Solaris ، JunOS و FreeBSD قابل اجراست. از این ابزار برای مخفی کردن فولدرها ، فایلها ، پروسس ها و ... استفاده میشه. TAO از این ابزار عمدتا برای مخفی کردن NOPEN برای جلوگیری از کشف اون استفاده میکنه. تو این حمله 12 نسخه مختلف از این ابزار روی هدف نصب شده !
3- ابزارهای Sniffing :
از این ابزارها برای سرقت اطلاعات کاربری ، تاریخچه اجرای دستورات و اطلاعات حساس استفاده میشده.
ابزار Drinking tea : این ابزار میتونه به مدت طولانی روی سیستم های سولاریس 32 بیتی یا 64 بیتی مستقر بشه و پسوردهایی که با روش های مختلف ورود از راه دور مانند SSH و telnet و rlogin استفاده میشه رو اسنیف و بدست بیاره. اطلاعات بدست اومده (اطلاعات کاربری ، لاگ فایلها ، رکورد دستورات کامندلاین و ... ) بعد از فشرده سازی و رمزگذاری، قابلیت دانلود از طریق NOPEN رو داشتن. این ابزار برای قسمت تجاری دانشگاه و زمانیکه عملیات تعمیر و نگهداری انجام میشده، استفاده شده.
مجموعه ابزارهای Operation behind enemy lines : این ابزارها برای سیستم های خاص مخابراتی طراحی شدن. تو حمله به دانشگاه از ابزارهای Magic School و Clown Food و Cursed Fire این سری ، برای هک اپراتورهای مخابراتی استفاده شده.
4- ابزارهای مخفی سازی :
از این ابزارها برای پاک کردن رد پای خودشون استفاده میکردن.
ابزار Cursed Fire : از این ابزار برای مشاهده و دستکاری فایلهای لاگ utmp و wtmp و lastlog و ... استفاده میشده. TAO با حدف و دستکاری این لاگها ، عملیات خودش رو پنهون میکرده. تو حمله به دانشگاه سه نسخه مختلف از این ابزار اجرا شده.
تو این حمله از 54 springboard (سرورهایی که برای انتقال دستور به ماشین هدف استفاده میشه تا IP اصلی مهاجم در دسترس نباشه)و سرور پروکسی که در 17 کشور مختلف از جمله ژاپن، کره جنوبی، سوئد، لهستان، اوکراین بوده، استفاده شده. 70 درصد این سرورها تو کشورهای همسایه ، ژاپن و کره بوده. از آی پی ها springboard تونستن 4 موردش رو در آمریکا شناسایی کنن : *.209.59.36 , *.69.165.54 , *.207.195.240 , *.209.118.143 . پنج سرور پروکسی هم تو هلند و کلمبیا پیدا کردن.