انتشار شده در تاریخ 1401/12/27 - 10:07

سو استفاده هکرهای چینی از آسیب پذیری روز صفر فورتینت در کمپین جاسوسی

بر اساس یک گزارش جدید، یک گروه هکری مشکوک تحت حمایت دولتی مستقر در چین از آسیب‌پذیری‌های روز صفر سوء استفاده کرده و بدافزارهای سفارشی را برای جاسوسی از سازمان‌های دفاعی، دولتی، فناوری و مخابراتی مستقر کرده است.

به گزارش کارگروه امنیت خبرگزاری سایبربان، شرکت امنیت سایبری ماندیانت (Mandiant) می گوید که در سال‌های اخیر، ده‌ها مورد نفوذ را بررسی کرده است که در آن گروه‌های مرتبط با چین از این تکنیک‌ها برای سرقت اطلاعات کاربری و حفظ دسترسی طولانی‌مدت به دستگاه‌های قربانیان استفاده کرده‌اند.
یک گروه که توسط ماندیانت با نام یو ان سی 3886 (UNC3886) ردیابی شده است، در چندین حمله در اواسط سال 2022 مشاهده شده است که سیستم‌های امنیتی شبکه، فایروال‌ها و فناوری‌های مجازی‌سازی را هدف قرار می‌داده که رایانه‌ها را قادر می‌ساخته تا چندین سیستم عامل و برنامه را به طور همزمان اجرا کنند.
این گروه از درهای پشتی در سیستم های فورتینت (Fortinet) و وی ام ور (VMware) برای حمله به دستگاه های قربانیان استفاده می کند. چارلز کارماکال، مدیر ارشد فنی ماندیانت به خبرگزاری ریکورد (The Record) می گوید که محققان نزدیک به 10 قربانی را در صنایع دفاع، فناوری و مخابرات در ایالات متحده، اروپا و آسیا شناسایی کرده اند که تحت تأثیر این حملات قرار گرفته اند.
بر اساس تحقیقات مشترک ماندیانت و فورتینت، هکرها بدافزار خود را در چندین سیستم فورتینت مستقر کرده اند.
گروه هکری ابتدا به دستگاه مدیریت متمرکز فورتینت، یعنی فورتی منیجر (FortiManager) که از طریق اینترنت قابل دسترسی است، دسترسی پیدا کرده و سپس از آسیب‌پذیری روز صفر CVE-2022-41328 استفاده کرده است. این اشکال با شدت بالا در اوایل ماه مارس توسط فورتینت کشف و اصلاح شد. این آسیب پذیری به هکرها اجازه می‌داد کدهای مخرب را اجرا کرده و بارهای بدافزار را روی دستگاه‌های فایروال فورتی‌گیت اصلاح‌نشده اجرا کنند.
محققان این حمله را بر اساس انتخاب قربانی و استفاده از تکنیک‌ها و بدافزارهایی که قبلاً توسط هکرهای وابسته به چین استفاده می‌شد، ردیابی کرده اندند. گروه یو ان سی 3886 با یک چارچوب بدافزار جدید مرتبط است که توسط ماندیانت در سپتامبر 2022 فاش شده بود.
این بدافزار بر دستگاه‌های شبکه مانند وی ام ور ای اس اکس آی (VMware ESXi)، سرورهای وی سنتر لینوکس (Linux vCenter) و ماشین‌های مجازی ویندوز تأثیر می گذارد.
این دومین باگ فورتینت است که مشکوک به سوء استفاده توسط هکرهای مرتبط با چین است که این شرکت به طور مشترک با ماندیانت کشف کرده است. در ماه ژانویه، ماندیانت درباره حمله دیگری که نرم افزار فایروال فورتینت را هدف قرار می داد، هشدار داد و آن را به یک گروه چینی غیر مرتبط با یو ان سی 3886 نسبت داد.
ماندیانت، یو ان سی 3886 را یک گروه جاسوسی سایبری پیشرفته با قابلیت‌های منحصربه‌فرد می نامد. به گفته برد اسلیباگ، مشاور اصلی ماندیانت، در حمله اخیر، این گروه از تکنیک های مختلفی برای جلوگیری از شناسایی استفاده می کند.
به عنوان مثال، آنها یک فایل سیستمی واقعی را دستکاری کرده اند تا بررسی های تأیید امضای دیجیتال را در هنگام راه اندازی سیستم غیرفعال کنند. اسلایباگ به ریکورد می گوید، آنها همچنین خدمات ثبت و فایل های سابقه را خاموش کرده اند و ورودی های گزارش مرتبط با فعالیت خود را به طور انتخابی پاک کرده اند.
این شرکت می گوید که فعالیت اخیر آنها آسیب پذیری سیستم های در معرض اینترنت مانند فایروال ها، دستگاه های هوشمند و فناوری های وی پی ان را که از نرم افزار امنیتی تشخیص و پاسخ نقطه پایانی (EDR) در برابر حملات سایبری پشتیبانی نمی کنند، برجسته می کند.
ماندیانت در گزارش سپتامبر خود می نویسد:

از آنجایی که راه حل‌های تشخیص و پاسخ نقطه پایانی، کارایی تشخیص بدافزار را در سیستم‌های ویندوز بهبود می‌بخشد، برخی از عوامل تهدید تحت حمایت دولت به سمت توسعه و استقرار بدافزار روی سیستم‌هایی رفته‌اند که عموماً از تشخیص و پاسخ نقطه پایانی پشتیبانی نمی‌کنند.

به گفته ماندیانت، بررسی چنین حوادثی سخت تر است، زیرا بسیاری از دستگاه های شبکه ابزاری برای تشخیص تغییرات ایجاد شده در سیستم عامل در حین کار ندارند. برای به دست آوردن شواهد، محققان ممکن است نیاز داشته باشند که از سازنده برای جمع آوری تصاویر سیستم کمک بخواهند.
در حالی که تکنیک مورد استفاده توسط یو ان سی 3886 نیازمند سطح عمیق تری از درک نحوه عملکرد دستگاه های شبکه است، ماندیانت پیش بینی می کند که سایر عوامل تهدید سعی خواهند کرد ابزارهای مشابهی برای حملات آینده بسازند.