هشدار آژانس امنیت سایبری آمریکا درباره آخرین آسیب‌پذیری ایوانتی

به گزارش کارگروه بین الملل خبرگزاری سایبربان، طبق گزارش کارشناسان آژانس امنیت سایبری و امنیت زیرساخت‌ها (CISA)، هکرهای چینی که پشت حملات دسامبر و ژانویه به ابزارهای شرکت ایوانتی (Ivanti) قرار داشتند، بدافزاری به نام ریسرج (Resurge) را برای این حملات به کار گرفته‌اند.

در گزارش تحلیلی جدید آژانس امنیت سایبری و امنیت زیرساخت‌ها، بدافزار ریسرج مشابه چندین نمونه‌ی مخرب دیگر شناسایی شده توسط گوگل و مقامات امنیتی ژاپن توصیف شده است.

اما این بدافزار شامل دستورات خاصی است که می‌تواند چک‌های یکپارچگی سیستم را تغییر دهد، فایل‌ها را اصلاح کند، اعتبارنامه‌های ورود را استخراج کند، حساب‌های جدید ایجاد کند، رمزهای عبور را بازنشانی کند، و سطوح دسترسی را افزایش دهد.

تحلیلگران آژانس امنیت سایبری و امنیت زیرساخت‌ها سه فایل آلوده را از یک دستگاه اتصال ایمن ایوانتی (Ivanti Connect Secure) در یک زیرساخت حیاتی استخراج کردند.

مهاجمان از طریق یک آسیب‌پذیری شناخته‌شده با کد CVE-2025-0282 وارد سیستم شده بودند.

علاوه بر ریسرج، محققان نوع دوم بدافزار را یافتند که لاگ‌های سیستم ایوانتی را دستکاری می‌کند.

نوع سوم نیز به مهاجمان امکان اجرای سایر عملیات در دستگاه‌های آسیب‌دیده را می‌دهد.

آسیب‌پذیری CVE-2025-0282 علاوه بر اتصال ایمن، محصولات پالیسی سکیور (Policy Secure) و زی تی ای گیت وی (ZTA Gateway) شرکت ایوانتی را نیز تحت تأثیر قرار می‌دهد.

آژانس امنیت سایبری و امنیت زیرساخت‌ها در تاریخ ۸ ژانویه تأیید کرد که این نقص امنیتی مورد سوءاستفاده قرار گرفته است.

آژانس امنیت سایبری و امنیت زیرساخت‌ها اقدامات امنیتی پیشنهادی را ارائه داده است که عبارتند از بازنشانی کارخانه‌ای دستگاه‌های ایوانتی، تغییر رمزهای عبور و اعتبارنامه‌های همه حساب‌ها، و تماس با مقامات امنیتی در صورت احتمال آلودگی.

کارشناسان امنیتی ماندیانت (Mandiant)، زیرمجموعه گوگل، اعلام کردند که هکرهای وابسته به دولت چین پشت این حملات قرار دارند.

محققان ماندیانت و مقامات ژاپنی این خانواده بدافزاری را اسپان (Spawn) نام‌گذاری کرده‌اند.

مت لین از شرکت ماندیانت در مصاحبه‌ای گفت که تحقیقات آژانس امنیت سایبری و امنیت زیرساخت‌ها یافته‌های آن‌ها را درباره حملات بدافزاری مشابه از دسامبر ۲۰۲۴ تأیید کرده است.

وی افزود:

نمونه بدافزاری که در گزارش آژانس امنیت سایبری و امنیت زیرساخت‌ها توصیف شده است، قابلیت‌ها و ویژگی‌های تقریباً مشابهی با خانواده اسپان دارد، اما با روش بسته‌بندی و انتشار متفاوتی ارائه شده است.

گروه جاسوسی سایبری مظنون به دولت چین، پیش از این نیز دو آسیب‌پذیری دیگر در وی پی ان اتصال ایمن ایوانتی را از دسامبر ۲۰۲۳ هدف قرار داده بود.

بدافزار اسپان به مهاجمان کمک می‌کند دسترسی مداوم به سیستم‌های آلوده را حفظ کنند و یک درب پشتی (Backdoor) برای ورود به دستگاه‌های آلوده فراهم می‌کند.

از قابلیت‌های بدافزار اسپان می‌توان به امکان بقا حتی پس از به‌روزرسانی‌های امنیتی، مخفی ماندن از سیستم‌های تشخیص تهدید (EDR)، و جعل امضای دیجیتال برای دور زدن ابزارهای بررسی یکپارچگی سیستم اشاره کرد.

یکی از نگرانی‌های اصلی در حملات ژانویه، ابزار بررسی یکپارچگی سیستم (ICT) در ایوانتی بود.

مشتریان ایوانتی می‌توانستند با استفاده از این ابزار تشخیص دهند که آیا مورد حمله قرار گرفته‌اند یا خیر، اما بدافزار اسپان با ایجاد امضای دیجیتال جعلی، نتایج این ابزار را دستکاری می‌کرد.

آژانس امنیت سایبری و امنیت زیرساخت‌ها از ۲۰۲۰ تاکنون بارها درباره سوءاستفاده هکرهای مرتبط با دولت چین از آسیب‌پذیری‌های ایوانتی هشدار داده است.

در آوریل ۲۰۲۱، این آژانس تأیید کرد که هکرها به سیستم‌های چندین آژانس دولتی آمریکا، زیرساخت‌های حیاتی و شرکت‌های خصوصی نفوذ کرده‌اند.

شرکت ماندیانت این حملات را به هکرهای دولتی چین نسبت داده است.

پس از موجی از حملات سایبری گسترده در آوریل گذشته که سیستم‌های دولتی ایالات متحده و اروپا را هدف قرار داد، ایوانتی متعهد به بازنگری در سیاست‌های امنیتی خود شد.