[ad_1]

عکس نمای نزدیک یک روتر.

مقامات این استان گفتند که هکرهای دولت چین تعداد زیادی روتر برای خانه و دفتر کار می کنند تا در حمله گسترده و مداوم به سازمانها در فرانسه مورد استفاده قرار گیرند.

این گروه هکرها – که در محافل امنیتی با نام های APT31 ، زیرکونیوم ، پاندا و دیگران شناخته می شود – در طول تاریخ فعالیت های جاسوسی را با هدف سازمان های دولتی ، مالی ، فضایی و دفاعی و همچنین مشاغل فنی ، ساختمانی ، مهندسی ، ارتباطات راه دور ، رسانه ها و صنایع بیمه انجام داده است. ، شرکت امنیتی FireEye گفت. مرکز ملی امنیت سایبری انگلیس روز دوشنبه APT31 همچنین یکی از سه گروه هکر تحت حمایت دولت چین است که در یک سرور هک اخیر در سرورهای Microsoft Exchange شرکت کرده اند.

بازیابی و نفوذ خفا

روز چهارشنبه ، آژانس ملی امنیت سیستم های اطلاعاتی فرانسه – مخفف آن ANSSI – به مشاغل و سازمان های ملی هشدار داد که این گروه در پشت یک کارزار گسترده برای حمله به روترهای هک شده قبل از انجام اطلاعات و حملات به عنوان ابزاری برای پوشاندن نفوذها قرار دارد.

یک مشاور ANSSI هشدار داد: “ANSSI در حال حاضر با یک کمپین نفوذ بزرگ که بسیاری از نهادهای فرانسوی را تحت تأثیر قرار می دهد ، سروکار دارد.” “این حملات هنوز ادامه دارد و توسط یک نفوذ هدایت می شود ، که به طور عمومی APT31 نامیده می شود. از بررسی های ما ، مشخص شده است که عامل تهدید از شبکه مسیریاب های خانگی به خطر افتاده به عنوان جعبه های رله عملیاتی برای انجام اطلاعات مخفی کاری و همچنین حملات استفاده می کند. “

این هیئت حاوی شاخص های سازش است که سازمان ها می توانند برای تعیین هک شدن یا هدف قرار دادن آنها در کمپین استفاده کنند. این شاخص ها شامل 161 آدرس IP هستند ، اگرچه کاملاً مشخص نیست که آیا آنها به روترهای آسیب دیده تعلق دارند یا انواع دیگر دستگاه های متصل به اینترنت که در حملات استفاده می شوند.

آ گرافیک مشخص کردن كشورهای میزبان IP كه توسط محقق ویل توماس از شركت امنیتی Cyjax ایجاد شده است ، نشان می دهد كه بیشترین میزان تمرکز در روسیه و پس از آن مصر ، مراكش ، تایلند و امارات متحده عربی است.

هیچ یک از آدرس ها در فرانسه یا هر یک از کشورهای اروپای غربی یا کشورهایی که عضو اتحاد پنج چشم هستند ، میزبانی نمی شوند.

“APT31 معمولاً برای جلوگیری از سو susp ظن ، از روترهای pwned در كشورهایی كه هدف خود قرار می دهد به عنوان یك پرش نهایی استفاده می كند ، [French security agency] CERT-FR دلتنگ آنها شده است ، آنها این کار را نمی کنند. “توماس در یک پیام مستقیم گفت. “مشکل دیگر در اینجا این است که برخی از روترها نیز ممکن است توسط مهاجمان دیگر در گذشته یا همزمان به خطر بیفتند.”

روترها در محل اتصال

در توییتر ، بن کوهل ، تحلیلگر تهدیدهای مایکروسافت ، این موضوع را ارائه داد زمینه اضافی for zirconium – نام سازنده نرم افزار برای APT31 است.

او نوشت:

به نظر می رسد ZIRCONIUM چندین شبکه روتر را مدیریت می کند تا این اقدامات را تسهیل کند. آنها به صورت لایه لایه با هم قرار گرفته و از آنها استفاده راهبردی می شود. اگر این آدرس های IP را بررسی کنند ، باید در درجه اول به عنوان منبع آدرس های IP استفاده شوند ، اما گاهی اوقات ترافیک را به شبکه هدایت می کنند.

از نظر تاریخی آنها رویکرد کلاسیک I have dnsname -> ip را برای ارتباطات C2 ایجاد می کردند. از آن زمان ، آنها این ترافیک را به شبکه روتر منتقل کرده اند. این به آنها امکان می دهد تا انعطاف پذیری را داشته باشند تا در چندین لایه مقصد ترافیک را دستکاری کنند ، در حالی که تلاش عناصر تعقیب کننده را کاهش می دهند.

از طرف دیگر ، آنها می توانند به کشورهای هدف خود بروند تا از روشهای تشخیص اولیه تا حدودی جلوگیری کنند.

سالهاست که هکرها از روترهای به خطر افتاده برای استفاده در منازل و دفاتر کوچک برای استفاده در بات نت استفاده می کنند ، که منجر به فلج شدن حملات انکار سرویس ، هدایت کاربران به سایتهای مخرب می شود و به عنوان پروکسی برای هک کردن ، استفاده از آسیب پذیری ها ، اسکن بندر و فیلتر کردن داده ها از اهداف هک شده در سال 2018 ، محققان تیم حفاظت Talos سیسکو VPNFilter ، بدافزار مرتبط با هکرهای دولت روسیه را کشف کردند که بیش از 500000 روتر را برای استفاده در طیف وسیعی از اهداف شرور آلوده کرده است. در همان سال ، محققان در Akamai با جزئیات روترها را با استفاده از روشی به نام UPnProxy شرح دادند.

افرادی که می ترسند دستگاه هایشان به خطر بیفتد باید به طور دوره ای دستگاه های خود را دوباره راه اندازی کنند ، زیرا بیشتر بدافزارهای روتر نمی توانند از راه اندازی مجدد سیستم زنده بمانند. همچنین کاربران باید مطمئن شوند که مدیریت از راه دور خاموش است (مگر اینکه واقعاً لازم باشد و قفل شده باشد) و اینکه سرورهای DNS و سایر تنظیمات به طور مخربی اصلاح نشده اند. مثل همیشه ، نصب سریع به روزرسانی های میان افزار ایده خوبی است.



[ad_2]

منبع: tarjome-news.ir