یک گروه هکری به نام OilRig از طریق پرتال جعلی VPN متعلق به Juniper و سایتهای جعلی منتسب به دانشگاه آکسفورد اقدام به توزیع بدافزار میکند. هدف اصلی این گروه کشورهایی هستند که در منطقه خاورمیانه قرار دارند. موسسههای مالی، دولتی و فناوری از اصلیترین اهداف این گروه هکری به شمار میروند.
به گزارش بادیجی به نقل از مجله سایت شبکه، دو شرکت فایرآی و پالوآلتو اعلام داشتهاند: «این گروه هکری از سال ۲۰۱۵ میلادی کار خود را آغاز کرده و از آن زمان تاکنون این گروه را تحت نظر قرار داشتهاند.» حملاتی که این گروه به تازگی آنها را سازماندهی کردهاند عمدتا سازمانهای مرتبط با خدمات مالی و سرویسهای پست الکترونیک را هدف قرار دادهاند. در جدیدترین حمله این گروه یک پرتال جعلی Juniper Networks VPN را راهاندازی کرده و از حسابهای ایمیلی به ظاهر مرتبط با تولیدکنندگان فعال در عرضه فناوریاطلاعات به منظور ارسال ایمیلهای مخرب برای کاربران استفاده کردهاند. کارشناسان امنیتی هنوز به طور دقیق اعلام نداشتهاند، این گروه کل شبکه مربوط به این شرکت را آلوده کردهاند یا آلودگی تنها محدود به حسابهای ایمیلی این شرکت بوده که هکرها همراه با لینکهای مخرب آنها را برای کاربران ارسال کردهاند. زمانی که کاربر به سایت جعلی Juniper وارد میشود به او گفته میشود، برنامه کلاینت VPN را نصب کند. نرمافزار فوق یک قطعه نرمافزاری معتبر متعلق به شرکت Juniper بوده که بدافزار این گروه از آن استفاده میکند.
کارشناسان امنیتی گفتهاند فایلهای آلوده همراه با گواهینامههای معتبر امضا شدهاند. این گواهینامههای معتبر از سوی سیمانتک برای یک شرکت نرمافزاری مستقر در ایالات متحده به نام AI Squared صادر شده است. بدافزاری که کارشناسان امنیتی موفق شدهاند آنرا شناسایی کنند از گواهینامههای متفاوتی که برای این شرکت امضا شده است استفاده میکنند. کارشناسان امنیتی میگویند: «هکرها ممکن است شبکه مربوط به شرکت AI Squared را آلوده ساخته و در ادامه به کلیدها دست پیدا کرده باشند.»
در تازهترین حمله این گروه چهار دامنه در ظاهر وابسته به دانشگاه آکسفورد را ثبت کردهاند. دامنههای oxford-careers[.]com ،symposia[.]com ،oxford-employee[.]com و oxford[.]in توسط این گروه به ثبت رسیده است. دامنه جعلی اول مشابه با صفحه ثبتنام دانشگاه آکسفورد طراحی شده است. در این سایت به کاربر توصیه شده است ابزاری که در مراحل بعدی ثبتنام به آن نیاز خواهد داشت را روی کامپیوتر خود نصب کنند. این ابزار از گواهیهای معتبر شرکت AI Squared استفاده کرده و به کاربر اعلام میدارد که در فرم پیش ثبتنام اطلاعات مختلفی در ارتباط با خودش وارد کند.
در ادامه به کاربران گفته شده است فرم مربوطه را به آدرس ایمیلی که روی دامنه جعلی دوم قرار دارد ارسال کنند. دامنه جعلی دوم oxford-careers[.]com نام دارد. در دامنه جعلی دوم لینکی به دامنه بعدی oxfod[.]in وجود دارد. در این دامنه فایلهای مختلفی وجود دارد. اما کارشناسان امنیتی هنوز موفق نشدهاند از ماهیت و محتوای این فایلها اطلاعی به دست آورند، به واسطه آنکه پس از شناسایی این سایتهای جعلی هکرها به سرعت فایلها را از دسترس خارج کردند. دامنه جعلی آخر oxford-employee[.]com نام دارد که همانند یک سایت کاریابی طراحی شده است. این سایت به کاربران اجازه میدهد رزومه خود را به شکل رسمی برای دانشگاه آکسفورد ارسال کنند. در این دامنه نیز یک ابزار جعلی برای دریافت اطلاعاتی از کاربران قرار گرفته شده است.
نظرات کاربران