انتشار شده در تاریخ 1404/01/28 - 12:37

احتمال سرقت داده‌ها از سیستم‌های قدیمی اوراکل کلاود

مقامات فدرال امنیت سایبری روز چهارشنبه نسبت به پیامدهای احتمالی یک رخنه اطلاعاتی که بر اوراکل تأثیر گذاشته، هشدار دادند.

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، اوراکل طی هفته‌های گذشته، به‌صورت خصوصی به مشتریانش هشدار داده بود که در جریان یک حادثه در ژانویه، هکرها اطلاعاتی را سرقت کرده و به مدارک شناسایی مشتریان که در سیستم‌های قدیمی اوراکل نگهداری می‌شد، دسترسی یافته‌اند.

سایت‌های بلیپینگ کامپیوتر (BleepingComputer) و بلومبرگ (Bloomberg) در ماه‌های مارس و آوریل گزارش دادند که اوراکل در چندین مورد امنیتی به‌صورت خصوصی به مشتریان اطلاع‌رسانی کرده، اما از اعلام عمومی این موضوع خودداری کرده است.

اوراکل در یکی از ایمیل‌های ارسالی به مشتریان ادعا کرده که زیرساخت ابری اوراکل (OCI) هک نشده، اما هکر به نام‌های کاربری دو سرور منسوخ که هیچ‌گاه بخشی از این زیرساخت نبوده‌اند دسترسی پیدا کرده و آن‌ها را منتشر کرده است.

طبق این نامه، اف بی آی و شرکت امنیتی کراود استرایک (CrowdStrike) در حال بررسی این حادثه هستند.

ماجرا زمانی عمومی شد که هکری که گفته می‌شود عامل این حمله است، در شبکه‌های اجتماعی اقدام به خودنمایی کرده و اسناد سرقت‌شده را در فروم‌های مجرمان سایبری برای فروش گذاشت.

شرکت‌های امنیت سایبری از جمله کلاودسک (CloudSEK)، سایبل انجل (CybelAngel) و دیگران تأیید کردند که این هکر با نام «rose87168» در حال فروش ۶ میلیون سابقه استخراج‌شده از سیستم‌های ورود یگانه (Single Sign-On (SSO)) و ال دی ای پی (LDAP) اوراکل است؛ داده‌هایی که اطلاعات بیش از ۱۴۰ هزار مشتری را در مناطق و صنایع مختلف دربرمی‌گیرد.

بررسی‌های انجام‌شده توسط کلاودسک نشان داد که این داده‌ها شامل رمزهای عبور رمزنگاری‌شده، فایل‌های کلیدی و اطلاعات حساس دیگر بوده است.

طبق این گزارش، هکر مذکور از دیگر هکرها درخواست کمک برای رمزگشایی این مدارک کرده و همچنین مشتریان اوراکل را تهدید کرده که در ازای دریافت وجه، اطلاعات آن‌ها را حذف خواهد کرد.

روز چهارشنبه، آژانس امنیت سایبری و امنیت زیرساخت آمریکا (CISA) اعلام کرد که اگرچه دامنه این حادثه هنوز به‌طور دقیق مشخص نشده، اما ماهیت فعالیت‌های گزارش‌شده می‌تواند خطر بالقوه‌ای برای سازمان‌ها و افراد ایجاد کند؛ به‌ویژه در مواردی که مدارک شناسایی (credentials) در معرض افشا، استفاده مجدد در سیستم‌های غیرمرتبط یا قرارگیری در کدهای داخلی باشند.

این آژانس در ادامه بیان کرد:

وقتی مدارک شناسایی در کدها جاسازی شده باشند، شناسایی آن‌ها دشوار است و در صورت افشا می‌تواند به دسترسی غیرمجاز طولانی‌مدت منجر شود. افشای اطلاعات شناسایی مانند نام کاربری، ایمیل، رمز عبور، توکن‌های احراز هویت و کلیدهای رمزنگاری می‌تواند برای محیط‌های سازمانی بسیار خطرناک باشد.

آژانس همچنین هشدار داد که هکرها اغلب با استفاده از این نوع مدارک، سطح دسترسی خود را در شبکه‌ها افزایش می‌دهند، به سیستم‌های ابری و مدیریت هویت دسترسی پیدا می‌کنند، حملات فیشینگ و نفوذ به ایمیل‌های تجاری انجام می‌دهند، دسترسی به مدارک سرقتی را می‌فروشند و اطلاعات قبلی سرقت‌شده را برای حملات هدفمند غنی‌تر می‌کنند.

آژانس امنیت سایبری و امنیت زیرساخت از سازمان‌ها خواست رمز عبور تمام سرویس‌های تحت‌تأثیر را بازنشانی کرده، کد منبع را برای مشکلات احتمالی بررسی کنند، لاگ‌های احراز هویت را برای فعالیت‌های مشکوک پایش کنند، و هرگونه حادثه‌ای را به مقامات گزارش دهند.

اوراکل به این هشدار آژانس واکنشی نشان نداد.

حداقل سه مشتری اوراکل کلاود (Oracle Cloud) تأیید کرده‌اند که اطلاعات آن‌ها در میان داده‌های فاش‌شده وجود داشته است.