انتشار شده در تاریخ 1404/05/06 - 10:15

ادعای رونمایی از کمپین جاسوسی سایبری توسط شرکت اسرائیلی سیگنیا

سیگنیا ادعا کرد که از یک کمپین جاسوسی مداوم پرده برداشته که زیرساخت‌های مجازی را هدف قرار می‌دهد.

به گزارش کارگروه تروریسم سایبری سایبربان؛ شرکت امنیت سایبری اسرائیلی سیگنیا (Sygnia) یافته‌های تحقیقات خود در مورد یک کمپین جاسوسی سایبری طولانی مدت مرتبط با یک عامل تهدید وابسته به چین را منتشر کرد. این کمپین که شرکت آن را «Fire Ant» نامیده است، بر هدف قرار دادن زیرساخت‌های حیاتی از طریق تکنیک‌های پیشرفته نفوذ با هدف قرار دادن محیط‌های شبکه مجازی و بخش‌بندی شده تمرکز دارد.

به گفته سیگنیا، Fire Ant از اوایل سال 2025 فعال بوده و حوادث آن عمدتاً شامل سیستم‌های «VMware ESXi» و «vCenter» و همچنین لوازم مختلف شبکه بوده است. طبق گزارش‌ها، این عامل تهدید از زنجیره‌های حمله چند لایه برای دسترسی به محیط‌هایی که به طور سنتی ایزوله در نظر گرفته می‌شوند، استفاده می‌کند و ماندگاری طولانی مدت در سیستم‌های آسیب‌دیده ایجاد می‌کند.

تاکتیک‌های این گروه شامل هدف قرار دادن نقاط کور در نظارت امنیتی سنتی، از جمله لایه «hypervisor» و دستگاه‌های بخش‌بندی شبکه است. تیم‌های واکنش به حادثه سیگنیا مشاهده کردند که Fire Ant اغلب با تلاش‌های حذف سازگار می‌شود، مجموعه ابزارها را جایگزین و برای حفظ دسترسی، حتی در طول راه‌اندازی مجدد سیستم، از درهای پشتی اضافی استفاده می‌کند. این گروه همچنین پیکربندی‌های شبکه را برای ورود مجدد به محیط‌های آسیب‌دیده، علیرغم تلاش‌های مهار، دستکاری می‌کند.

یوآو مازور (Yoav Mazor)، رئیس بخش واکنش به حوادث سیگنیا در آسیا-اقیانوسیه و ژاپن، اظهار داشت که تمرکز این عامل تهدید بر زیرساخت مجازی‌سازی به آنها اجازه می‌دهد تا اعتبارنامه‌های حساب‌های سرویس را استخراج کنند و در سرورهای میزبان و مدیریت باقی بمانند. این رویکرد امکان حرکت جانبی در شبکه‌های قربانی را فراهم و در عین حال از ابزارهای تشخیص مرسوم فرار می‌کند.

این کمپین چالش‌های موجود در ایمن‌سازی زیرساخت‌های مجازی را برجسته می‌کند، زیرا فعالیت Fire Ant اغلب توسط اقدامات امنیتی متمرکز بر نقطه پایانی شناسایی نمی‌شود. به گفته محققان، این گروه در بخش‌های شبکه تونل ایجاد و از مسیرهای قابل اعتماد برای تعمیق دسترسی خود در معماری داخلی یک سازمان استفاده می‌کند.

به عنوان بخشی از تحقیقات خود، سیگنیا همپوشانی‌هایی بین Fire Ant و کمپین‌های قبلاً مستند شده مرتبط با گروهی به نام «UNC3886» شناسایی کرد. این موارد شامل استفاده از فایل‌های باینری مشابه، سوءاستفاده از آسیب‌پذیری‌های vCenter و ESXi و هدف قرار دادن مداوم زیرساخت‌های حیاتی است. UNC3886 با عملیات‌های سایبری در مناطقی از جمله سنگاپور مرتبط بوده است.

سیگنیا به سازمان‌ها توصیه کرد که دید خود را نسبت به لایه‌های مجازی‌سازی و شبکه خود افزایش دهند و رویکردی چند لایه برای تشخیص و پاسخ اتخاذ کنند، به ویژه در زیرساخت‌هایی که ابزارهای امنیتی سنتی ممکن است دسترسی محدودی داشته باشند.