هکرهای چینی اطلاعات ارزشمند گسترده‌ای از شرکت‌های تایوانی صنعت نیمه‌هادی سرقت کرده‌اند

از سال‌ها پیش، تایوان گرفتار درگیری‌های متعددی با دولت مرکزی چین بوده است و همیشه گزارش‌هایی مبنی‌بر تلاش هکرهای حمایت‌شده‌ی دولت چین برای نفوذ به مراکز مهم این کشور نیز به گوش می‌رسد. گزارش‌های جدید یکی از شرکت‌های امنیت سایبری تایوان نشان می‌دهد که هکرهای چینی در نفوذهای خود موفق بوده‌اند. در این گزارش، ادعا می‌شود آن‌ها نفوذ گسترده‌ای به مهم‌ترین صنعت تایوان یعنی نیمه‌هادی کرده‌ و به‌نوعی اطلاعات محرمانه و اسناد مهم صنعت را دزدیده‌اند.

محققان شرکت امنیت سایبری CyCraft در رویداد امنیتی اخیر موسوم به Black Hat گزارشی از جزئیات حمله‌ای سایبری به شرکت‌های تایوانی فعال در صنعت نیمه‌هادی ارائه کردند. این گزارش حمله به حداقل هفت شرکت تایوانی را در دو سال گذشته بررسی می‌کند. نفوذهای عمیق هکرها که به‌دلیل استفاده‌ی هکرها از روشی موسوم به Skeleton key injector، به‌نام Operation Skeleton Key معرفی شد، با هدف سرقت حداکثری اطلاعات محرمانه از شرکت‌های فعال در صنعت نیمه‌هادی رخ داده بود. محققان می‌گویند هکرها به‌دنبال حداکثر اطلاعات ممکن بودند که انواع کد منبع و کیت‌های توسعه‌ی نرم‌افزاری (SDK) و طراحی تراشه را شامل می‌شده است. شرکت امنیتی CyCraft قبلا گروه هکرهای نیمه‌هادی را Chimera نامیده بود. گزارش‌های جدید ارتباط‌هایی بین گروه مذکور و هکرهای حمایت‌شده‌ی دولت چین موسوم به Winnti نشان می‌دهد. این گروه در برخی مواقع به‌نام Barium یا Axiom هم شناخته می‌شود. 

در گزارش شرکت CyCraft، با جدیت ادعا می‌شود هکرهای نیمه‌هادی از حمایت دولت چین برخوردار بوده‌اند. آن‌ها می‌گویند هکرها با هدف مشخص خراب‌کاری در صنعت اصلی تایوان وارد عمل شده‌اند و تصمیم آن‌ها برای سرقت عمده‌ی اطلاعات صنعت، کل کسب‌وکار فعالان تایوانی را تهدید می‌کند. درنهایت، تعدادی از محققان شرکت امنیتی تایوانی که در رویداد سخنرانی کردند، نفوذ هکرهای چینی را برنامه‌ی استراتژیک گسترده می‌دانند.

محققان CyCraft هیچ اطلاعاتی از شرکت‌های قربانی نفوذ اخیر منتشر نکرده‌اند؛ البته برخی از شرکت‌ها مشتری همین گروه امنیتی بودند. آن‌ها با همکاری گروه‌های تحقیقاتی دیگر همچون Forum of Incident Response و Security Teams نفوذهای مشابه دیگری را هم کشف کرده‌اند. شرکت‌های قربانی فعال در صنعت نیمه‌هادی اکثرا در منطقه‌ی صنعتی سینچو در شمال‌غربی تایوان فعال هستند.

پس از نفوذ اولیه به شبکه‌های داخلی در شرکت‌های صنعتی، هکرها به‌دنبال نفوذ به کامپیوترهای دیگر موجود در شبکه بوده‌اند. آن‌ها به دیتابیس‌های حاوی رمزعبور رمزنگاری‌شده در شبکه‌های داخلی حمله کردند تا به اطلاعات ارزشمند کاربردی برای ورود به کامپیوترهای دیگر دست پیدا کنند. در هر فرصت ممکن، هکرهای چینی از اطلاعات ورود مسروقه به‌جای نفوذ با بدافزار برای ورود به کامپیوترهای دیگر شبکه استفاده می‌کردند و همیشه ورود به‌کمک بدافزار را در اولویت دوم خود قرار می‌دادند تا هیچ ردپایی از خود باقی نگذارند.

یکی از ابزارهای مهم و پیشرفته‌ی نفوذ هکرهای چینی در سرقت اطلاعات از شرکت‌های صنعت نیمه‌هادی، در استفاده از روش‌هایی برای دست‌کاری سرورهای کنترل دامنه دیده می‌شود. این سرورهای قدرتمند وظیفه‌ی تنظیم‌کردن قوانین و دسترسی‌ها را در شبکه‌های بزرگ برعهده دارند. هکرها با استفاده از ابزارهای نفوذ مرسوم همچون Dumpert و Mimikatz و ترکیب کدهای موجود در آن‌ها، در سرورهای کنترل دامنه رمزعبور اضافه‌ی جدیدی برای هر کاربر ایجاد می‌کرده‌اند. این روش به‌نام روش Skeleton key injection شناخته می‌شود. با بهره‌برداری از روش مذکور، هکرها برای هر کاربر یک رمزعبور اختصاصی داشتند که به‌کمک آن به همه‌ی ماشین‌های موجود در شبکه‌ی سازمانی نفوذ می‌کردند. درواقع، آن‌ها شاه‌کلیدی برای ورود به کامپیوترهای سازمانی داشته‌اند.

گروه امنیتی CyCraft قبلا بخش عمده‌ای از گزارش اخیر را ماه آوریل منتشر کرده بود؛ اما اطلاعات جدید بیش‌ازپیش روی ارتباط گروه‌های هکری با دولت مرکزی چین تأکید می‌کند. بخش عمده‌ای از اطلاعات مرتبط با همکاری هکرها با دولت چین، با هک‌کردن هکرها به‌دست آمد. محققان CyCraft پس از نظارت بر عملیات سرقت داده‌ی گروه هکری Chimera، به اتصال امن آن‌ها به سرور فرمان و کنترل نفوذ وسپس، محتوای موجود در سرور ابری را بررسی و آزمایش کردند که در میان آن‌ها، سند راهنمایی برای هکرها مشاهده شد. این سند راهنما به‌نوعی مراحل استاندارد نفوذ برای فرایندهای مرسوم را برای هکرها شرح می‌دهد تا در هر نفوذ، فرایندها را به‌آسانی دنبال کنند. نکته‌ی مهم سند راهنما زبان چینی آن بود که به‌گفته‌ی محققان CyCraft، این زبان فقط در داخل کشور چین استفاده می‌شود و در تایوان کاربرد ندارد.

اطلاعات دیگری که از سرور هکرها استخراج شد، نشان می‌دهد طبق ساعت رسمی پکن و ساختار کاری موسوم به ۹۹۶ کار می‌کرده‌اند. این ساختار کاری فعالیت کارمندان از ۹ صبح تا ۹ شب و ۶ روز در هفته را نشان می‌دهد که در چین مرسوم است. درادامه‌ی گزارش CyCraft، ادعا می‌‌شود که آن‌ها در همکاری با دیگر شرکت‌های امنیتی تایوانی و بین‌المللی، گروه هکری مشابهی با اهدافی در دولت تایوان کشف کرده‌اند.

در سال ۲۰۱۵، سیمانتک گزارش داده بود که گروه مذکور برای حمله‌های خود از روش Skeleton استفاده می‌کند؛ یعنی همان روشی که گروه جدید برای نفوذ به شرکت‌های نیمه‌هادی تایوانی استفاده کرد. CyCraft هنوز با جدیت نمی‌تواند گروه Chimera را همان Winnti معرفی کند؛ اما ارتباط آن‌ها را بسیار نزدیک می‌داند.

در سال ۲۰۱۳، کسپرسکی اولین‌بار فعالیت‌های گروه Winnti را کشف و گزارش کرد. سال گذشته، این شرکت امنیتی روسی فعالیت‌های Winnti را تا سرقت اطلاعات مکانیزم به‌روزرسانی کامپیوترها از شرکت تایوانی ایسوس ردگیری کرده بود. یکی از محققان کسپرسکی ادعا می‌کند گروه Winnti در فعالیت‌‌هایی فراتر از شرکت‌های نیمه‌هادی تایوانی مشارکت می‌کند و بسیاری از شرکت‌های فناوری و مخابراتی تایوان را هدف قرار می‌دهد. کاستین رایو، مدیر تحقیقات بین‌المللی کسپرسکی، اعتقاد دارد یافته‌های CyCraft احتمالا بخشی جزئی از فعالیتی بسیار بزرگ‌تر و سازمان‌یافته‌تر هستند.

همان‌طورکه گفته شد، هکرهای چینی از مدت‌ها پیش به نفوذ گسترده به شبکه‌های تایوان متهم بوده‌اند. همچنین، محققان CyCraft اعتقاد دارند نفوذ گسترده‌ی آن‌ها به شرکت‌های نیمه‌هادی پیامدهای ناگوارتری به‌همراه دارد؛ نفوذی که به سرقت اطلاعات حساس طراحی تراشه منجر می‌شود و شاید هکرها با سوءاستفاده از آن‌ها، آسیب‌پذیری‌های عمیق موجود در تراشه‌ها را نیز استخراج و از آن سوءاستفاده کنند. محققان امنیتی با وجود بی‌اطلاعی از کاربرد کنونی اسناد به‌سرقت‌رفته برای هکرهای چینی، هدف آن‌ها را ضربه‌زدن به صنعت اصلی تایوان و فراهم‌کردن فرصتی برای شرکت‌‌های رقیب فعال در صنعت نیمه‌هادی در چین عنوان می‌کنند.