یک رمز و راز آزار دهنده در مورد حملات 0 روزه به سرورهای Exchange وجود دارد


عبارت Zero Day را می توان روی صفحه رایانه ای تک رنگ که با یک و صفر گیر کرده مشاهده کرد.

آسیب پذیری های Microsoft Exchange ، که به هکرها اجازه می دهد سرورهای Microsoft Exchange را در اختیار بگیرند ، حداقل توسط 10 گروه پیشرفته هکر مورد حمله قرار گرفتند ، شش نفر از آنها قبل از انتشار مایکروسافت اقدام به بهره برداری از آنها کردند. این یک رمز و راز نگران کننده ایجاد می کند: چگونه بسیاری از بازیگران تهدید فردی قبل از علنی شدن آسیب پذیری های امنیتی ، عملکردهای عملیاتی داشتند؟

محققان می گویند حداکثر 100000 سرور ایمیل در سرتاسر جهان به خطر افتاده است ، در حالی که سرویس های مربوط به سازمان بانکی اروپا و پارلمان نروژ در چند روز گذشته فاش شده است. هنگامی که مهاجمان توانایی اجرای کد در سرورها را پیدا کردند ، پوسته های وب را نصب می کنند که پنجره های مبتنی بر مرورگر هستند و وسیله ای برای صدور از راه دور دستورات و اجرای کد را فراهم می کنند.

هنگامی که مایکروسافت رفع مشکلات اضطراری را در تاریخ 2 مارس منتشر کرد ، این شرکت گفت که این آسیب پذیری ها در حملات محدود و هدفمند توسط یک گروه هکر تحت حمایت دولت در چین موسوم به هافنیوم مورد سو استفاده قرار می گیرند. روز چهارشنبه ESET ارزیابی بسیار متفاوتی ارائه داد. از 10 گروه محصول ESET ، آنها بهره برداری از سرورهای آسیب پذیر را گزارش دادند ، شش مورد از این APT ها – مخفف Advanced Permanent Threats – شروع به ربودن سرورها کردند ، در حالی که آسیب پذیری های اساسی هنوز برای مایکروسافت ناشناخته بودند.

غالباً معمولاً این آسیب پذیری به اصطلاح روز صفر مورد استفاده یکپارچه دو گروه قرار نمی گیرد ، اما این اتفاق می افتد. از طرف دیگر ، روز صفر مورد حمله شش APT بسیار غیرمعمول است ، اگر بی سابقه نباشد.

محققان ESET ، ماتیو فاو ، ماتیو تارتار و توماس دوپویس چهارشنبه در پستی نوشت. “هنوز مشخص نیست که بهره برداری از بهره برداری چگونه انجام شده است ، اما اجتناب ناپذیر است که هرچه بیشتر شرکت کنندگان در این تهدید ، از جمله اپراتورهای باج افزار ، دیر یا زود به آن دسترسی پیدا کنند.”

ESET

فراتر از بعید است

این رمز و راز با این مسئله بیشتر می شود: ظرف یک روز پس از انتشار پچ مایکروسافت ، حداقل سه APT دیگر به این درگیری پیوستند. یک روز بعد ، دیگری به این مخلوط اضافه شد. اگرچه امکان بازگشت این چهار گروه به اصلاحات ، توسعه بهره برداری از سلاح و استقرار آنها در مقیاس وسیع برای این چهار گروه وجود دارد ، اما این نوع فعالیت ها معمولاً زمان بر است. پنجره 24 ساعته در سمت کوتاه است.

هیچ توضیح روشنی برای بهره برداری گسترده از گروههای مختلف وجود ندارد ، که محققان گزینه دیگری جز حدس و گمان ندارند.

کوستین رایو ، مدیر تیم تحقیق و تجزیه و تحلیل جهانی در کسپرسکی گفت: “به نظر می رسد در حالی که این بهره برداری ها در ابتدا توسط هافنیوم مورد استفاده قرار می گرفت ، چیزی باعث شد آنها در زمانی که آسیب پذیری های مربوطه با مایکروسافت خشک شده بود ، با سایر گروه ها بهره برداری کنند.” ، او به من گفت. “این ممکن است به معنای درجاتی از همکاری بین این گروه ها باشد ، یا همچنین ممکن است به این معنی باشد که بهره برداری برای فروش در بازارهای خاصی در دسترس بوده است و پتانسیل اصلاح آنها منجر به افت قیمت شده است ، که به دیگران اجازه می دهد آن را بدست آورند.”

خوان آندرس Guerrero-Saade ، محقق اصلی تهدید در شرکت امنیتی SentinelOne ، تقریباً به همین ارزیابی رسید.

وی در بیانیه مستقیم نوشت: “این ایده كه شش گروه از یك منطقه به طور مستقل زنجیره آسیب پذیری مشابهی را پیدا كرده و از همان سو same استفاده استفاده كنند بعید است.” “یک توضیح ساده تر این است که: (الف) یک فروشنده مشترک ، (ب) منبع ناشناخته ای (مانند یک انجمن) که برای همه آنها قابل دسترسی است ، یا (ج) یک نهاد مشترک که این گروه های مختلف هکر را سازماندهی کرده و به آنها ارائه می دهد بهره برداری برای تسهیل فعالیت. آن (مثلاً وزارت امنیت دولتی چین). “

نامگذاری نام

شش گروهی که ESET با استفاده از آسیب پذیری ها شناسایی کرد در حالی که هنوز صفر روز نبودند:

  • هافنیوم: این گروه که به گفته مایکروسافت مورد حمایت دولتی و مستقر در چین است ، از آسیب پذیری ها تا اوایل ژانویه بهره برداری کردند.
  • تیک (همچنین به عنوان Bronze Butler و RedBaldKnight شناخته می شود): در 28 فوریه ، دو روز قبل از اینکه مایکروسافت اصلاحات را منتشر کند ، این گروه از آسیب پذیری ها برای به خطر انداختن وب سرور یک شرکت خدمات فناوری اطلاعات آسیای شرقی استفاده کرد. تیک از سال 2018 فعال است و هدف آن سازمانهایی بیشتر در ژاپن ، بلکه در کره جنوبی ، روسیه و سنگاپور است.
  • LuckyMouse (APT27 و Emissary Panda): در تاریخ 1 مارس ، این گروه جاسوسی سایبری ، شناخته شده است که شبکه های دولتی متعددی را در آسیای میانه و خاورمیانه مختل کرده است ، سرور ایمیل یک نهاد دولتی در خاورمیانه را به خطر انداخته است.
  • Calypso (با پیوندهای Xpath): در تاریخ 1 مارس ، این گروه سرورهای ایمیل آژانس های دولتی در خاورمیانه و آمریکای جنوبی را به خطر انداخت. در روزهای بعد ، او همچنان سازمان های آفریقا ، آسیا و اروپا را هدف قرار داد. کالیپسو سازمان های دولتی در این مناطق را هدف قرار می دهد.
  • وبسیک: در تاریخ 1 مارس ، این APT ، كه ESET قبلاً هرگز ندیده بود ، سرورهای نامه متعلق به هفت شركت آسیایی در بخش IT ، ارتباطات راه دور و مهندسی و یك نهاد دولتی در اروپای شرقی را هدف قرار داد.
  • وینتی (همچنین به عنوان APT 41 و باریم شناخته می شود): ساعاتی پیش از آنکه مایکروسافت در 2 مارس رفع اضطراری را منتشر کند ، اطلاعات ESET نشان داد که این گروه از سرویس دهنده های ایمیل یک شرکت نفتی و یک شرکت تجهیزات ساخت و ساز مستقر در آسیای شرقی استفاده می کند.

ESET گفت چهار روز دیگر بلافاصله پس از انتشار رفع مشکل مایکروسافت در 2 مارس از آسیب پذیری ها سوiting استفاده کرده اند. روز بعد دو گروه ناشناس شروع کردند. دو گروه دیگر ، به نام های Tonto و Mikroceen ، به ترتیب در 3 و 4 مارس آغاز به کار کردند.

چین و فراتر از آن

جو سولوویک ، محقق ارشد امنیت در شرکت امنیتی DomainTools ، چهارشنبه تحلیل خود را منتشر کرد و خاطرنشان کرد که سه مورد از APT های ESET از آسیب پذیری های پچ – Tick ، ​​Calypso و Winnti – که قبلاً با هک تحت حمایت چینی ها ارتباط داشتند ، سوited استفاده کردند. این محقق گفت ، دو APT دیگر ESET یک روز پس از وصله ها از آسیب پذیری ها بهره برداری کردند – Tonto و Mikroceen – همچنین با PRC پیوند دارند.

اسلوویک جدول زمانی زیر را ترسیم کرد:

DomainTools

این برنامه شامل سه خوشه بهره برداری است که به گفته شرکت امنیتی FireEye از ژانویه تاکنون از نقاط ضعف Exchange بهره برداری کرده است. FireEye گروه هایی مانند UNC2639 ، UNC2640 و UNC2643 را لیست می کند و خوشه ها را با هیچ APT شناخته شده مرتبط نمی کند و نمی گوید کجا هستند.

از آنجا که شرکتهای مختلف امنیتی از نامهای مختلفی برای شرکت کنندگان در تهدیدات یکسان استفاده می کنند ، مشخص نیست که آیا گروههای شناسایی شده توسط FireEye با گروههای تحت نظارت ESET همپوشانی دارند یا خیر. اگر آنها متفاوت بودند ، تعداد مشارکت کنندگان تهدید برای استفاده از آسیب پذیری های Exchange قبل از اصلاح حتی بیشتر خواهد بود.

تعدادی از سازمانها در محاصره هستند

پیگیری APT زمانی انجام شد که FBI و آژانس امنیت سایبری و امنیت زیرساخت روز چهارشنبه مشاوره ای صادر کردند مبنی بر اینکه گروه های تهدید کننده از سازمان ها ، از جمله دولت های محلی ، دانشگاه ها ، سازمان های غیردولتی و مشاغل مختلف در تعدادی از صنایع از جمله کشاورزی ، بیوتکنولوژی ، فضانوردی ، دفاع ، بهره برداری می کنند. ، خدمات حقوقی ، خدمات انرژی و دارویی.

در این مشاوره آمده است: “این هدف گذاری مطابق با فعالیت های هدفمند قبلی بازیگران سایبری چینی است.” در حالی که شرکت امنیتی Palo Alto Networks روز سه شنبه اعلام کرد که حدود 125000 سرور مشترک در سراسر جهان آسیب پذیر هستند ، تماس عوامل CISA و FBI برای رفع آن اقدامات اضطراری دیگری را اتخاذ کرد.

هر دو ESET و شرکت امنیتی Red Canary شاهد بهره برداری از سرورهای Exchange آلوده به DLTMiner بوده اند که بخشی از بدافزار است که به مهاجمان اجازه می دهد ارز رمزنگاری شده را با استفاده از توان محاسباتی و برق ماشین های آلوده کشف کنند. با این حال ، ESET گفت مشخص نیست که آیا شرکت کنندگان در این عفونت ها واقعاً از این آسیب پذیری ها استفاده کرده اند یا به سادگی سرورهایی را که قبلاً توسط شخص دیگری هک شده بود ، تصاحب کرده اند.

با وجود بسیاری از سوits استفاده ها قبل از اصلاحات از گروه های مرتبط با دولت چین ، فرضیه Guerrero-Saade SentinalOne – که یک سازمان PRC قبل از اصلاحات سو to استفاده هایی را برای چندین گروه هکر فراهم کرده است – ساده ترین توضیح به نظر می رسد. این نظریه توسط دو گروه دیگر مرتبط با PRC – Tonto و Mikroceen – كه اولین گروهی هستند كه پس از انتشار فوری مایکروسافت از آسیب پذیری ها استفاده می کنند ، پشتیبانی می شود.

البته این احتمال وجود دارد که با وجود کشف آسیب پذیری ها و توسعه بهره برداری های تسلیحاتی ، نیمی از APT هایی که در حالی که هنوز صفر روز نبودند از این آسیب پذیری ها استفاده کردند. اگر این مورد باشد ، احتمالاً اولین و امیدوارم آخرین باشد.


منبع: tarjome-news.ir

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>