حملات هتل تاریک اشخاص رده‌بالا را هدف می‌گيرند

آن‌چه خوانديد، نتيجه بررسی‌های پژوهش‌گران شرکت کسپرسکی و شرکت ديگری است که شبکه وای‌فای هتل ياد شده در آسيا را (که نام آن برده نشده ‌است) مديريت می‌کرد. کسپرسکی می‌گويد: «مهاجمان دست‌کم به‌ مدت هفت سال ميهمانان خاصی را در هتل‌های لوکس ديگری در آسيا هدف حمله قرار می‌داده‌ و نيز به‌وسيله حمله‌های 1Spear-phishing و شبکه‌های همتا‌به‌همتا (P2P) سيستم‌های قربانيان را آلوده می‌کرده‌اند.» 

مطلب پیشنهادی: همه‌چیز درباره حملات بدافزارهای مبتنی بر ماکروها

پژوهش‌گران کسپرسکی اين گروه را گروه هتل‌ تاريک (DarkHotel) ناميده‌اند، ولی شرکت‌های امنيتی ديگری که مستقل از کسپرسکی حمله‌های Spear-phishing و P2P اين هکرها را ردگيری می‌کردند، آن‌ها را به‌نام Tapaoux نيز می‌شناسند. اين مهاجمان دست‌کم از سال 2007 به ‌اين سو با ترکيبی (پارادوکس‌گونه) از شیوه‌های بسيار کارآمد و ترفندهای پيش‌پاافتاده قربانيان را به دام می‌انداختند. به‌نظر می‌رسد اين هک‌های اخير که روی هتل‌ها متمرکز شده‌اند، گسترشی نو و متهورانه از سلسله حمله‌هایی باشند که هدف‌های با ارزش را مدنظر قرار داده‌اند.  کاستين رايو (Costin Raiu)، مدير گروه پژوهش‌ها و تحليل‌های جهانی کسپرسکی، می‌گويد: «اين (رويداد) هر روز گسترده‌تر و گسترده‌تر می‌شود. آن‌ها هتل‌های بيش‌تر و بيش‌تری را مورد حمله قرار می‌دهند.» بيش‌تر هتل‌هایی که مورد حمله قرار گرفته‌اند در آسيا و برخی نيز در ايالات متحده قرار دارند. کسپرسکی از اين هتل‌ها نامی نخواهد برد، ولی می‌گويد: «آن‌ها در کمک برای بررسی اين موضوع همکاری نکرد‌ه‌اند.»

مکانيسم‌هایی در حد حمله‌های NSA 
شیوه‌های مهاجمان شامل استفاده از رخنه‌گری‌های روز صفر برای هدف قرار دادن فايل‌های اجرایی در حمله‌های Spear-phishing و نيز يک کليد ضربه‌ربای مد کرنل (Kernel-mode keystroke logger) برای واکشی داده‌ها از دستگاه‌های قربانی است. همچنين، برای اين‌که گواهی‌ مورد نياز برای وارد کردن بدافزار خود به سيستم را به‌دست بياورند، کليدهای ورودی ضعيف را کرک می‌کردند تا فايل‌های آلاينده‌شان مانند نرم‌افزارهای معتبر به‌نظر برسند. 
همان‌گونه که رايو اشاره می‌کند، آشکار است که نه با يک حمله سطح متوسط، بلکه با حمله‌ای سطح بالا سروکار داريم. به‌ گفته او، ربودن کليدهای مد کرنل مهارتی است که کم‌تر کسی از آن برخوردار است. اين افراد با توانایی‌شان در مهندسی معکوس گواهی‌نامه و سو‌ء‌‌استفاده از ضعف‌های روز صفر، در گروه ويژه‌ای جای می‌‌گيرند. 
اهداف هکرها در اين حمله‌های Spear-phishing، مديران رده‌بالا(از جمله يک مدير رسانه‌ای از آسيا) و نيز آژانس‌های دولتی، نهادهای مردمی و مديران امريکایی است و به‌نظر می‌رسد اهداف اصلی‌شان در کره شمالی، ژاپن و هند باشند. رايو اشاره می‌کند همه اين کشورها از کشورهای هسته‌ای آسيا به‌‌شمار می‌آيند و اقدام هکرها نيز سمت و سوی هسته‌ای دارد. آن‌ها پايگاه صنايع دفاع ايالات متحده و مديران مهمی از سراسر جهان و از همه بخش‌های مرتبط با توسعه و سرمايه‌گذاری اقتصادی را نيز هدف می‌گيرند. اخيراً يورش‌های صورت‌گرفته ضد پايگاه صنايع دفاعی ايالات متحده افزايش چشم‌گيری يافته ‌است. 
به‌نظر می‌رسد مهاجمان رويکردی دوسويه را برگزيده‌اند؛ استفاده از سلسله رخنه‌گری‌های P2P برای آلودن شمار هرچه بيش‌تری از قربانيان و سپس بهره بردن از Spear-phishing و نفوذ به شبکه‌ هتل‌ها برای صورت دادن حمله‌های دقيق. در حمله‌های P2P، در نخستين مرحله هزاران قربانی با بدافزار بات‌نت آلوده می‌شوند، ولی اگر قربانی برای مهاجمان اهميت داشته ‌باشد، آن‌ها يک گام ديگر پيش می‌روند و روی سيستم او يک بک‌دور قرار می‌دهند تا اسناد و داده‌ها را از آن واکشی کنند. 
تا اين اواخر، مهاجمان برای انجام کارهای خود حدود 200 سرور دستور و کنترل (C&C) داشتند. کسپرسکی 26 دامنه سرورهای دستور را سينک‌هول (Sinkhole) و به‌عبارتی گمراه کرد و حتی به سرورها و لاگ‌های محافظت ‌‌نشده‌‌ای دسترسی يافت که هزاران سيستم آلوده در آن‌ها ثبت شده ‌بود. شمار زيادی از اين سيستم‌های ثبت‌ شده در لاگ‌های مهاجمان نشان می‌دادند که آن‌ها تا چه ‌اندازه در سلسله حمله‌های P2P خود آشفته کار کرده‌اند (همان‌گونه که پیش‌تر نيز اشاره ‌شد). آن‌ها بيش‌تر زيرساخت‌های فرمان‌دهنده خود را در ماه اکتبر خاموش کردند و شايد پس از آن‌که بو بردند پژوهش‌گران کسپرسکی آن‌ها را ردگيری می‌کنند، چنين کاری کرده‌اند. 
رايو می‌گويد: «اين‌گونه که پيدا است، خاموش کردن زيرساخت‌ها به‌صورت اضطراری انجام گرفته ‌است و به‌نظر می‌رسد آن‌ها خيلی ترسيده بوده‌اند.» 

سرنخ‌هایی که به کره جنوبی اشاره دارند
شايد علت ترس آن‌ها وجود سرنخ‌هایی بود که نشان می‌داد سلسله حمله‌های فوق، از يکی از کشورهای مهم متحد ايالات متحده سرچشمه می‌گيرند: کره جنوبی. پژوهش‌گران می‌گويند: «يکی از گونه بدافزارهای مورد استفاده مهاجمان طوری طراحی شده‌ بود که اگر می‌ديد کدپيج کامپيوتری که به ‌آن راه يافته ‌است، به‌ زبان کره‌ای تنظيم شده ‌‌است، خاموش می‌شد.»
همچنين، در کد منبع کليد ضربه‌ربایی که مهاجمان به‌کار برده ‌بودند، کاراکترهایی به زبان کره‌ای به‌چشم می‌خورد و به‌نظر می‌رسد با برنامه‌نويسی از کره جنوبی ارتباط دارد.سرشت کارآمد اين کليد ضربه‌ربا و نيز حمله‌ به کليدهای رمزنگار RSA نشان می‌دهد که ممکن است Dark Hotel اقدامی با ريشه‌های دولتی يا دست‌کم از سوی دولت‌هایی پشتيبانی شده ‌باشد. اگر اين موضوع درست باشد، حمله مهاجمان به صنعت دفاع ايالات متحده عجيب و غريب خواهد بود. 
رايو می‌گويد: «اين کليد ضربه‌ربا که يک لاگر مد کرنل است، کارآمدترين و بهترين لاگری (از نظر کیفیت کدنویسی) است که در سال‌های کاری خود به‌عنوان پژوهش‌گر امنيتی ديده‌ است.» بدافزار مد کرنل کم‌ياب و به‌کارگيری آن سخت است. کار کردن در هسته سيستم، به‌جای کار کردن در سطح کاربر که بيش‌تر برنامه‌های نرم‌افزاری در آن‌جا اجرا می‌شوند، به بدافزار اجازه می‌دهد تا بهتر از سد اسکنرهای ضدويروس و ديگر سامانه‌های شناسایی بگذرد. کار با بدافزار مد کرنل نيازمند مهارت است؛ زیرا اگر خوب طراحی نشده ‌باشد، می‌تواند به‌سادگی سيستم را از کار بياندازد. 
ويتالی کاملوک (Vitaly Kamluk)، از پژوهش‌گران ارشد امنيت در کسپرسکی، می‌گويد: «بايد خيلی در توسعه (برنامه‌نويسی) در سطح کرنل ماهر باشيد و چنين مهارت‌هایی خيلی کم‌ياب هستند.» او می‌افزايد: «افزون بر این، (بدافزار مد کرنل) بايد بسيار مقاوم‌سازی شود. بايد بسيار مقاوم و به‌خوبی آزمايش ‌شده باشد.»

به‌نظر می‌رسد مهاجمان رويکردی دوسويه را برگزيده‌اند؛ استفاده از سلسله رخنه‌گری‌های P2P برای آلودن شمار هرچه بيش‌تری از قربانيان و سپس بهره بردن از Spear-phishing و نفوذ به شبکه‌ هتل‌ها برای صورت دادن حمله‌های دقيق.

رايو می‌گويد: «ازآن‌جاکه نوشتن کليد ضربه‌‌رباهایی که با تقريباً چهار سطر برنامه در واسط‌های برنامه‌نويسی (APIs) ويندوز رخنه می‌کنند، کار ساده‌ای است، منطقی نيست از کليد ضربه‌ربای سطح کرنل استفاده‌ شود. اين افراد ترجيح می‌دهند از کليد ضربه‌ربای سطح کرنل استفاده کنند که حجمش حدود 300 کيلوبايت است، درايور کليد ضربه‌ربا که کاری ديوانه‌وار و بسيار نامعمول است.» 
به‌نظر می‌رسد اين لاگر که در سال 2007 ساخته شده ‌بود، به‌وسيله شخصی نوشته شده ‌است که او را Chpie می‌خوانند؛ نامی که در کد منبع لاگر نيز به‌چشم می‌خورد. اين نام پيش‌تر نيز توسط يک برنامه‌نويس اهل کره جنوبی که به ساختن کليد ضربه‌ربای ديگری در سطح کرنل معروف است، مورد استفاده قرار گرفته‌ بود. رايو می‌گويد: «به‌نظر می‌رسد که آن کليد ضربه‌ربا نسخه اوليه‌ای از کليد ضربه‌ربای کنونی بوده‌ است.»
کليد ضربه‌ربای به‌کار گرفته‌ شده در Dark Hotel از بخشی از همان کدهای منبع استفاده می‌کند، ولی کارآمدتر است، چنان‌که گویی نسخه‌ به‌روز شده‌ای از کليد ضربه‌ربای پيشين است. جدای از کليد ضربه‌ربای کارآمد، استفاده مهاجم از گواهی‌های ديجيتال برای ثبت بدافزار نيز به عوامل ملی دولتی يا عواملی اشاره دارد که از سوی دولت ملی پشتيبانی می‌شوند. مهاجمان دريافتند يکی از گواهی‌های ديجيتال مورد استفاده مقام مسئول دولت مالزی و نيز شرکت داچ تلکام از کليدهای ورودی ضعيف 512 بيتی استفاده می‌کنند. اندازه کوچک کليد به مهاجمان اجازه می‌داد تا با کمی بهره‌گيری از قدرت ابرمحاسبه‌ای، کليدهای 512 بيتی RSA را بشکافند (در اصل با بازمهندسی آن) تا گواهی‌های ديجيتال خودشان را توليد و بدافزار خود را با استفاده از آن ثبت کنند. 
به ‌گفته رايو، «اگر نه هرگز، اما خيلی کم ديده می‌شود که گروه‌های APT (سرنام Advanced Persistent Threat) به‌ معنی تهديد سرسخت پيش‌رفته، از چنين ترفندهایی استفاده‌ کنند. تا جایی که می‌دانيم، با وجود اين واقعيت که اين گواهی‌ها تا مدتی وجود داشته‌اند، هيچ‌کس ديگری کاری همانند اين ‌را انجام نداده ‌است. مکانيسم اين آلايندگی در سطح (رخنه‌گری‌های) آژانس‌های امنیت ملی امریکا NSA است. اين عناصر کارآمد حمله مهم هستند، ولی خيره‌کننده‌ترين بخش از سلسله حمله‌های Dark Hotel عملکرد خود هتل‌ها است. 

آشکار کردن معمای Dark Hotel
نخستين بار در اواخر ژانويه امسال بود که پژوهش‌گران کسپرسکی از موضوع حمله به هتل‌ها آگاه شدند؛ يعنی، هنگامی‌که به‌وسيله سيستم خودکار خود گزارش‌هایی دريافت کردند که نشان می‌داد سيستم‌های برخی از مشتريان‌شان آلوده شده ‌است. آن‌ها با گرفتن رد آلودگی‌ها به شبکه‌ دو هتل در آسيا رسيدند. کاملوک به هر دو هتل سفر کرد تا ببيند آيا می‌تواند پی ببرد کامپيوترهای ميهمانان هتل چگونه آلوده شده‌اند يا نه. در مدت اقامت او در هتل برای کامپيوتر او هيچ اتفاقی نيفتاد. هنگامی‌ که کاملوک برای مسئولان هتل توضيح داد برای ميهمانان‌شان چه اتفاق‌هایی می‌افتد، آن‌ها هيچ کمکی نکردند. او طی اقامتش متوجه شد که هر دو هتل برای مديريت شبکه وای‌فای ميهمانان خود با شرکت مشابهی قرارداد بسته‌اند. 
بعضی هتل‌ها خودشان زيرساخت شبکه دارند و خودشان هم آن ‌را مديريت می‌کنند، ولی بعضی ديگر برای اين کار يک شرکت خدمات مديريتی استخدام می‌کنند. شرکتی که شبکه وای‌فای هر دو هتل را مديريت می‌کرد اميدوار است که هويتش آشکار نشود، اما درعوض، به‌سرعت با کسپرسکی همکاری کرد و ايمج‌ها و لاگ‌های سرور را به اين شرکت امنيتی ارائه داد تا مهاجمان را رديابی کنند. يکی از مديران ارشد شرکت ياد شده می‌گويد: «با اين‌که مهاجمان رد خيلی کمی از خود به‌جای نهاده‌ بودند، ولی خط فرمان‌های خاصی وجود داشتند که نبايد در سيستم هتل می‌بودند. همين هم سرنخ خوبی بود.» 
در يک مورد، پژوهش‌گران دايرکتوری يکی از سرورهای يونيکسی متوجه شدند به يک فايل اجرایی آلوده در ويندوز ارجاع داده شده ‌است. خود فايل خيلی وقت پيش حذف شده ‌بود، ولی اين ارجاع نشان می‌داد فايل ياد شده پيش از اين آن‌جا بوده ‌است. کاملوک می‌گويد: «رکوردی مبنی بر حذف يک فايل وجود داشت و تاريخی که نشان می‌داد چه زمانی اين‌ کار انجام شده‌ است.» با بررسی ردهای به‌جای مانده، اين نتيجه به‌دست آمد که تلاش مهاجمان برای راه دادن بدافزارشان به درون سيستم هتل، خارج از ساعت‌های کاری انجام می‌گرفته ‌است. 

مطلب پیشنهادی: چگونه اکسس‌پوینت‌های جعلی را شناسایی کنیم؟

مدير ارشد همان شرکت خدمات مديريتی هتل می‌گويد: «آن‌ها صبح زود پيش از آن‌که کارکنان هتل به دفتر برسند، کار خود را آغاز و پس از آن‌‌که از دفتر بيرون می‌رفتند بدافزار را توزيع می‌کردند. حرف يکی دو روز اخير نيست. آن‌ها برای اين کار وقت گذاشته‌اند. آن‌ها در چند سال گذشته در تلاش بوده‌اند تا به شبکه‌ها دسترسی بيابند.»
روشن نيست که آن‌ها تاکنون به چند هتل ديگر حمله کرده‌اند، اما به‌نظر می‌رسد اين هکرها هدف‌های خود را دست‌چين می‌کرده‌اند و تنها هتل‌هایی را که می‌دانستند قربانيان‌شان می‌خواهند در آن‌جا اقامت کنند، مورد حمله قرار می‌داده‌اند. 
هنگامی‌که قربانيان می‌خواستند به شبکه وای‌فای متصل شوند، يک پيغام پاپ‌آپ ظاهر می‌شد که به‌ آن‌ها می‌گفت: «بايد فلش پلير خود را به‌روز کنند. سپس آن‌ها فايلی را که به‌صورت ديجيتال امضا شده ‌بود تا معتبر به‌نظر بيايد برای دانلود به قربانيان ارائه می‌دادند. اگر قربانيان دانلود را می‌پذيرفتند به‌جای فايل مربوط يک تروجان روی کامپيوترشان نصب می‌شد. در اصل، اين پيغام‌ها پيش از آن‌که ميهمانان واقعاً وارد شبکه وای‌فای شوند، ظاهر می‌شدند. پس حتی اگر آن‌ها از آنلاين شدن صرف‌نظر می‌کردند، همين‌که دکمه «Accept» را می‌زدند، آلوده می‌شدند. 

آن‌ها صبح زود پيش از آن‌که کارکنان هتل به دفتر برسند، کار خود را آغاز و پس از آن‌‌که از دفتر بيرون می‌رفتند بدافزار را توزيع می‌کردند. حرف يکی دو روزاخير نيست. آن‌ها برای اين کار وقت گذاشته‌اند. آن‌ها در چند سال گذشته در تلاش بوده‌اند تا به شبکه‌ها دسترسی بيابند.

ازآن‌جا که دپارتمان‌های آی‌تی سازمان‌های متبوع قربانيان، بلافاصله پس از پايان سفر آن‌ها و بازگشت‌شان به آسيا هرگونه رفتار مشکوکی را ردگيری می‌کردند، رايو می‌گويد: «به‌نظر می‌رسد هکرها می‌خواستند با اين‌ کار چشمان پايش‌گر آن ناظران را گمراه کنند.» آن‌گونه که می‌نمايد، در برخی هتل‌ها تنها قربانيان کمی هدف قرار گرفته‌اند. اما ظاهراً در برخی ديگر از سيستم‌ها، مهاجمان گروهی از بازديدکنندگان را هدف قرار داده‌اند؛ در اين صورت، طبق شواهد، آن‌ها در يک بازه زمانی مشخص می‌کوشيدند به دستگاه‌هی که می‌خواستند به اینترنت متصل شود رخنه کنند که قرار است به ‌اين اينترنت متصل شوند. رايو می‌گويد: «به‌نظر می‌رسد مراسمی در حال برگزاری بوده ‌است يا شايد گروهی از شخصيت‌ها از هتل بازديد کرده‌اند‌ و چند روز در آن‌جا اقامت داشته و مهاجمان کوشيده‌اند تا جایی که می‌توانند اعضای بيش‌تری از آن گروه را هدف حمله قرار دهند.» رايو فکر می‌کند قربانيان کسانی بوده‌اند که مهاجمان نمی‌توانستند به‌وسيله حمله‌های عادی Spear-phishing به آن‌ها دست پيدا کنند. شايد به ‌اين علت که شبکه‌های کاری اين شخصيت‌ها به‌دقت محافظت شده‌ بودند. کسپرسکی هنوز نمی‌داند مهاجمان چگونه به سرورهای هتل نفوذ کرده‌اند. آن‌ها مانند هکرهای مجرم روی اين سرورها ساکن نشده‌اند؛ يعنی، برای دسترسی به ‌اين سرورها از بک‌دور استفاده نکرده‌اند تا طی يک بازه زمانی مشخص به ورودها دسترسی داشته ‌باشند. مهاجمان Dark Hotel وارد می‌شوند، کارشان را انجام می‌دهند و سپس، همه شواهد و ردها را پاک می‌کنند. ولی پژوهش‌گران در لاگ‌های به‌جای مانده، هيچ بک‌دوری را روی سيستم‌ها نيافتند. پس يا مهاجمان هرگز از بک‌دور استفاده نکرده‌اند يا با موفقيت هرگونه سرنخی را پاک کرده‌اند يا شايد در هتل‌ها يک نفر نفوذی داشته‌اند که در اجرای حمله‌ به ‌آن‌ها کمک می‌کرده ‌است. 

مطلب پیشنهادی: حمله روز صفر چیست؟ آیا دفاعی در برابر آن وجود دارد؟

پژوهش‌گران به‌درستی نمی‌دانند مهاجمان در اين حمله‌های شناسایی‌ شده چه کسانی را هدف می‌گرفته‌اند. ميهمانانی که وارد وای‌فای می‌شدند، اغلب بايد نام فاميل و شماره اتاق خود را در صفحه لاگين وای‌فای وارد می‌کردند، اما نه کسپرسکی و نه شرکتی که شبکه وای‌فای هتل را نگهداری می‌کند، به اطلاعات ميهمان دسترسی ندارند. گزارش‌هایی که مشتريان به سيستم گزارش‌دهی خودکار کسپرسکی می‌فرستند، به‌صورت ناشناس ارسال می‌شوند؛ درنتيجه، بعيد است کسپرسکی بتواند به‌جز آدرس آی‌پی، اطلاعات ديگری درباره اين مشتريان به‌دست آورد. 
شمار هتل‌هایی که در معرض اين حمله‌ها بوده‌ است نيز مشخص نيست. تا اين‌جا پژوهش‌گران کم‌تر از 12 هتل را شناسایی کرده‌اند که نشانه‌های آلودگی داشته‌اند. مدير اجرایی شرکت خدمات مديريتی می‌گويد: «شايد هتل‌هایی وجود داشته‌ باشند که آلوده شده‌اند، ولی از اين موضوع آگاه نيستند؛ زيرا ردی از اين کار به‌جای نمانده ‌است.»
اين شرکت با کسپرسکی همکاری کرد تا در همه سرورهای تحت مديريت خود در هتل، هرگونه اثری از بدافزار را بزدايد و تقريباً مطمئن است که امروز ديگر اين بدافزار در سرورهای هيچ هتلی (که تحت مديريت آن‌ها است) خانه نکرده ‌است. اما اين فقط يکی از شرکت‌های مديريت هتل است. شايد Dark Hotel هنوز روی ديگر شبکه‌ها فعال باشد. شايد ايمن ماندن در برابر چنين حمله‌ای برای ميهمانان هتل کار سختی باشد. اگر مهاجمان می‌توانند دستگاه شما را به يک سايت دانلود بدافزار تغيير جهت دهند، تمهيدات رايج امنيتی سودی نخواهد داشت. 

پی‌نوشت:
1ـ برای اطلاعات بيش‌تر درباره Spear-phishing این آدرس را در سايت شرکت کسپرسکی ببينيد
2ـ عکس سرآغاز از Getty Images، بازنشر در وايرد