هم‌زمانی سه گروه هکری چینی در سوءاستفاده از آسیب‌پذیری‌های مایکروسافت

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، در مارس امسال، پژوهشگران در مسابقه Pwn2Own برلین دو آسیب‌پذیری خطرناک در شیرپوینت (SharePoint) مایکروسافت را نشان دادند؛ نرم‌افزاری که بسیاری از دولت‌ها و شرکت‌های بزرگ برای ذخیره اسناد محرمانه و احراز هویت داخلی از آن استفاده می‌کنند.

قرار بود یافته‌ها محرمانه به مایکروسافت گزارش و پیش از افشای عمومی وصله شوند، اما چهار ماه بعد مشخص شد که صدها سرور شیرپوینت در حملات گسترده‌ای که کمپین تول شل (ToolShell) نام گرفت، هک شده‌اند.

مایکروسافت اعلام کرد سه گروه چینی طوفان کتان (Linen Typhoon (APT27))، طوفان بنفش (Violet Typhoon (APT31)) و طوفان 2603 (Storm-2603)، هم‌زمان از این ضعف‌ها سوءاستفاده کرده‌اند؛ نکته‌ای که کارشناسان را نگران کرده، زیرا نشان می‌دهد عوامل مختلف چینی تقریباً هم‌زمان به اکسپلویت‌های عملیاتی دست یافته‌اند.

برخی تحلیلگران احتمال می‌دهند اطلاعات از طریق شرکت‌های چینی عضو برنامه دفاعی MAPP مایکروسافت به نهادهای دولتی چین منتقل شده باشد؛ زیرا طبق قانون، شرکت‌های چینی موظف‌اند پیش از اطلاع‌رسانی به تولیدکننده، آسیب‌پذیری‌ها را به دولت گزارش کنند.

مایکروسافت هشدار داد که هکرها حتی توانسته‌اند وصله اولیه را دور بزنند و دو ضعف جدید مرتبط نیز شناسایی شد.

گزارش‌ها نشان می‌دهد دست‌کم ۴۰۰ نهاد دولتی و تجاری در جهان از جمله سازمان‌های آمریکایی و اروپایی هدف قرار گرفته‌اند.

طوفان کتان و طوفان بنفش، اهداف سنتی جاسوسی سایبری مانند وزارتخانه‌ها، زیرساخت حیاتی و صنایع دفاعی را دنبال می‌کردند.

اما طوفان 2603 که با فعالیت‌های باج‌افزاری هم مرتبط است، انگیزه‌ای مبهم داشت و حملاتش ترکیبی از تاکتیک‌های جاسوسی و مالی بود.

الگوی مشاهده‌شده یادآور حملات پروکسی لوگان (ProxyLogon) در سال ۲۰۲۱ و حملات ایوانتی (Ivanti) در ۲۰۲۳ است که در آنها نیز چندین گروه چینی تقریباً به‌طور هم‌زمان یک آسیب‌پذیری را به‌کار گرفتند.

کارشناسان می‌گویند این هم‌سویی، نشانه‌ای از وجود سازوکار متمرکز در چین برای توزیع اکسپلویت‌ها در میان واحدهای نظامی، اطلاعاتی و حتی مجرمان سایبری است؛ الگویی که برای دفاع سایبری غرب بسیار نگران‌کننده است.