تکافندهکر های ایرانی با بدافزار داستمن(Dustman) به شکار شرکت نفت بحرین باپکو رفتند

بدافزار داستمن جانشین زیروکلیر(ZeroCleare) شد

روزهای گذشته وقایع مرتبط با ایران عنوان اخبار جهانی را به خود اختصاص داده بود.
تنش و نزاع سیاسی-نظامی بین آمریکا و ایران که مدت چند سال اخیر کمی سرد شده بوده حالا دوباره فعال شده. این تنش باعت قوت گرفتن گمانه زنی در باره اقدامات مخرب و تلافی جویانه حکومت ایران به دست هکرهای ایرانی در فضای مجازی شد.

خبر جدید از راه رسید، مقامات امنیتی فضای مجازی عربستان با انتشار گزارشی در روزهای اول سال ۲۰۲۰ از یک حمله با بدافزار جدید به اسم داستمن (Dustman) به سامانه رایانه‌یی شرکت نفتی باپکو (Bapco) بحرین خبر دادند. سابقه هک های گسترده مرتبط با هکرهای دولتی ایران به سال ۲۰۱۲ بر می‌گردد. آن موقع هکرهای وابسته به حکومت ایران با بدافزار شامون (Shamoon) به ۳۲هزار سامانه بزرگترین شرکت نفتی جهان، آرامکو، حمله کردند و داده‌های ثبت شده روی کامپروترهای این شرکت عربستان سعودی را نابود کردند.
براساس گزارش موجود سال ۲۰۱۹ شاهد ظهور بدافزارهای جدید در فضای مجازی خاورمیانه بودیم. داستمن روزهای آخر سال ۲۰۱۹ ظاهر شد در حالیکه زیروکلیر اواسط سال ۲۰۱۹ فعال شد و محققان می گویند که داستمن و زیرو کلیر هر دو توسط یک گروه از هکرها طراحی و تولید شده و به نظر می‌رسد که داستمن نسخه پیشرفته تر بدافزار زیروکلیر باشد.

حمله به شرکت باپکو بحرین با داستمن

این حمله روز ۲۹ دسامبر انجام شد. هکر‌های ایرانی که توسط حکومت ایران پشتیبانی می‌شوند، قبل تر یک حفره امنیتی را روی سرور های وی.پی.ان شرک باپکو کشف کردند. با بهره جویی از این حفره امنیتی، هکر‌ها اختیار دامنه شبکه رایانه‌یی شرکت را در اختیار گرفتند. به‌دست گرفتن اختیارات دامنه این امکان را فراهم کرد تا هکر بتوانند سیستم آنتی ویروس کامپیوتر هار از کار بیندازند. سپس اقدام به حذف داده ها از روی سرور کردند. گام بعدی هکر ها توزیع بدافزار داستمن روی کامپیوترهای شبکه بود. نکته جالب این حمله در همین حلقه از حمله نهفته است. کار سخت توزیع توسط سامانه مرکزی ضد ویروس شرکت انجام شد. سامانه‌های مرکزی ضد ویروس، که بسیاری از سازمان‌ها و شرکت‌‌ها از آن استفاده می کنند، برای ایجاد سهولت در مدیریت و ارتقای امنیت سایبری طراحی شده. اما در این حمله از این سامانه ،که قرار بود به کمک شرکت باپکو بیاید، بعنوان توزیع کننده بدافزار استفاده شد. بعد از نصب و فعال کردن داستمن روی تک‌ به تک کامپیوترهای شرکت باپکو، داستمن ۳سند جدید روی کامپیوتر قربانی ایجاد می‌کند. این اسناد عملیات حذف داده های کامپیوتر‌‌ها را به دتدریج انجام می‌دهند.
در این حمله داده‌‌های تعدادی از کامپیوتر‌های شرکت باپکو از بین رفت اما برخی از کامپیوترها به دلیل اینکه در حالت خواب (sleep) بودند از این حمله جان به در بردند. سپس هکر ها با اختیاری که روی دامنه شبکه به دست آورده بودند شروع به حذف ردپای خود کردند.

Dustman malware files generated — **چارت سند‌های تولید شده بدافزار داستمن**

از کجا آمده(Dustman)داستمن

محققین امنیت فضای مجازی معتقدند که این بدافزار به‌دست هکر‌های وابسته به حکومت ایران ساخته شده. دلایل این باور شباهت ساختاری داستمن و زیروکلر و بکارگیری تکنیک‌های یکسان در این دو بدافزار از دیگر دلایل این باور است. شاید برای شما هم جالب باشد که نویسندگان این بدافزار شعار «مرگ بر بن سلمان» را در کد این برنامه جاگذاشته اند. همچنین محققان بر این باورند که این بدافزار دست پخست گروه APT34 است که از گروه های هکری وابسته به حکومت ایران است.

عبارت «مرگ بر بن سلمان» در کد بدافزار داستمن

سال ۲۱۰۹ شاهد گسترش حملات خرابکارانه هکرهای مرتبط با حکومت تهران بودیم،‌ حالا با بالاگرفتن تنش سیاسی-نظامی بین ایران و غرب احتمال گسترش فعالیت‌‌های هکرهای ایرانی به دامنه زیرساختهای کشورهای غربی نیز افزایش یافته.