حمله «بچه فیل» به سازمانهای دولتی و دفاعی چین و پاکستان
یکی از شرکتهای امنیت سایبری مشهور چین اعلام کرد که یک تیم هکر فعال که اعضای آن در دهلی مستقر هستند، حملات سایبری متفاوتی را علیه سازمانهای دولتی و ادارات دفاع در چین و پاکستان انجام دادهاند.
این گزارش تجزیه و تحلیل جامعی از حملات سایبری انجام شده توسط سازمانی به نام You Xiang به معنی بچه فیل در جنوب آسیا انجام داد و هدف، فناوری و تجهیزات آن را فاش کرد.
لی بوسونگ، معاون مهندس ارشد شرکت «آنتی لبز»، روز جمعه به گلوبال تایمز گفت که آنها اولین بار در سال ۲۰۱۷ فعالیتهای «بچه فیل» را شناسایی کردهاند؛ زمانی که تعدادی از حملات سایبری هدفمند در مقیاس بزرگ به دولت، ارتش و ادارات دفاعی کشورهای جنوب آسیا پیدا شد.
با توجه به تجزیه و تحلیل فعالیتهای آنها، مشخص شد که این گروه مشکوک به هند است و با گروه هکر دیگری از هند به نام «فیل سفید» یکی نیست.
این سازمان مجموعهای از منابع و ابزارهای حمله نسبتا مستقل خود را داشته، اما قابلیت حمله در آن زمان نسبتا اولیه بوده است. ممکن است یک تیم حمله تازه تاسیس با قابلیتهای فنی نابالغ باشد. لی در این خصوص گفت: «به همین دلیل است که ما نام این سازمان تهدیدکننده جدید و پیشرفته را «بچه فیل» گذاشتهایم.
چهار سال پس از آن، «بچه فیل» غوغایی برپا کرده و اهداف خود را گسترش داده است. لی در این خصوص نیز گفت: «از سال ۲۰۱۷، تعداد حملات بچه فیل هر سال دو برابر شده است و روشها و منابع حمله به تدریج غنیتر شده و آنها شروع به پوشش مناطق بیشتری در جنوب آسیا کردهاند. در سال ۲۰۲۱، این گروه حملات هدفمندی را به موسسات چینی برای سرقت اطلاعات آغاز کردند.
حملات شناسایی شده توسط آنتی لبز شامل راهاندازی وبسایتهای فیشینگ، حمله به تلفنهای همراه با برنامههای مخرب اندروید و تروجانهای نوشته شده به زبانهایی مانند پایتون برای سرقت اسناد مختلف، رمزهای عبور حافظه پنهان مرورگر و سایر اطلاعات محیط سیستم میزبان از رایانهها است.
به عنوان مثال، «بچه فیل» خود را بهعنوان سیستم پستی ارتش، پلیس و دولت نپال، از جمله وزارت امور خارجه این کشور، وزارت دفاع ملی و دفتر نخست وزیری، برای انجام حملات هدفمند برای به دست آوردن آنها، معرفی میکرد. حسابهای ایمیل برای انجام حملات بعدی مورد استفاده قرار میگرفتند.
همچنین وانمود میکرد که یک برنامه نظرسنجی برای اختلافات سرزمینی هند و نپال با استفاده از برنامههای مخرب اندرویدی است. پس از اینکه قربانی برنامه مخرب اندروید را نصب و باز کرد، برنامه از کاربران مجوزهای سیستم را درخواست میکند. در صورت اعطای مجوز، برنامه، تلفن همراه قربانی را زیر نظر خواهد گرفت.
به گزارش همشهری آنلاین، نکته قابل توجه در این گزارش این است که مکان آن هکرها زمانی فاش شد که این گروه اسبهای تروجان خود را در منابع امنیتی عمومی آپلود کردند تا توانایی آنها برای فرار از نرمافزارهای ضد ویروس را آزمایش کنند. بازیابی منابع نشان داد که حداقل یک آپلودکننده از دهلی، هند بود. هکر ۸ فایل مخرب آزمایشی را از ۲۳ نوامبر تا ۲۴ نوامبر ۲۰۲۰ آپلود کرده بود. این نمونهها شباهت بالایی در محتوای کد با فایلهای «بچه فیل» داشتند.
لی گفت: «علیرغم تنوع مداوم روشهای حمله و عملکردهای فراوانتر فایلهای مخرب، همچنان میتوان حملات را بر اساس اهداف، تاکتیکها و فریبها و همسانی تروجانها به «بچه فیل» نسب داد.»