احمد باطبی
شرکت چندملیتی «مایکروسافت»، از بزرگترین تولیدکنندگان نرمافزار و سختافزار کامپیوتری، اعلام کرده است که هکرهای وابسته به جمهوری اسلامی به تازگی شروع به بهرهبرداری از آسیبپذیری «CVE-2020-1472»، موسوم به «Zerologon» کرده اند.
«CVE-2020-1472» نام ثبتی نوعی آسیبپذیری در محصولات مایکروسافت است که در اصطلاح به آن آسیبپذیری «Zerologon» گفته میشود. هکرها از فرایند «Netlogon» برای بهرهبرداری از آسیبپذیری «CVE-2020-1472» استفاده میکنند تا از مرحله احراز هویت سیستم عبور کنند و به سرور «DC» شبکه، موسوم به سرور کنترلکننده دامنه، دسترسی پیدا کنند. اگر مهاجمان بتوانند از این آسیبپذیری استفاده کنند، تقریبا دسترسی صددرصدی به شبکه هدف خواهند داشت. Netlogon نیز فرایند احراز هویت سرورهای فعال در یک دامنه است که به شکل یک سرویس، به طور مداوم در پسزمینه در جریان است.
اگر چه ماه آگوست امسال شرکت مایکروسافت راه حلی را در بستههای بهروزرسانی خود برای Zerologon ارائه کرده است، اما توضیحات دقیق Zerologon عملا در ماه سپتامبر منتشر شد. همین سردرگمی مدیران امنیتی باعث شد که این آسیبپذیری مرتبط با فرایند تایید اعتبار Netlogon و گرفتن دسترسی از سرورهای موسوم به کنترلکننده دامنه DC، به عنوان یکی از خطرناکترین ضعفهای امنیتی سال ۲۰۲۰، قربانیان فراوانی را در تور مجرمان سایبری گرفتار کند. خطر این آسیبپذیری به حدی بود که دولت فدرال آمریکا به صورت رسمی از سازمانهای زیرمجموعه خود خواست در فرصتی سهروزه، ضمن اولویتبندی آسیبپذیریها، تمامی دستگاههای دارای این آسیبپذیری را از شبکه جدا تا در محیط ایزوله اقدام به نصب وصلههای امنیتی کنند.
در این نوع آسیبپذیری، مهاجمان از طریق پروتکل راه دور «MS-NRPC» به کانال آسیبپذیر Netlogon متصل میشوند و از سرور کنترل کننده دامنه دسترسی میگیرند. این نوع از سرور در بسیاری از شرکتها مورد استفاده قرار میگیرد و دسترسی مهاجمان به آن، به معنای دسترسی کامل آنها به کل شبکه سازمان است. اگر چه برای بهرهبرداری موفق از این آسیبپذیری، فرد یا افراد مهاجم میبایست به داخل شبکه هدف دسترسی داشته باشند، اما اگر سرور آسیبپذیر به صورت آنلاین در دسترس باشد، امکان بهرهبرداری از آسیبپذیری از خارج از شبکه نیز فراهم خواهد شد.
مرکز اطلاعات تهدید مایکروسافت «MSTIC» که این حملات را شناسایی کرده، گفته است که گروه هکری «Mercury» وابسته به حکومت ایران، دست کم دو هفته مشغول بهرهبرداری از این آسیبپذیری بود. گمان میرود که این گروه کار خود را یک هفته پس از عمومی شدن این آسیبپذیری آغاز کرده باشد و با نصب و بهروزرسانیهای امنیتی فرایند عملکرد گروه کندتر شده و یا متوقف شده باشد.
شرکت مایکروسافت در گزارش دفاع دیجیتال ماه سپتامبر خود نوشت ۱۰ درصد از مجموع حملات سال ۲۰۲۰ به سازمانها و هفت درصد از مجموع حملات این سال به شرکتهای فناوری توسط گروه Mercury انجام شدهاند که گاهی نیز به نامهای «MuddyWatter» ،«SeedWorm aka» ،«Temp.Zagros» شناخته میشود.
Mercury اولین بار در سال ۲۰۱۷ و با سلسله حملاتی به چند کشور عربی، از جمله عربستان سعودی، شناخته شد. این گروه طی سالها به دفعات از آسیبپذیریهای مرتبط با محصولات مایکروسافت در حملات خود استفاده کرده که معروفترین آن، بهرهبرداری از آسیبپذیری موسوم به «CVE-2017-0199» در نرمافزار آفیس است.
شرکت امنیتی «سایمانتک» در گزارش سال ۲۰۱۸ خود از قربانی شدن ۱۳۱ فرد و ۳۰ شرکت در نقاط مختلف جهان در بازه زمانی نوامبر تا دسامبر ۲۰۱۸ توسط گروه «MuddyWatter» خبر داد. همچنین شرکت امنیتی «کسپرسکی» و شرکت «فایرآی»، از جمله بزرگترین شرکتهای حوزه امنیت سایبری نیز در گزارشهای جداگانه به دهها سازمان دولتی، نظامی و خصوصی در نقاط مختلف آسیا، اروپا و آمریکای شمالی اشاره کردهاند که در سال ۲۰۱۸ توسط این گروه هدف قرار گرفتهاند.
شرکت اسرائیلی «ClearSky» نیز در سال ۲۰۱۹ گزارشی را در خصوص حملات گروه MuddyWatter به سازمانهای دولتی و غیرانتفاعی، با استفاده از آسیبپذیری «CVE-2017-0199» منتشر کرده است. در این گزارش اسنادی ارائه شده است که نشان میدهد این گروه به چه شکل از این آسیبپذیری CVE-2017-0199 بهره برده است تا فایلهای آلوده به کدهای مخرب «ماکرو» را با هدف گرفتن دسترسی از نوع «C2» به شبکه کامپیوتری اهدافی در خاورمیانه و آسیای مرکزی تزریق کند؛ سازمانها و ادارات دولتی، مخابراتی، نظامی و دانشگاهی در ترکیه، لبنان و عمان و همچنین احزاب سیاسی کُرد از جمله این اهداف بودهاند.
کارشناسان ClearSky معتقدند که گروه MuddyWatter احتمالا به عنوان گروه هکری دوم در مجموعه شرکت پوششی وابسته به وزارت اطلاعات ایران، «رایانش هوشمند رانا» موسوم به «موسسه رانا»، مشغول کارند. به اعتقاد این کارشناسان، این شرکت با تفکیک فرایند شناسایی و مهندسی اجتماعی و همچنین هک و نفوذ، به نوعی تقسیم کار کرده و مسئولیت هر کدام از این فرایندها را به دو گروه تحت پوشش خود واگذار کرده است.
اما نویسندگان گزارش دفاع دیجیتال در شرکت مایکروسافت ماه سپتامبر۲۰۲۰ در نظری متفاوت، گروه هکری Mercury یا MuddyWatter را یکی از پیمانکاران تحت فرمان «سپاه پاسداران انقلاب اسلامی» معرفی کردهاند که تا کنون بسیاری از سازمانها و نهادهای فعال در حوزه فعالیتهای بشردوستانه و پناهندگان را قربانی خود کرده است.
اما موضوعی که تحلیل این شرکتهای امنیتی را در خصوص ماهیت و وابستگی گروه هکری MuddyWatter با پرسش و ابهام روبهرو میکند این است که ۱۷ سپتامبر سال جاری، وزارت خزانهداری ایالات متحده شرکت رایانش هوشمند رانا و ۴۵ تن از کارکنان آن را به اتهام حملات سایبری، تجاوز به حریم خصوصی، سرکوب شهروندان ایرانی و سرقت اطلاعات و سرمایههای معنوی شرکتها و دولتهای خارجی، در لیست تحریمهای خود قرار داد. آمریکا همچنین وزارت اطلاعات جمهوری اسلامی را به پشتیبانی از اقدامات مجرمانه گروه هکری تحت پوشش موسسه رانا، موسوم به گروه «تهدید پیشرفته مستمر ۳۹ (APT39)»، متهم کرد.
حال طرح تئوری همکاری گروه MuddyWatter با موسسه رانا از سوی شرکت ClearSky و فعالیت آنها زیر نظر سپاه پاسداران انقلاب اسلامی از سوی کارشناسان شرکت مایکروسافت در حالی مطرح میشود که نام گروه MuddyWatter به عنوان یکی از سه منبع اصلی افشاگر اطلاعات در خصوص فعالیتهای شرکت پوششی رایانش هوشمند رانا و گروه هکری «تهدید پیشرفته مستمر ۳۹» یا «APT39» مطرح است.
استناد ایالات متحده برای تحریم موسسه رانا و کارکنان آن، گزارش پلیس فدرال آمریکا «افبیآی» و سازمانهای همکار و شرکتهای شناختهشده فعال در صنعت سایبری است. بخش عمدهای از اطلاعات مورد استفاده در این گزارشها در خصوص فعالیتهای رایانش هوشمند رانا و «APT39»، اطلاعات موثق و راستیآزماییشدهای بود که در یک سال گذشته از سوی سه کانال تلگرامی افشاگر، به نامهای «لب دوختگان»، کانال «نشتدهندگان سبز» متعلق به گروه MuddyWatter و کانال «جعبه سیاه» در دسترس عموم قرار گرفته بود.
در اردیبهشت ماه سال گذشته، گروه هکری MuddyWatter در دو کانال تلگرامی و دو پورت خود در وب تاریک مدعی شد اطلاعاتی از موسسه رانا و گروه هکری زیر نظر آن، تهدید پیشرفته مستمر ۳۹، در اختیار دارد که حاضر است آن را به علاقهمندان بفروشد. این گروه تصاویری مرتبط با اطلاعات مورد ادعای خود در وبسایتهایش در وب تاریک و کانالهای تلگرامی نیز منتشر کرده بود که در گزارشهای رسمی شرکتهای بزرگی همچون ClearSky نیز به آن استناد شده بود.
تحلیل شرکت ClearSky در خصوص همکاری گروه هکری MuddyWatter با شرکت رایانش هوشمند رانا با تحلیل شرکت مایکروسافت مبنی بر وابستگی این گروه به سپاه پاسداران انقلاب اسلامی، در کنار افشاگری منتسب به این گروه در خصوص گروه تهدید پیشرفته مستمر ۳۹ و موسسه رانا، همگی نشان از این حقیقت دارند که شناخت جامعه سایبری جهان از این گروه هکری ایرانی هنوز در مراحل ابتدایی قرار دارد و تا شناسایی بازیگران پشتپرده این گروه و وابستگی آنها، راهی طولانی در پیش است.
از بخش پاسخگویی دیدن کنید
در این بخش ایران وایر میتوانید با مسوولان تماس بگیرید و کارزار خود را برای مشکلات مختلف راهاندازی کنید
ثبت نظر