اجمد باطبی
«پلیس فدرال آمریکا FBI» طی هشداری به بخش خصوصی در ایالات متحده، از حملات سایبری گروهی از هکرهای ایرانی به دستگاههای F5 BIG-IP خبر داد.
دستگاههای F5 BIG-IP مجموعه محصولات نرمافزاری و سختافزاری مربوط به امنیت، کنترل و تحویل شبکه است که توسط شرکت آمریکایی «F5 Networks Inc» تولید و هماکنون توسط بسیاری از آژانسهای دولتی، بانکها و شرکتهای ثروتمند آمریکایی، موسوم به «Fortune 500 firms» استفاده میشود که در بین آنها نام «والمارت»، «آمازون»، «اکسونموبیل»، «اپل»، شرکت دارویی «سیویاس»، شرکت مخابراتی «ایتیانتی» و بسیاری دیگر به چشم میخورد.
در متن هشدار «افبیآی» گفته شده است که حملهکنندگان از آسیبپذیری CVE-2020-5902 برای نفوذ بهره میبرند که مرداد ماه ۱۳۹۹ به شکل رسمی راهحلهای ترمیم آن در اختیار مصرفکنندگان قرار گرفته است.
آسیبپذیری CVE-2020-5902 که در دستهبندی آسیبپذیریهای خطرناک قرار گرفته است، به مهاجمان اجازه میدهد تا از طریق کدهای اجرایی از راه دور، ماینرها، بدافزارهای مربوط به اینترنت اشیاء و اسکریپتهای مدیریت سیستم و... را روی دستگاههای چندمنظوره F5 BIG-IP شبکه نصب و اجرا کنند.
این آسیبپذیری که با عنوان Traffic Management User Interface و به اختصار TMUI شناخته میشود، به صورت ارائه درخواست از طریق پروتکل HTTP به رابط کاربری مدیریت ترافیک TMUI آغاز میشود و در صورت موفقیت، به دسترسی مهاجم به پیکربندی سیستم منتهی میشود. در صورت موفقیت، مهاجم نه تنها به تنظیمات پیکربندی دسترسی دارد، بلکه امکان حذف و یا ایجاد پروندهها، فعال و یا غیر فعال کردن سرویسها، رهگیری اطلاعات، اجرای کد جاوا و بسیاری دیگر از دستورات دلخواه را خواهد داشت.
مهاجمان در بیشتر موارد، این آسیبپذیری را از طریق موتور جستجوگر Shodan پیدا میکنند. Shodan موتور جستجوگری است که علاوه بر اطلاعات معمول، مشخصات عمیقتری از مورد جستجوشده، نظیر مشخصات دستگاهها و نرمافزارهای مورد استفاده و همچنین آسیبپذیریهای موجود را به جستجوگر ارائه میکند.
خطر بهرهبرداری از این آسیبپذیری پیشتر نیز توسط نهادهای دولتی ایالات متحده و متخصصان امنیت فضای مجازی هشدار داده شده بود. ۱۰تیر۱۳۹۹، شرکت F5 Networks Inc وصله امنیتی را معرفی کرد تا این آسیبپذیری را ترمیم کند.
رصد امنیتی نشان میدهد که هکرهای وابسته به جمهوری اسلامی در ایران، از میانه خرداد ماه ۱۳۹۸ مشغول بهرهبرداری از این آسیبپذیری برای نفوذ به شبکههای خصوصی و دولتی در ایالات متحده بودهاند.
وبسایت ZDNet، بازتابدهنده اخبار حوزه تکنولوژی و امنیت، به نقل از منابعش گفت که هکرهای وابسته به جمهوری اسلامی، بخشی از گروهی بزرگتر هستند که حملات دیگری را موسوم به Fox Kitten یا Parisite ترتیب دادهاند. یکی از تحلیلگران سایبری که پیشتر در بخش دولتی ایالات متحده فعال بوده، در گفتگو با ZDNet عملکرد هکرهای وابسته به جمهوری اسلامی را در خصوص بهرهبرداری از آسیبپذیری CVE-2020-5902 به «نوک نیزه» تشبیه کرده و گفته است وظیفه این گروه، به نوعی هموار کردن مسیر و پشتیبانی گروههای هکری دیگری است که ما آنها را پیشتر با نامهای Oilrig یا ATP34، ATP33 یا Shamoon و Chafer شناختهایم. هکرها ابتدا از طریق آسیبپذیری موجود، پیش از آنکه فرصتی برای ترمیم آن باشد وارد عمل شده و به شرکتهای خصوصی و شبکههای دولتی حمله میکنند. آنها پس از تسلط بر یک دستگاه و گرفتن دسترسی و نسخه پشتیبان، زمینه را برای ورود گروههای یاد شده فراهم میکنند.
در بخشی از هشدار پلیس فدرال آمریکا آمده است که هکرهای مذکور هدف مشخصی را در مجموعه حملههایشان دنبال نمیکنند. افبیآی به کمپینی به نام Fox Kitten اشاره میکند که توسط گروههای هکری وابسته به جمهوری اسلامی برپا شده و در ماههای اخیر حملات مختلفی را علیه Pulse Secure VPNs وCitrix gateways انجام داده است.
بهمن ماه سال ۱۳۹۸، شرکت امنیتی ClearSky و Dragos گزارش ویژهای را درباره فعالیتهای کمپین Fox Kitten منتشر کرد که به دامنه آن در تابستان سال ۲۰۱۹ میلادی پرداخته بود. در این گزارش آمده که Fox Kitten حاصل همکاری چند گروه هکری وابسته به جمهوری اسلامی در ایران است که به نامهای APT34-OilRig ،APT33-Elfin وAPT39-Chafer شناخته میشود. این گروههای هکری بههمپیوسته، از سال ۲۰۱۷ به این سو حملات تهاجمی مختلفی را با استفاده از آسیبپذیریهای گوناگون، علیه شرکتهای مختلفی در جهان، مخصوصا شرکتهای اسرائیلی ترتیب دادهاند. آنها ابتدا مسیرهای نفوذ را کشف و بعد از نفوذ و سرقت اطلاعات، تلاش میکردند که دسترسی خود را به منابع هکشده با شیوههای مختلف، از جمله باز کردن لینکهای RDP از طریق SSH و تونل زدن تثبیت کنند. آنها برای پنهان ماندن از رمزنگاری بهره برده و علاوه بر ادامه سرقت اطلاعات، تلاش میکردند تا دیگر شرکتهای مرتبط با قربانیان را نیز به صورت زنجیرهای هک کنند.
در بخشی از گزارش ClearSky و Dragos آمده است که هکرهای APT در سه سال گذشته، دهها شرکت را در سراسر جهان هک کردهاند و اطلاعات آنها را به سرقت بردهاند که مهمترین و موفقیتآمیزترین آن نفوذ از طریق هک VPN بود که موارد زیر از آن جملهاند.
Pulse Secure "Connect" enterprise VPN (CVE-2019-11510)
Fortinet VPN servers running FortiOS (CVE-2018-13379)
Palo Alto Networks "Global Protect" VPN servers (CVE-2019-1579)
Citrix "ADC" servers and Citrix network gateways (CVE-2019-19781)
بنا بر این گزارش، حتی پس از شناسایی و ترمیم آسیبپذیریها، به دلیل استفاده هکرها از شیوههای مختلف رمزنگاری، ضمانتی نیست که شبکه کامپیوتری قربانیان از حضور مهاجمان پاک شده و یا دسترسی آنها به طور کامل از تمامی بخشهای شبکه قطع شده باشد.
در موج اول حملات که توسط گروههای هکری ATP33 و ATP39 با هدف جاسوسی انجام شدهاند، بخشهای آیتی، دفاعی، برق، نفت و گاز و شرکتهای هواپیمایی کشورهای مختلف مورد حمله قرار گرفتهاند. در موج دوم که در ماه اکتبر ۲۰۱۹ و توسط گروه ATP34 و با نامهای مستعار OilRig و HelixKitten انجام شدهاند، شرکتهای مختلف دیگری از اسرائیل، آمریکا، عربستان سعودی، لبنان، کویت، امارات، استرالیا، فرانسه، لهستان، آلمان، فنلاند، مجارستان، ایتالیا و اتریش مورد حمله قرار گرفتهاند که نقشه نشانگر تمرکز و گستردگی این حملات در کشورهای مختلف جهان است. در این نقشه، رنگ قرمز که نشانگر آمریکا، اسرائیل و کشورهای حاشیه خلیج فارس است، اهداف اصلی و رنگ نارنجی اهداف اولویت دوم هکرها را نشان میدهد.
عکس از متن گزارش شرکت ClearSky و Dragos در باره کمپین Fox Kitten
محققان نویسنده این گزارش، دلایل متعددی را برای وابستگی هکرها به ایران ارائه کردهاند که از آن جمله میتوان به استفاده بدافزارهای ساخت ایران در حملات، وجود رد پای گروههای هکری مختلف ایرانی در نفوذهای صورتگرفته و کشف کلمهها و عبارتهای فارسی در بین کدهای مورد استفاده هکرها اشاره کرد. به عنوان نمونه، مقایسه حملات موسوم به Parisite که توسط گروه هکری ATP33 انجام شده، با حمله به شرکتهای حوزه برق در آمریکا، موسوم به Qassem Soleimani20 در سال جاری میلادی نقاط مشترک متعددی را نشان میدهد که استفاده مهاجمان از بدافزارهای ZeroCleare و Dustman از آن جمله است. این دو بدافزار پیش از این نیز توسط گروههای هکری شناساییشده وابسته به جمهوری اسلامی، از جمله APT34-APT33 نیز استفاده شده بود.
دستورالعملی که برای ترمیم آسیبهای ناشی از حمله مبتنی بر CVE-2020-590 به سازمانها و ارگانهای دولتی توصیهشده به حدی فراگیر و جدی است که در عمل باید هر سازمانی شبکه خود را از نو پیکربندی و راهاندازی کند.
از بخش پاسخگویی دیدن کنید
در این بخش ایران وایر میتوانید با مسوولان تماس بگیرید و کارزار خود را برای مشکلات مختلف راهاندازی کنید
ثبت نظر