از سال ها پیش، تایوان بازداشت درگیری های متعددی با دولت مرکزی چین بوده است و همیشه گزارش هایی مبنی کنار مجاهدت هکرهای حمایت شده ی دولت چین بخاطر واکنش به مراکز مهم این کشور نیز به گوش می رسد. گزارش های جدید یکی از شرکت های امنیت سایبری تایوان علامت می دهد که هکرهای چینی در نفوذهای خود موفق بوده اند. در این گزارش، مطالبه می شود آن ها نفوذ عریض ای به مهم ترین صنعت تایوان یعنی نصف هادی کرده و به نوعی اطلاعات محرمانه و اسناد مهم صنعت را دزدیده اند.
محققان همکاری امنیت سایبری CyCraft در رویداد امنیتی اخیر موسوم به Black Hat گزارشی از جزئیات حمله ای سایبری بوسیله شرکت های تایوانی فعال داخل صنعتی نیمه هادی ارائه کردند. این گزارش حمله بوسیله حداقل هفت شرکت تایوانی را تو دو سال گذشته بررسی می کند. نفوذهای عمیق هکرها که به دلیل استفاده ی هکرها از روشی موسوم به Skeleton key injector، بوسیله نام Operation Skeleton Key معرفی شد، با هدف ربودن حداکثری مفروضات محرمانه از همکاری های فعال در صنعت شقه هادی رخ داده حیات. محققان می گویند هکرها بوسیله پشت حداکثر معلومات مقدور بودند که گوناگون کد حقیقت و کیت های ترقی ی بطی ء افزاری (SDK) و طراحی تراشه را شامل می شده است. شرکت امنیتی CyCraft قبلا گروه هکرهای شقه هادی را Chimera نامیده حیات. گزارش های جدید ارتباط هایی بین گروه مذکور و هکرهای حمایت شده ی قضا و قدر چین موسوم بوسیله Winnti علامت می دهد. این گروه در فدایی مواقع بوسیله نام Barium یا Axiom هم شناخته می شود.
در گزارش شرکت CyCraft، با جدیت ادعا می شود هکرهای شقه هادی از زنهار دولت چین برخوردار بوده اند. آن ها می گویند هکرها با مرام فاش ویران کاری در صنعت حقیقی تایوان هوشیار اجرا شده اند و تصمیم آن ها برای ربایش عمده ی اطلاعات صنعت، کل کسب وکار فعالان تایوانی را ترساندن می یواش. درنهایت، تعدادی از محققان شرکت امنیتی تایوانی که در رویداد سخنرانی کردند، نفوذ کردن هکرهای چینی را برنامه ی استراتژیک فراخ می دانند.
محققان CyCraft هیچ اطلاعاتی از شرکت های فداکاری نفوذ اخیر منتشر نکرده اند؛ البته برخی از شرکت ها مشتری همین گروه امنیتی بودند. آن ها با باهم اتحاد کردن گروه های تحقیقاتی دیگر همچون Forum of Incident Response و Security Teams نفوذهای قرین دیگری را تیمار کشف کرده اند. شرکت های فداکاری کوشا در صنعتی نیم هادی اکثرا در منطقه ی صنعت سینچو در شمال غربی تایوان فعال هستند.در هر نفوذ، هکرها یک کلید ورود با قابلیت نفوذ به همگی ی کامپیوترهای سازمانی می ساخته اند
داخل بخشی از گزارش محققان امنیتی، گفته می شود مجرمان سایبری احتمالا با دسترسی نخستین به شبکه های VPN شرکت های قربانی، فیروز شده اند به شبکه های داخلی نفوذ کنند. البته هنوز مشخص حلق مجرمان اطلاعات ورود سرورهای VPN را به مشت آورده خواه مستقیما از آسیب پذیری موجود در آن ها سوءاستفاده کرده اند. داخل وهله ی بعدی، مجرمان از ابزار وارسی نفوذ کردن سفارشی موسوم به Cobalt Strike استفاده کردند و نام بدافزار خود را به معروفیت فایل به روزرسانی گوگل کروم تغییر دادند تا قربانی ها را فریب دهند. همچنین، از سرور کار و کنترل تاثیر نیز بهره بردند که داخل درخت سرو های ابری مایکروسافت خواه گوگل میزبانی می شده است. درنهایت، همه ی پروگرام ریزی ها با این هدف بود که فرایند واکنش هرچه بیشتر مخفیانه و شناسایی نشدنی باشد.
پس از تاثیر اولیه بوسیله شبکه های داخلی تو شریک شدن های صنعتی، هکرها بوسیله قفا نفوذ به کامپیوترهای دیگر موجود در شبکه بوده اند. آن ها بوسیله دیتابیس های حاوی رمزعبور رمزنگاری شده در شبکه های تویی حمله کردند تا به مفروضات ارزشمند کاربردی برای ورود به کامپیوترهای دیگر دست پیدا کنند. در هر فرصت ممکن، هکرهای چینی از اطلاعات ادخال مسروقه به جای نفوذ با بدافزار برای ورود به کامپیوترهای دیگر شبکه استفاده می کردند و قدیم ورود بوسیله معاون بدافزار را درون تقدم دوم خویشتن استراحت می دادند تا هیچ ردپایی از خود جاویدان نگذارند.
یکی از ابزارهای اساسی و پیشرفته ی تاثیر هکرهای چینی تو سرقت اطلاعات از شرکت های صنعت نیمه هادی، در کاربرد از روش هایی برای دست کاری سرورهای کنترل قدم دیده می شود. این سرورهای قدرتمند مستمری ی تنظیم کردن قوانین و دسترسی ها را در شبکه های ارشد برعهده دارند. هکرها با استفاده از ابزارهای واکنش متداول همچون Dumpert و Mimikatz و ترکیب کدهای موجود در آن ها، در سرورهای کنترل گام رمزعبور افزودن ی جدیدی برای هر کاربر ابداع می کرده اند. این روش بوسیله نام روش Skeleton key injection شناخته می شود. با بهره برداری از روش مذکور، هکرها بخاطر هر کاربر یک رمزعبور عام داشتند که به کمک آن بوسیله همه ی ماشین های موجود درون شبکه ی حقوق بگیر نفوذ می کردند. درواقع، آن ها خسرو کلیدی برای ورود به کامپیوترهای سازمانی داشته اند.
قسمت قسمت کردن امنیتی CyCraft قبلا بخش عمده ای از گزارش اخیر را ماه آوریل منتشر کرده بود؛ ولی اطلاعات جدید متجاوز ازپیش روی ارتباط گروه های هکری با دولت مرکزی چین تأکید می کند. مقدر شدن عمده ای از معلومات مرتبط با انبازی هکرها با بخت چین، با هک کردن هکرها به مشت آمد. محققان CyCraft پس از نظارت کنار عملیات سرقت داده ی قسمت قسمت کردن هکری Chimera، به اتصال امن آن ها به سرور فرمان و کنترل واکنش وسپس، محتوای موجود در کارفرما ابری را وارسی و آزمایش کردند که در میان آن ها، سند راهنمایی بخاطر هکرها مشاهده شد. این سند راهنما به نوعی مراحل استاندارد خاصیت بخاطر فرایندهای رایج را برای هکرها تطویل می دهد تا در هر نفوذ، فرایندها را به آسانی قفا کنند. نکته ی مهم سند قطب اصطلاح چینی آن بود که به گفته ی محققان CyCraft، این کلمه فقط تو در کشور چروک استفاده می شود و در تایوان استفاده ندارد.
اطلاعات دیگری که از ارباب هکرها استخراج شد، مدال می دهد برابر ساعت رسمی پکن و ساختار کار کننده موسوم به ۹۹۶ کار می کرده اند. این ساختار کار کننده فعالیت کارمندان از ۹ صبح تا ۹ شب و ۶ روز در هفته را نشان می دهد که تو چروک مد است. درادامه ی گزارش CyCraft، ادعا می شود که آن ها در همکاری با دیگر شرکت های امنیتی تایوانی و بین المللی، دسته هکری مشابهی با اهدافی در دولت تایوان کشف کرده اند.مقاله های مرتبط:ماجرای نفوذ چینی ها به مراکز داده باهم اتحاد کردن های مبصر آمریکایی با کاربرد از میکروچیپ چیستمقام های FBI ترساندن چینی ها برای دزدی فناوری آمریکا را جدی می دانند
یکی از نکات مهمی که داخل معاینه فعالیت های هکری کشف شد، وجود دستور کار ی در پشتی داخل شبکه های کثرت قربانیان وجود. ظاهرا قبلا گروه Winnti از این در پشتی برای واکنش به شبکه ها استفاده می کردند. گروه مذکور از مدت ها پیش تو نفوذهای کثرت سایبری فعال وجود و اغلب کارشناسان آن ها را قسمت قسمت کردن هکری بی حرکت داخل چین می دانستند. در سال های اخیر، گزارش های امنیتی وافر تقاضا کردند گروه Winnti فعالیت های مجرمانه ی متعددی درون خوش نویسی منافع دولت چین انجام می دهد و هک هایی با اهداف مالی و خصوصا متمرکز بر همکاری های بازی سازی درون کارنامه ی آن ها دیده می شود.
در سال ۲۰۱۵، سیمانتک گزارش داده بود که گروه مذکور برای حمله های خود از روش Skeleton کاربرد می کند؛ یعنی همان روشی که قسمت قسمت کردن جدید برای نفوذ به باهم اتحاد کردن های نیم هادی تایوانی استفاده کرد. CyCraft هنوز با جدیت نمی تواند قسمت قسمت کردن Chimera را همان Winnti شناساندن کند؛ ولی مناسبت آن ها را بسیار نزدیک می داند.
تو سال ۲۰۱۳، کسپرسکی اولین بار فعالیت های دسته Winnti را کشف و گزارش کرد. سال گذشته، این شرکت امنیتی روسی فعالیت های Winnti را تا سرقت اطلاعات مکانیزم به روزرسانی کامپیوترها از شرکت تایوانی ایسوس ردگیری کرده وجود. یکی از محققان کسپرسکی ادعا می کند دسته Winnti داخل فعالیت هایی فراتر از شرکت های نیمه هادی تایوانی انبازی می نرم و بسیاری از باهم اتحاد کردن های فناوری و مخابراتی تایوان را هدف قرار می دهد. کاستین رایو، مدیر تحقیقات بین المللی کسپرسکی، اعتقاد دارد یافته های CyCraft احتمالا بخشی لخت از فعالیتی متجاوز ارشد پر حرارت و راه اندازی یافته تر هستند.
همان طورکه گفته شد، هکرهای چینی از مدت ها پیش به خاصیت گسترده به شبکه های تایوان متهم بوده اند. همچنین، محققان CyCraft اعتقاد دارند تاثیر گسترده ی آن ها به شرکت های شقه هادی پیامدهای ناگوارتری بوسیله همراه دارد؛ نفوذی که بوسیله سرقت اطلاعات حساس طراحی تراشه منجر می شود و شاید هکرها با سوءاستفاده از آن ها، آسیب پذیری های ژرف موجود داخل تراشه ها را نیز حصول و از آن سوءاستفاده کنند. محققان امنیتی با وجود بی اطلاعی از استفاده کنونی اسناد به سرقت رفته برای هکرهای چینی، هدف آن ها را ضربه زدن بوسیله صنعتی اصلی تایوان و فراهم کردن فرصتی برای شرکت های رقیب فعال درون صنعتی نیمه هادی در چروک عنوان می کنند.بیشتر بخوانید:حفره های امنیتی امکان خاصیت به صرافی های رمزارزی را فراهم می کندرمزنگاری چیست و چگونه کار می کند؟ با انواع الگورتیم رمزنگاری آشنا شویدمجموعه مجلل ۲۰ گیگابایتی از معلومات محرمانه اینتل در اینترنت منتشر شدمایکروسافت در برنامه های شکار باگ، ۱۳/۷ میلیون دلار به متخصصان پناه صیقل کرده استاپلیکیشن LastPass درصورت افشای رمزعبور تو دارک وب بوسیله کاربر اعلام خطر می دهد
محققان همکاری امنیت سایبری CyCraft در رویداد امنیتی اخیر موسوم به Black Hat گزارشی از جزئیات حمله ای سایبری بوسیله شرکت های تایوانی فعال داخل صنعتی نیمه هادی ارائه کردند. این گزارش حمله بوسیله حداقل هفت شرکت تایوانی را تو دو سال گذشته بررسی می کند. نفوذهای عمیق هکرها که به دلیل استفاده ی هکرها از روشی موسوم به Skeleton key injector، بوسیله نام Operation Skeleton Key معرفی شد، با هدف ربودن حداکثری مفروضات محرمانه از همکاری های فعال در صنعت شقه هادی رخ داده حیات. محققان می گویند هکرها بوسیله پشت حداکثر معلومات مقدور بودند که گوناگون کد حقیقت و کیت های ترقی ی بطی ء افزاری (SDK) و طراحی تراشه را شامل می شده است. شرکت امنیتی CyCraft قبلا گروه هکرهای شقه هادی را Chimera نامیده حیات. گزارش های جدید ارتباط هایی بین گروه مذکور و هکرهای حمایت شده ی قضا و قدر چین موسوم بوسیله Winnti علامت می دهد. این گروه در فدایی مواقع بوسیله نام Barium یا Axiom هم شناخته می شود.
در گزارش شرکت CyCraft، با جدیت ادعا می شود هکرهای شقه هادی از زنهار دولت چین برخوردار بوده اند. آن ها می گویند هکرها با مرام فاش ویران کاری در صنعت حقیقی تایوان هوشیار اجرا شده اند و تصمیم آن ها برای ربایش عمده ی اطلاعات صنعت، کل کسب وکار فعالان تایوانی را ترساندن می یواش. درنهایت، تعدادی از محققان شرکت امنیتی تایوانی که در رویداد سخنرانی کردند، نفوذ کردن هکرهای چینی را برنامه ی استراتژیک فراخ می دانند.
محققان CyCraft هیچ اطلاعاتی از شرکت های فداکاری نفوذ اخیر منتشر نکرده اند؛ البته برخی از شرکت ها مشتری همین گروه امنیتی بودند. آن ها با باهم اتحاد کردن گروه های تحقیقاتی دیگر همچون Forum of Incident Response و Security Teams نفوذهای قرین دیگری را تیمار کشف کرده اند. شرکت های فداکاری کوشا در صنعتی نیم هادی اکثرا در منطقه ی صنعت سینچو در شمال غربی تایوان فعال هستند.در هر نفوذ، هکرها یک کلید ورود با قابلیت نفوذ به همگی ی کامپیوترهای سازمانی می ساخته اند
داخل بخشی از گزارش محققان امنیتی، گفته می شود مجرمان سایبری احتمالا با دسترسی نخستین به شبکه های VPN شرکت های قربانی، فیروز شده اند به شبکه های داخلی نفوذ کنند. البته هنوز مشخص حلق مجرمان اطلاعات ورود سرورهای VPN را به مشت آورده خواه مستقیما از آسیب پذیری موجود در آن ها سوءاستفاده کرده اند. داخل وهله ی بعدی، مجرمان از ابزار وارسی نفوذ کردن سفارشی موسوم به Cobalt Strike استفاده کردند و نام بدافزار خود را به معروفیت فایل به روزرسانی گوگل کروم تغییر دادند تا قربانی ها را فریب دهند. همچنین، از سرور کار و کنترل تاثیر نیز بهره بردند که داخل درخت سرو های ابری مایکروسافت خواه گوگل میزبانی می شده است. درنهایت، همه ی پروگرام ریزی ها با این هدف بود که فرایند واکنش هرچه بیشتر مخفیانه و شناسایی نشدنی باشد.
پس از تاثیر اولیه بوسیله شبکه های داخلی تو شریک شدن های صنعتی، هکرها بوسیله قفا نفوذ به کامپیوترهای دیگر موجود در شبکه بوده اند. آن ها بوسیله دیتابیس های حاوی رمزعبور رمزنگاری شده در شبکه های تویی حمله کردند تا به مفروضات ارزشمند کاربردی برای ورود به کامپیوترهای دیگر دست پیدا کنند. در هر فرصت ممکن، هکرهای چینی از اطلاعات ادخال مسروقه به جای نفوذ با بدافزار برای ورود به کامپیوترهای دیگر شبکه استفاده می کردند و قدیم ورود بوسیله معاون بدافزار را درون تقدم دوم خویشتن استراحت می دادند تا هیچ ردپایی از خود جاویدان نگذارند.
یکی از ابزارهای اساسی و پیشرفته ی تاثیر هکرهای چینی تو سرقت اطلاعات از شرکت های صنعت نیمه هادی، در کاربرد از روش هایی برای دست کاری سرورهای کنترل قدم دیده می شود. این سرورهای قدرتمند مستمری ی تنظیم کردن قوانین و دسترسی ها را در شبکه های ارشد برعهده دارند. هکرها با استفاده از ابزارهای واکنش متداول همچون Dumpert و Mimikatz و ترکیب کدهای موجود در آن ها، در سرورهای کنترل گام رمزعبور افزودن ی جدیدی برای هر کاربر ابداع می کرده اند. این روش بوسیله نام روش Skeleton key injection شناخته می شود. با بهره برداری از روش مذکور، هکرها بخاطر هر کاربر یک رمزعبور عام داشتند که به کمک آن بوسیله همه ی ماشین های موجود درون شبکه ی حقوق بگیر نفوذ می کردند. درواقع، آن ها خسرو کلیدی برای ورود به کامپیوترهای سازمانی داشته اند.
قسمت قسمت کردن امنیتی CyCraft قبلا بخش عمده ای از گزارش اخیر را ماه آوریل منتشر کرده بود؛ ولی اطلاعات جدید متجاوز ازپیش روی ارتباط گروه های هکری با دولت مرکزی چین تأکید می کند. مقدر شدن عمده ای از معلومات مرتبط با انبازی هکرها با بخت چین، با هک کردن هکرها به مشت آمد. محققان CyCraft پس از نظارت کنار عملیات سرقت داده ی قسمت قسمت کردن هکری Chimera، به اتصال امن آن ها به سرور فرمان و کنترل واکنش وسپس، محتوای موجود در کارفرما ابری را وارسی و آزمایش کردند که در میان آن ها، سند راهنمایی بخاطر هکرها مشاهده شد. این سند راهنما به نوعی مراحل استاندارد خاصیت بخاطر فرایندهای رایج را برای هکرها تطویل می دهد تا در هر نفوذ، فرایندها را به آسانی قفا کنند. نکته ی مهم سند قطب اصطلاح چینی آن بود که به گفته ی محققان CyCraft، این کلمه فقط تو در کشور چروک استفاده می شود و در تایوان استفاده ندارد.
اطلاعات دیگری که از ارباب هکرها استخراج شد، مدال می دهد برابر ساعت رسمی پکن و ساختار کار کننده موسوم به ۹۹۶ کار می کرده اند. این ساختار کار کننده فعالیت کارمندان از ۹ صبح تا ۹ شب و ۶ روز در هفته را نشان می دهد که تو چروک مد است. درادامه ی گزارش CyCraft، ادعا می شود که آن ها در همکاری با دیگر شرکت های امنیتی تایوانی و بین المللی، دسته هکری مشابهی با اهدافی در دولت تایوان کشف کرده اند.مقاله های مرتبط:ماجرای نفوذ چینی ها به مراکز داده باهم اتحاد کردن های مبصر آمریکایی با کاربرد از میکروچیپ چیستمقام های FBI ترساندن چینی ها برای دزدی فناوری آمریکا را جدی می دانند
یکی از نکات مهمی که داخل معاینه فعالیت های هکری کشف شد، وجود دستور کار ی در پشتی داخل شبکه های کثرت قربانیان وجود. ظاهرا قبلا گروه Winnti از این در پشتی برای واکنش به شبکه ها استفاده می کردند. گروه مذکور از مدت ها پیش تو نفوذهای کثرت سایبری فعال وجود و اغلب کارشناسان آن ها را قسمت قسمت کردن هکری بی حرکت داخل چین می دانستند. در سال های اخیر، گزارش های امنیتی وافر تقاضا کردند گروه Winnti فعالیت های مجرمانه ی متعددی درون خوش نویسی منافع دولت چین انجام می دهد و هک هایی با اهداف مالی و خصوصا متمرکز بر همکاری های بازی سازی درون کارنامه ی آن ها دیده می شود.
در سال ۲۰۱۵، سیمانتک گزارش داده بود که گروه مذکور برای حمله های خود از روش Skeleton کاربرد می کند؛ یعنی همان روشی که قسمت قسمت کردن جدید برای نفوذ به باهم اتحاد کردن های نیم هادی تایوانی استفاده کرد. CyCraft هنوز با جدیت نمی تواند قسمت قسمت کردن Chimera را همان Winnti شناساندن کند؛ ولی مناسبت آن ها را بسیار نزدیک می داند.
تو سال ۲۰۱۳، کسپرسکی اولین بار فعالیت های دسته Winnti را کشف و گزارش کرد. سال گذشته، این شرکت امنیتی روسی فعالیت های Winnti را تا سرقت اطلاعات مکانیزم به روزرسانی کامپیوترها از شرکت تایوانی ایسوس ردگیری کرده وجود. یکی از محققان کسپرسکی ادعا می کند دسته Winnti داخل فعالیت هایی فراتر از شرکت های نیمه هادی تایوانی انبازی می نرم و بسیاری از باهم اتحاد کردن های فناوری و مخابراتی تایوان را هدف قرار می دهد. کاستین رایو، مدیر تحقیقات بین المللی کسپرسکی، اعتقاد دارد یافته های CyCraft احتمالا بخشی لخت از فعالیتی متجاوز ارشد پر حرارت و راه اندازی یافته تر هستند.
همان طورکه گفته شد، هکرهای چینی از مدت ها پیش به خاصیت گسترده به شبکه های تایوان متهم بوده اند. همچنین، محققان CyCraft اعتقاد دارند تاثیر گسترده ی آن ها به شرکت های شقه هادی پیامدهای ناگوارتری بوسیله همراه دارد؛ نفوذی که بوسیله سرقت اطلاعات حساس طراحی تراشه منجر می شود و شاید هکرها با سوءاستفاده از آن ها، آسیب پذیری های ژرف موجود داخل تراشه ها را نیز حصول و از آن سوءاستفاده کنند. محققان امنیتی با وجود بی اطلاعی از استفاده کنونی اسناد به سرقت رفته برای هکرهای چینی، هدف آن ها را ضربه زدن بوسیله صنعتی اصلی تایوان و فراهم کردن فرصتی برای شرکت های رقیب فعال درون صنعتی نیمه هادی در چروک عنوان می کنند.بیشتر بخوانید:حفره های امنیتی امکان خاصیت به صرافی های رمزارزی را فراهم می کندرمزنگاری چیست و چگونه کار می کند؟ با انواع الگورتیم رمزنگاری آشنا شویدمجموعه مجلل ۲۰ گیگابایتی از معلومات محرمانه اینتل در اینترنت منتشر شدمایکروسافت در برنامه های شکار باگ، ۱۳/۷ میلیون دلار به متخصصان پناه صیقل کرده استاپلیکیشن LastPass درصورت افشای رمزعبور تو دارک وب بوسیله کاربر اعلام خطر می دهد
- ۹۹/۰۵/۲۱