شرکت امنیتی سوفوس از اجرای حمله‌ای هدفمند خبر داده که در جریان آن مهاجمان با استفاده از روت‌کیت، ترافیک مخرب خود را از سد دیواره‌های آتش مستقر در شبکه و دیواره‌های آتش مبتنی بر AWS (خدمات وب آمازون) عبود داده و یک اسب تروای دسترسی از راه دور (RAT) را بر روی سرورهای ابری (Cloud-based Server) سازمان نصب می‌کنند.

محققان سوفوس این حمله را در حین بررسی سرورهای مجازی مبتنی بر AWS، با سیستم‌های عامل Linux و Windows که به بدافزار آلوده شده بودند کشف کرده‌اند. اجرای این حمله توسط گروهی از مهاجمان با حمایت دولتی (Nation-state) محتمل دانسته شده است.

روت‌کیت مورد استفاده علاوه بر اینکه دسترسی از راه دور مهاجمان به این سرورها را فراهم می‌کند، مجرایی نیز برای برقراری ارتباط بدافزار با سرورهای فرماندهی (C2) این افراد است. ضمن اینکه این روت‌کیت، کنترل از راه دور سرورهای فیزیکی سازمان را هم در اختیار مهاجمان قرار می‌دهد.

تنظیمات دیواره آتش سازمان اگر چه سخت‌گیرانه نبوده اما آسیب‌پذیر نیز محسوب نمی‌شده است.

این مهاجمان فعالیت‌های خود را در ترافیک HTTP و HTTPS مخفی می‌کردند. به گفته سوفوس بدافزار به حدی پیچیده است که شناسایی آن حتی با پالیسی امنیتی سخت‌گیرانه بسیار دشوار می‌بوده است. سوفوس این حمله را مخفی شدن گرگ در لباس میش توصیف کرده است.

شرکت سوفوس بدون اشاره به نام سازمان قربانی، این حمله را کارزاری دانسته که احتمالاً رسیدن به اهداف نهایی آن از طریق زنجیره تأمین (Supply Chain) صورت می‌گیرد. در این نوع کارزارها، مهاجمان با بهره‌جویی از اجزای آسیب‌پذیر در زنجیره تأمین یک سازمان به آن رخنه و یا آن را دچار اختلال می‌کنند.

این احتمال مطرح شده که رخنه اولیه به شبکه سازمان از طریق پودمان SSH صورت پذیرفته باشد.

هویت و ملیت گردانندگان این حمله نامشخص اعلام شده است. در عین حال گفته می‌شود RAT بکار رفته در آن بر مبنای کد Gh0st توسعه یافته است. پیش‌تر ساخت Gh0st به مهاجمان چینی منتسب شده بود. ضمن اینکه سوفوس چند نمونه پیام موسوم به Debug به زبان چینی را در کد این RAT شناسایی کرده است.

به نظر می‌رسد که مهاجمان از یک RAT برای هر دو سیستم عامل Linux و Windows استفاده کرده‌اند. با این توضیح که سرورهای فرماندهی آنها در این دو بستر، متفاوت از یکدیگر گزارش شده است؛ موضوعی که شاید از پیاده‌سازی زیرساخت‌های مستقل برای هر یک از سیستم‌های عامل توسط گردانندگان این حمله ناشی شده باشد.

یکی از جنبه‌های نادر این حمله، هدف قرار دادن Linux با روت‌کیتی با نام Snoopy است که راه‌اندازی (Driver) با همین عنوان را بر روی سیستم کپی می‌کند.

Sophos این حمله را Cloud Snooper نامگذاری کرده است.

Cloud Snooper از محدود مواردی است که یک حمله واقعی چندبستری را به تصویر می‌کشد.

تکینک‌های بکار رفته در Cloud Snooper حداقل تا کنون بی‌نظیر بوده است. اما همانند بسیاری از حملات منحصربه‌فرد، دیر یا زود به خدمت سایر مهاجمان نیز در خواهد آمد.

سوفوس بهره‌گیری از قابلیت دیواره آتش در بسترهای مبتنی بر رایانش ابری AWS، اطمینان از نصب بودن تمامی اصلاحیه‌های امنیتی بر روی سرورهای قابل دسترس در اینترنت و مقاوم‌سازی پودمان SSH را اصلی ترین راهکارها برای ایمن ماندن از گزند Cloud Snooper اعلام کرده است.