انتشار اطلاعات به سرقت رفته از NSA

برخی از داده های به سرقت رفته از گروه اکویشن، توسط گروه کارگزاران سایه، در فضای مجازی، منتشرشده است.

بخش ارتباطات تبیان

بیش از یک هفته از ادعای گروه کارگزاران سایه (Shadow Brokers)، مبنی بر سرقت اطلاعات گروه اکویشن (Equation Group) می گذرد، گروهی که برخی گمانه زنی ها از همکاری اش با آژانس امنیت ملی آمریکا، حکایت دارد.

گروه کارگزاران سایه مدعی شده است، 60 درصد از فایل های به سرقت رفته را رها کرده است و تمرکز خود را بر حراج 40 درصد باقی مانده که اطلاعات اولیه آن ها را منتشر کرده، معطوف نموده است.

این اطلاعات در قالب لیستی، انتشاریافته است و توسط مصطفی البسام (Mustafa Al-Bassam)، هکر وابسته به گروه انانیموس (anonymous) تحلیل و طبقه بندی شده است.  علاوه بر این، شرکت سیسکو به تازگی در مشاوره های امنیتی خود به سوءاستفاده مهاجمان از آسیب های موجود در سوئیچ های خود پرداخته است.

این در حالی است که گروه هکری کارگزاران سایه معتقد است؛ سیسکو با سازمان امنیت ملی آمریکا در رابطه با جاسوسی سایبری با یکدیگر همکاری دارند.

در این میان گروه هکری نام برده ابزاری را ارائه کردند که مهاجمان با استفاده از این ابزار قادر به بهره برداری از دستگاه های سیسکو هستند.

ابزارهای ارائه شده از سوی این گروه عبارت اند از EPICBANANA، JETPLOW و EXTRABACON.  بررسی های کارشناسان نشان می دهد ابزار نام برده می تواند محصولات فایروال سیسکو مانند فایروال های PIX و ماژول FWSM را تحت تأثیر خود قرار دهد.

بر اساس آمار ارائه شده توسط سیسکو، این ابزار دو آسیب پذیری در تجهیزات این شرکت را شناسایی کرده است که در حال حاضر یکی از این آسیب پذیری ها موردتوجه شرکت سیسکو قرارگرفته است. بررسی ها نشان می دهد آسیب پذیری های موجود در دستگاه های امنیتی سیسکو از آسیب های روز صفرم محصولات این شرکت به شمار می روند.

کارشناسان معتقدند آسیب پذیری موجود در زیرساخت های امنیتی این شرکت به مهاجمان اجازه می دهد از راه دور به اجرای کدهای مخرب RCE بپردازد که به عنوان یکی از خطرناک ترین ضعف های امنیتی سیستم به شمار می رود.

رقیب روسی ویکی لیکس

اما در خبری دیگر مهاجمانی که پشت حمله به حزب دموکرات آمریکا بودند در تلاش برای راه اندازی یک پایگاه اختصاصی مانند ویکی لیکس هستند تا بتوانند ایمیل های دیگری را نیز منتشر کنند.

هک حزب دموکرات - که تا به امروز به طور گسترده ای اعتقاد بر این بوده که تحت حمایت روسیه انجام شده- توسط هکری به نام «Guccifer 2.0.» صورت گرفته است.

وی ایمیل های به سرقت رفته از این حزب را در وبگاهی به نام «DC Leaks» منتشر کرد. این وبگاه به صورت مشابه در حملات سایبری دیگری نیز استفاده شده است تا اسناد به سرقت رفته در آن منتشر شود. تونی گیدوانی، مدیر تحقیقات شرکت امنیت سایبری ThreatConnect، معتقد است که وبگاه DC Leaks وابسته به روسیه است.

این وبگاه اما در معرفی خود عنوان کرده که توسط فعالان آمریکایی طرفدار آزادی بیان و حقوق بشر راه اندازی شده است. این شرکت معتقد است که زبان انگلیسی به کار رفته در این وبگاه، روان و سلیس نیست و نمی تواند از طرف یک آمریکایی انگلیسی زبان نوشته شده باشد.

از طرف دیگر محتوای این وبگاه بیشتر در مورد طرفداری از روسیه منتشر می شود. به طور مثال اولین مطلبی که در این وبگاه منتشر شد مربوط به انتشار نامه های فیلیپ بریدلاو به اوباما بود که در آن علاقه خود را برای در پیش گرفتن سیاست سخت گیرانه تری علیه روسیه در قائله اوکراین ابراز کرده بود.

چند هفته پیش نیز در حساب کاربری توییتر این وبگاه مطلبی در مورد طرح جامعه باز جورج سوروس برای مقابله با سیاست ها و ارزش های سنتی روسیه منتشر شده است. نام مستعاری که به یکی از هکرهای حزب دموکرات نسبت داده شده (Fancy Bear)، یک نام روسی است که به طور منظم در وبگاه جعلی یک کمپین فیشینگ استفاده شده است.

این وبگاه های جعلی عموماً دامنه خود را بیرون از آمریکا و از سرورهایی دریافت می کنند که از تراکنش مالی بیت کوین پشتیبانی و از خدمات ایمیلی رایگان استفاده می کنند.

این هکر از سرویس های ایمیل اروپایی استفاده کرده است. نام دامنه DC Leaks در یک شرکت رومانیایی به نام THCServers - که از تراکنش مالی بیت کوین استفاده می کند- و از اکانت ایمیل رایگان feehan@europe.com با استفاده از اینترنت یک به یک در کشور آلمان، به ثبت رسیده است.

شرکت THCServers پرونده بسیار مبهمی دارد به طوری که در سال 2013 تنها 14 دامنه به ثبت رسانده است. علاوه بر دامنه DC Leaks، 13 دامنه دیگر نیز به نوعی با Fancy Bear در ارتباط بوده اند. به طور مثال دامنه servicetransferemail.com با گروه هکری که موفق به هک مجلس آلمان شده و Fancy Bear عضو آن است، مرتبط بوده است.

به اعتقاد گیدوانی موضوع حمایت از روسیه برای DC Leaks که ادعای طرفداری از آمریکا را دارد، بسیار عجیب به نظر می رسد. این وب گاه درست یک هفته قبل از انتشار ایمیل های حزب دموکرات راه اندازی شده است. این ها دلایلی است که گیدوانی برای اثبات ادعای روسی بودن سایت DC Leaks عنوان کرده است.

با فشارهای رسانه ای که به آمریکا وارد شده بدیهی است که دولتمردان آمریکا در تلاش برای نسبت دادن این حملات هکری به رقیب دیرینه خود یعنی روسیه باشند.

از طرفی وجود انگیزه های سیاسی روسیه برای اخلال در امنیت سایبری آمریکا می تواند ذهن مخاطبان را به سمت وجود ارتباط بین آن ها سوق دهد. به تازگی و با هک شدن کمپین تبلیغاتی ترامپ، بازی رسانه ای انتخابات آمریکا وارد مرحله تازه ای شده و باید منتظر بود تا اطلاعات منتشر شده آنچه چیز تازه ای در اختیار جریان رسانه ای جهان قرار می دهد. اطلاعات منتشر شده و منبع انتشار آن می تواند سمت وسوی سیاسی این حمله سایبری را تا حدی مشخص کند.

منبع: سایبربان، دبلیو خبر