حمله «بچه فیل» به سازمان‌های دولتی و دفاعی چین و پاکستان

یکی از شرکت‌های امنیت سایبری مشهور چین اعلام کرد که یک تیم هکر فعال که اعضای آن در دهلی مستقر هستند، حملات سایبری متفاوتی را علیه سازمان‌های دولتی و ادارات دفاع در چین و پاکستان انجام داده‌اند.

این گزارش تجزیه و تحلیل جامعی از حملات سایبری انجام شده توسط سازمانی به نام You Xiang به معنی بچه فیل در جنوب آسیا انجام داد و هدف، فناوری و تجهیزات آن را فاش کرد.

لی بوسونگ، معاون مهندس ارشد شرکت «آنتی لبز»، روز جمعه به گلوبال تایمز گفت که آنها اولین بار در سال ۲۰۱۷ فعالیت‌های «بچه فیل» را شناسایی کرده‌اند؛ زمانی که تعدادی از حملات سایبری هدفمند در مقیاس بزرگ به دولت، ارتش و ادارات دفاعی کشورهای جنوب آسیا پیدا شد.

با توجه به تجزیه و تحلیل فعالیت‌های آنها، مشخص شد که این گروه مشکوک به هند است و با گروه هکر دیگری از هند به نام «فیل سفید» یکی نیست.

این سازمان مجموعه‌ای از منابع و ابزارهای حمله نسبتا مستقل خود را داشته، اما قابلیت حمله در آن زمان نسبتا اولیه بوده است. ممکن است یک تیم حمله تازه تاسیس با قابلیت‌های فنی نابالغ باشد. لی در این خصوص گفت: «به همین دلیل است که ما نام این سازمان تهدیدکننده جدید و پیشرفته را «بچه فیل» گذاشته‌ایم.

چهار سال پس از آن، «بچه فیل» غوغایی برپا کرده و اهداف خود را گسترش داده است. لی در این خصوص نیز گفت: «از سال ۲۰۱۷، تعداد حملات بچه فیل هر سال دو برابر شده است و روش‌ها و منابع حمله به تدریج غنی‌تر شده و آنها شروع به پوشش مناطق بیشتری در جنوب آسیا کرده‌اند. در سال ۲۰۲۱، این گروه حملات هدفمندی را به موسسات چینی برای سرقت اطلاعات آغاز کردند.

حملات شناسایی شده توسط آنتی لبز شامل راه‌اندازی وب‌سایت‌های فیشینگ، حمله به تلفن‌های همراه با برنامه‌های مخرب اندروید و تروجان‌های نوشته شده به زبان‌هایی مانند پایتون برای سرقت اسناد مختلف، رمزهای عبور حافظه پنهان مرورگر و سایر اطلاعات محیط سیستم میزبان از رایانه‌ها است.

به عنوان مثال، «بچه فیل» خود را به‌عنوان سیستم پستی ارتش، پلیس و دولت نپال، از جمله وزارت امور خارجه این کشور، وزارت دفاع ملی و دفتر نخست وزیری، برای انجام حملات هدفمند برای به دست آوردن آنها، معرفی می‌کرد. حساب‌های ایمیل برای انجام حملات بعدی مورد استفاده قرار می‌گرفتند.

همچنین وانمود می‌کرد که یک برنامه نظرسنجی برای اختلافات سرزمینی هند و نپال با استفاده از برنامه‌های مخرب اندرویدی است. پس از اینکه قربانی برنامه مخرب اندروید را نصب و باز کرد، برنامه از کاربران مجوزهای سیستم را درخواست می‌کند. در صورت اعطای مجوز، برنامه، تلفن همراه قربانی را زیر نظر خواهد گرفت.

به گزارش همشهری آنلاین، نکته قابل توجه در این گزارش این است که مکان آن هکرها زمانی فاش شد که این گروه اسب‌های تروجان خود را در منابع امنیتی عمومی آپلود کردند تا توانایی آنها برای فرار از نرم‌افزارهای ضد ویروس را آزمایش کنند. بازیابی منابع نشان داد که حداقل یک آپلودکننده از دهلی، هند بود. هکر ۸ فایل مخرب آزمایشی را از ۲۳ نوامبر تا ۲۴ نوامبر ۲۰۲۰ آپلود کرده بود. این نمونه‌ها شباهت بالایی در محتوای کد با فایل‌های «بچه فیل» داشتند.

لی گفت: «علیرغم تنوع مداوم روش‌های حمله و عملکردهای فراوان‌تر فایل‌های مخرب، همچنان می‌توان حملات را بر اساس اهداف، تاکتیک‌ها و فریب‌ها و همسانی تروجان‌ها به «بچه فیل» نسب داد.»