نفوذ سايبري پيچيده به سازمان‌هاي دولتي جهان

 به گزارش ايسنا، يك گروه تهديد وابسته به يك دولت توانسته در قالب عمليات گسترده جاسوسي كه «Shadow Campaigns» نام گرفته، ده‌ها شبكه مرتبط با دولت‌ها و زيرساخت‌هاي حياتي را در ۳۷ كشور جهان نفوذ كند. اين گروه همچنين بين ماه‌هاي نوامبر و دسامبر سال گذشته فعاليت‌هاي شناسايي گسترده‌اي انجام داده و نهادهاي دولتي مرتبط با ۱۵۵ كشور را هدف قرار داده است. طبق اعلام رسانه جامعه امنيت سايبري ايران، بر اساس آنچه از سوي واحد تحقيقاتي Unit 42 شركت Palo Alto Networks، گفته شده اين گروه دست‌كم از ژانويه ۲۰۲۴ فعال بوده و شواهد زيادي وجود دارد كه نشان مي‌دهد منشأ فعاليت آن در آسيا است. تا زماني كه شناسايي قطعي انجام نشود، محققان اين عامل تهديد را با نام‌هاي TGR-STA-1030 و UNC6619 دنبال مي‌كنند. تمركز اصلي اين عمليات روي وزارتخانه‌هاي دولتي، نيروهاي انتظامي، نهادهاي كنترل مرزي، بخش‌هاي مالي و تجاري، انرژي، معدن، امور مهاجرت و سازمان‌هاي ديپلماتيك بوده است. بررسي‌ها نشان مي‌دهد اين حملات دست‌كم ۷۰ سازمان دولتي و زيرساخت حياتي را در ۳۷ كشور با موفقيت آلوده كرده‌اند. اين نفوذها شامل سازمان‌هايي مرتبط با سياست‌هاي تجاري، مسائل ژئوپليتيكي و انتخابات در قاره امريكا، وزارتخانه‌ها و پارلمان‌هاي چندين كشور اروپايي، وزارت خزانه‌داري استراليا، و نهادهاي دولتي و زيرساختي در تايوان بوده است. گستره كشورهايي كه هدف قرار گرفته يا دچار نفوذ شده‌اند بسيار وسيع است و به نظر مي‌رسد زمان‌بندي حملات در برخي مناطق با رويدادهاي سياسي خاص ارتباط داشته است. براي نمونه، در جريان تعطيلي دولت امريكا در اكتبر ۲۰۲۵، اين گروه توجه ويژه‌اي به اسكن و بررسي زيرساخت‌هاي كشورهاي امريكاي شمالي، مركزي و جنوبي نشان داد. همچنين حدود يك ماه پيش از انتخابات ملي هندوراس، فعاليت شناسايي گسترده‌اي عليه حداقل ۲۰۰ آدرس اينترنتي مرتبط با زيرساخت‌هاي دولتي اين كشور مشاهده شد، آن هم در شرايطي كه هر دو نامزد انتخابات از احتمال ازسرگيري روابط ديپلماتيك با تايوان صحبت كرده بودند.
 بر اساس ارزيابي‌ها، اين گروه موفق شده به نهادهاي مختلفي نفوذ كند، از جمله وزارت معادن و انرژي برزيل، يك نهاد مرتبط با معدن در بوليوي، دو وزارتخانه در مكزيك، زيرساخت‌هاي دولتي پاناما، سيستمي مرتبط با يك مجموعه صنعتي فناوري در ونزوئلا، چندين نهاد دولتي در كشورهاي اروپايي مانند قبرس، چك، آلمان، يونان، ايتاليا، لهستان، پرتغال و صربستان، يك شركت هواپيمايي در اندونزي، چندين وزارتخانه و اداره دولتي در مالزي، يك نهاد انتظامي در مغولستان، يكي از تأمين‌كنندگان اصلي تجهيزات صنعت برق تايوان، يك اداره دولتي در تايلند و همچنين زيرساخت‌هاي حياتي در چند كشور آفريقايي. علاوه بر اين، تلاش‌هايي براي برقراري ارتباط از طريق SSH با زيرساخت‌هاي وزارت خزانه‌داري استراليا، وزارت دارايي افغانستان و دفتر نخست‌وزيري نپال نيز مشاهده شده است. تحقيقات همچنين نشان مي‌دهد اين گروه اقدام به شناسايي و تلاش براي نفوذ به سازمان‌هاي ديگر نيز كرده است. به عنوان مثال زيرساخت‌هاي دولتي جمهوري چك از جمله ارتش، پليس، پارلمان و چندين وزارتخانه مورد اسكن قرار گرفته‌اند. همچنين تلاش براي نفوذ به زيرساخت‌هاي اتحاديه اروپا از طريق هدف قرار دادن بيش از ۶۰۰ آدرس اينترنتي مرتبط با دامنه
 europa.eu ثبت شده است. در ماه جولای ۲۰۲۵ نيز تمركز ويژه‌اي روي آلمان وجود داشت و صدها آدرس اينترنتي مرتبط با سيستم‌هاي دولتي اين كشور مورد بررسي قرار گرفت. در مراحل اوليه اين عمليات، حملات عمدتاً از طريق ايميل‌هاي فيشينگ بسيار هدفمند انجام مي‌شد كه براي مقامات دولتي ارسال مي‌شد و معمولا به تغييرات داخلي ساختار وزارتخانه‌ها اشاره داشت. اين ايميل‌ها شامل لينك‌هايي به فايل‌هاي فشرده آلوده بودند كه در سرويس ذخيره‌سازي Mega.nz قرار داشتند. اين فايل‌ها حاوي يك برنامه بارگذار بدافزار به نام Diaoyu و يك فايل تصويري خالي بودند. اين‌بارگذار در شرايط خاص، ابزارهاي نفوذي مانند Cobalt Strike و چارچوب كنترل از راه دور VShell را دريافت و اجرا مي‌كرد. وجود فايل تصويري خالي نقش نوعي بررسي صحت محيط اجرا را داشت و در صورت نبود آن، بدافزار اجرا نمي‌شد.  اين بدافزار همچنين تلاش مي‌كرد حضور نرم‌افزارهاي امنيتي مختلف را شناسايي كرده و از آنها فرار كند. علاوه بر فيشينگ، اين گروه از حداقل ۱۵ آسيب‌پذيري شناخته‌شده در نرم‌افزارهايي مانند SAP Solution Manager، سرور Microsoft Exchange، تجهيزات شبكه D-Link و سيستم‌عامل ويندوز براي دسترسي اوليه سوءاستفاده كرده است. در كنار ابزارهاي رايج نفوذ مانند وب‌شل‌ها و ابزارهاي تونل‌سازي شبكه، محققان به يك روت‌كيت جديد لينوكسي به نام ShadowGuard نيز برخورد كردند كه مبتني بر فناوري eBPF است و احتمال مي‌رود مخصوص همين گروه طراحي شده باشد. اين نوع بدافزارها به دليل فعاليت در سطح هسته سيستم‌عامل بسيار سخت شناسايي مي‌شوند و مي‌توانند عملكردهاي اصلي سيستم و گزارش‌هاي نظارتي را دستكاري كنند. اين روت‌كيت قادر است اطلاعات مربوط به پردازش‌هاي مخرب را مخفي كند، برخي شناسه‌هاي پردازشي را از ابزارهاي نظارتي پنهان سازد و حتي فايل‌ها و پوشه‌هاي خاصي را از ديد بازرسي دستي مخفي كند. زيرساخت مورد استفاده در اين عمليات شامل سرورهايي است كه از خدمات VPS قانوني در امريكا، سنگاپور و بريتانيا استفاده مي‌كنند و همچنين از سرورهاي واسطه، پروكسي‌هاي خانگي و شبكه Tor براي مخفي‌سازي مسير ارتباطات بهره مي‌برند. اين گروه همچنين از دامنه‌هايي استفاده كرده كه شباهت ظاهري به دامنه‌هاي رسمي كشور هدف دارند تا احتمال فريب كاربران را افزايش دهند.