گروههای APT وابسته به چین در سالهای اخیر با استفاده از بدافزار Showboat، زیرساخت اپراتورهای مخابراتی و ارائهدهندگان سرویسهای اینترنتی در آسیای مرکزی را هدف عملیات جاسوسی سایبری قرار دادهاند. بررسیهای جدید نشان میدهد بدافزار Showboat که با نام kworker نیز شناخته میشود، یک بکدور لینوکسی مبتنی بر فریمورک پس از اکسپلویت (Post-Exploitation) است که مهاجمان از آن برای نفوذ پنهانی، حرکت جانبی در شبکه و جمعآوری اطلاعات حساس استفاده کردهاند.
تحقیقات محققان امنیتی نشان میدهد این ابزار دستکم چهار سال بدون شناسایی گسترده فعال بوده و حتی یک نمونه شناساییشده (Detection) از آن در پلتفرم VirusTotal ثبت نشده است؛ موضوعی که نشان میدهد گروههای تهدید چینی همچنان به ابزارهای ساده اما مؤثر برای اجرای عملیات جاسوسی سایبری متکی هستند.
ساختار و مکانیزم عملیاتی بدافزار Showboat
محققان Black Lotus Labs این بکدور را با نام «Showboat» یا «kworker» شناسایی کردهاند. بررسیها نشان میدهد این ابزار در حملات علیه اهدافی متفاوت، از یک ارائهدهنده سرویسهای اینترنتی (ISP) در افغانستان گرفته تا یک آدرس IP ناشناس در منطقه دونباسِ شرق اوکراین، مورد استفاده قرار گرفته است؛ موضوعی که نشان میدهد چندین گروه تهدید چینی بهصورت مشترک از این بدافزار استفاده میکنند.
مهمترین قابلیت این ابزار، اسکن شبکه لوکال (LAN) و آلودهسازی دستگاههایی است که مستقیماً به اینترنت عمومی متصل نیستند. Danny Adamitis، مهندس ارشد امنیت اطلاعات در Black Lotus، معتقد است شناسایی این بکدور در یک شبکه احتمالاً به معنای حضور تهدیدات گستردهتر و استقرار عمیق مهاجمان در زیرساخت سازمان است.
استفاده گروه Calypso از بدافزار Showboat
بر اساس گزارش PricewaterhouseCoopers (PwC)، یکی از گروههای استفادهکننده از این ابزار، گروه APT موسوم به Calypso است؛ گروهی که نخستینبار در سال 2019 شناسایی شد و عمده فعالیت آن در کشورهایی مانند افغانستان، قزاقستان، ترکیه و هند مشاهده شده است.
به گفته تحلیلگران PwC، این گروه در کنار بکدور ویندوزی JFMBackdoor و خانواده بدافزاری PlugX، از بدافزار Showboat نیز بهره میبرد تا بسته به محیط هدف، از بکدورهای لینوکسی در زیرساختهای مخابراتی مبتنی بر Unix و از ابزارهای ویندوزی در شبکههای سازمانی استفاده کند.
چرا این بکدور با وجود سادگی همچنان مؤثر است؟
اگرچه بدافزار Showboat در سطح بدافزارهای پیشرفتهای مانند BPFdoor قرار نمیگیرد، اما محققان معتقدند سادگی طراحی این بدافزار یکی از عوامل اصلی موفقیت عملیاتی آن بوده است. BPFdoor با سوءاستفاده از ابزارهای بومی سیستم (Living-off-the-Land) و پنهانسازی ترافیک سرور فرماندهی و کنترل (C2) در درخواستهای HTTPS و بستههای ICMP، یکی از پیشرفتهترین بدافزارهای مخابراتی چین محسوب میشود.
با این حال، کارشناسان Black Lotus تأکید میکنند این بکدور با وجود نداشتن پیچیدگی فنی بالا، توانسته است برای مدت طولانی از دید بسیاری از راهکارهای امنیتی پنهان بماند. به گفته Adamitis، برای موفقیت در عملیات جاسوسی الزاماً نیازی به توسعه ابزارهای بسیار پیچیده یا طراحی مکانیزمهای سفارشی مبتنی بر ICMP وجود ندارد و حتی ابزارهای سادهتر نیز میتوانند عملکرد مؤثری داشته باشند.
استفاده از بدافزار Showboat بهعنوان ابزار آزمایشی
تحلیلهای امنیتی نشان میدهد گروههای تهدید چینی معمولاً برخی کشورها را بهعنوان محیط آزمایشی برای ارزیابی بدافزارهای جدید انتخاب میکنند. محققان Black Lotus معتقدند مهاجمان ابتدا ابزارهای خود را در سیستمهای مجازی کاملاً بهروزرسانیشده آزمایش کرده و سپس آنها را در مقیاس محدود علیه اهداف واقعی بهکار میگیرند؛ جایی که بدافزار Showboat بهعنوان یک راهکار «کافی و اقتصادی» در مناطق با سطح آمادگی امنیتی پایینتر مورد استفاده قرار گرفته است.
ردپای این عملیاتها در افغانستان، آذربایجان، خاورمیانه و منطقه دونباس مشاهده شده است؛ کشورها و مناطقی که معمولاً سطح آمادگی امنیت سایبری پایینتری دارند. محققان معتقدند موفقیت این عملیاتها در مناطق با آمادگی امنیتی پایین میتواند زمینه استفاده گستردهتر از این ابزارها علیه اهداف حساس را فراهم کند.
جمعبندی
اگرچه بدافزار Showboat در مقایسه با برخی ابزارهای پیشرفته جاسوسی منسوب به چین یک بکدور فوقپیچیده محسوب نمیشود، اما سطح پایین شناسایی، سادگی عملیاتی، قابلیت استفاده مشترک میان چندین گروه APT و تمرکز بر زیرساختهای مخابراتی، آن را به یکی از نمونههای قابلتوجه در حملات هدفمند علیه شبکههای اپراتوری و ارائهدهندگان سرویسهای اینترنتی تبدیل کرده است. برای سازمانهایی که در حوزه مخابرات و زیرساخت فعالیت میکنند، مانیتورینگ مداوم شبکههای داخلی و شناسایی عملکردهای غیرمعمول مرتبط با این بدافزار میتواند در کاهش ریسک این دسته از تهدیدات نقش حیاتی ایفا کند.
