افشای یک شبکه پیچیده جاسوسی؛
Shadow-Earth-053 چگونه آسیا را هدف گرفت؟

شرکت  ترند میکرو  یکی از پیشگامان امنیت سایبری  اخیراً گزارشی جامع از یک کمپین جاسوسی سایبری گسترده به نام Shadow-Earth-053 منتشر کرده است که به نظر می‌رسد توسط یک گروه هکری وابسته به دولت چین انجام می‌شود.

به گزارش سیناپرس، این کمپین که از دسامبر ۲۰۲۴ فعالیت خود را آغاز کرده، به‌طور عمده نهادهای دولتی، دفاعی و فناوری در کشورهای مختلف آسیا و حتی یک کشور عضو ناتو را هدف قرار داده است. نکته مهم این گزارش، هدف قرار دادن فعالان مدنی و خبرنگاران است که این تهدید را از یک حمله سایبری معمولی به یک حمله پیچیده‌تر با ابعاد انسانی تبدیل کرده است.

جزئیات فنی حملات: شیوه‌های نفوذ و ابزارهای مورد استفاده

گزارش ترند میکرو نشان می‌دهد؛ این گروه هکری از آسیب‌پذیری‌های شناخته‌شده در سرورهای Microsoft Exchange و IIS استفاده می‌کند. این آسیب‌پذیری‌ها مربوط به مسائل امنیتی قدیمی هستند که به دلیل عدم به‌روزرسانی، هنوز بسیاری از سازمان‌ها و نهادها در سراسر جهان از آن‌ها رنج می‌برند.

در مرحله اول، مهاجمان از آسیب‌پذیری‌های N-day (آسیب‌پذیری‌هایی که مدت‌ها پیش کشف شده‌اند اما هنوز اصلاح نشده‌اند) در سرورهای اینترنتی استفاده می‌کنند تا به سیستم‌های هدف نفوذ کنند. پس از ورود، ابزارهای تونل‌سازی مانند IOX و GOST برای برقراری ارتباط مخفیانه و حرکت در شبکه مورد استفاده قرار می‌گیرند.

در نهایت، بدافزار ShadowPad به‌عنوان ابزار اصلی دسترسی دائمی به سیستم‌ها نصب می‌شود. این بدافزار با استفاده از تکنیک‌های پیچیده مانند DLL side-loading (لود کردن کدهای مخفی در سیستم به‌صورت غیرمستقیم) به سیستم‌های هدف نفوذ می‌کند و پس از مدت‌ها پنهان بودن، امکان دسترسی کامل به شبکه‌های هدف را فراهم می‌آورد.

هدف‌گیری خبرنگاران و فعالان: تغییر در تاکتیک‌های جاسوسی دولتی

یکی از مهم‌ترین نکات این گزارش، هدف‌گیری خبرنگاران و فعالان اجتماعی است. بر اساس تحلیل ترند میکرو، این گروه هکری به طور خاص خبرنگارانی را هدف قرار داده که در مورد موضوعات حساس مربوط به چین، تایوان، هنگ‌کنگ و سین‌کیانگ (ایغورها) گزارش‌نویسی می‌کنند. علاوه بر این، فعالان سیاسی و حقوق بشری نیز در معرض این تهدیدات قرار دارند.

این تغییر در تاکتیک‌های جاسوسی، مشخصاً نمایانگر سیاست‌های دولت چین است که همزمان با هدف قرار دادن نهادهای دولتی، به جاسوسی از جامعه مدنی و رسانه‌ها نیز پرداخته است. این نوع تهدیدات علاوه بر تهدیدهای امنیتی، می‌تواند عواقب جدی برای حقوق بشر و آزادی‌های فردی به دنبال داشته باشد.

ارتباط با سایر گروه‌های تهدید: زیرساخت‌های مشترک و احتمالات پیمانکاری

ترند میکرو در گزارش خود به این نکته اشاره کرده که این گروه هکری با سه گروه تهدید دیگر، از جمله CL-STA-0049 و Earth Alux، همپوشانی دارد. این همپوشانی‌ها شامل استفاده از زیرساخت‌های مشابه، ابزارهای مشترک و نقاط نفوذ مشابه هستند که نشان می‌دهد ممکن است یک زیرساخت پشتیبانی مشترک برای این عملیات‌ها وجود داشته باشد.

تحلیلگران Trend Micro با اطمینان متوسط بر این باورند که این گروه‌ها ممکن است توسط پیمانکاران خصوصی که از سوی دولت چین برای انجام عملیات جاسوسی استخدام شده‌اند، پشتیبانی شوند. این تحلیل با توجه به اطلاعاتی که در سال ۲۰۲۴ از یکی از پیمانکاران چینی فاش شد، مورد تأیید قرار گرفته است.

اهداف SHADOW-EARTH-053 و SHADOW-EARTH-054

اقدامات احتیاطی و پیشنهادات امنیتی

با توجه به پیچیدگی این حملات و هدف قرار دادن زیرساخت‌های حساس، ترند میکرو  به سازمان‌ها و نهادهای دولتی و دفاعی توصیه کرده که فوراً سیستم‌های خود را به‌روزرسانی کرده و آسیب‌پذیری‌های شناخته‌شده را رفع کنند. همچنین، باید به طور ویژه مراقب فعالیت‌های مشکوک مانند استفاده از ابزارهای ریموت دسکتاپ یا AnyDesk باشند.

علاوه بر این، خبرنگاران و فعالان اجتماعی که در زمینه‌های سیاسی و حقوق بشری فعالیت دارند، باید از ابزارهای امنیتی پیشرفته استفاده کرده و مراقب حملات فیشینگ و بدافزارهای هدفمند باشند. توصیه می‌شود که این افراد از مشاوره‌های امنیتی سازمان‌های متخصص مانند Access Now برای حفاظت از دستگاه‌ها و ارتباطات خود استفاده کنند.

گفتنی است، کمپین Shadow-Earth-053 تنها یک نمونه از تهدیدات سایبری است که می‌تواند ابعاد انسانی و حقوق بشری گسترده‌ای داشته باشد. به نظر می‌رسد که این گروه هکری با استفاده از تکنیک‌های پیشرفته و ابزارهای پیچیده، قادر به نفوذ در سیستم‌های حساس دولتی و خصوصی است.

همچنین با توجه به هم‌راستایی این حملات با سیاست‌های دولت چین و هدف قرار دادن خبرنگاران و فعالان اجتماعی، این تهدیدات بیش از پیش به یک بحران جهانی تبدیل شده‌اند که نیازمند اقدامات فوری و هماهنگ برای مقابله است.

درنهایت، سازمان‌ها باید امنیت سایبری خود را تقویت کرده و هم‌زمان با ایجاد آگاهی در میان خبرنگاران و فعالان، مانع از گسترش این تهدیدات شوند. همچنین، فعالان حقوق بشر باید بدانند که در چنین شرایطی، حفظ امنیت دیجیتال تنها از طریق آگاهی، ابزارهای مناسب و پشتیبانی از سازمان‌های امنیتی ممکن است.