اسکن و بهره‌برداری از فایروال‌های سیسکو آسا توسط هکرهای چینی

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، تیم پاسخ‌گویی به رخدادهای امنیتی شرکت پالو آلتو نتوورکس (Palo Alto Networks) موسوم به واحد 42 (Unit 42)، روند هدف‌گیری دستگاه‌های دستگاه امنیتی تطبیقی سیسکو یا به اختصار، آسا (Cisco Adaptive Security Appliance (ASA)) را زیر نظر گرفته است؛ این دستگاه‌ها ابزارهای پرکاربردی هستند که دولت‌ها و شرکت‌های بزرگ از آن‌ها برای انجام هم‌زمان چندین وظیفه امنیتی در قالب یک سامانه واحد استفاده می‌کنند.

این تجهیزات علاوه بر نقش فایروال، وظایف دیگری مانند جلوگیری از نفوذ، فیلتر هرزنامه، اسکن آنتی‌ویروس و غیره را نیز بر عهده دارند.

در گزارشی که با وب‌سایت خبری ریکوردد فیوچر نیوز (Recorded Future News) به اشتراک گذاشته شده، واحد 42 حملات به دستگاه‌های سیسکو آسا (Cisco ASA) را به گروه تهدید چینی موسوم به طوفان 1849 (Storm-1849) نسبت داده است؛ گروهی که پیش‌تر شرکت سیسکو اعلام کرده بود از سال ۲۰۲۴ در حال حمله به این ابزارهاست.

پژوهشگران واحد 42 گزارش داده‌اند که در ماه اکتبر، حملات چینی‌ها علیه دستگاه‌های سیسکو آسا متعلق به مؤسسات مالی، پیمانکاران دفاعی و سازمان‌های نظامی آمریکا ادامه داشته است.

این گروه که با نام UAT4356 نیز شناخته می‌شود، معمولاً نهادهای دولتی، صنایع دفاعی و مؤسسات مالی را هدف قرار می‌دهد.

در این گزارش آمده است که بین اول تا هشتم اکتبر وقفه‌ای در فعالیت گروه وجود داشت که احتمالاً به‌دلیل تعطیلات هفته طلایی چین (Golden Week) بوده است.

پیت رنالز، مدیر برنامه‌های امنیت ملی در واحد 42، بیان کرد:

در طول ماه اکتبر، گروه طوفان-1849 به هدف‌گیری دستگاه‌های آسیب‌پذیر دولتی در لبه شبکه ادامه داد.

به گفته این تیم، فعالیت‌های اسکن و نفوذ این گروه ۱۲ آدرس آی پی متعلق به سازمان‌های فدرال آمریکا را هدف قرار داده است.

همچنین ۱۱ آدرس آی پی دیگر متعلق به نهادهای محلی و ایالتی آمریکا نیز در اکتبر هدف قرار گرفته‌اند.

علاوه بر سازمان‌های آمریکایی، آدرس‌های آی پی متعلق به دولت‌های هند، نیجریه، ژاپن، نروژ، فرانسه، بریتانیا، هلند، اسپانیا، استرالیا، لهستان، اتریش، امارات متحده عربی، جمهوری آذربایجان و بوتان نیز هدف حملات قرار گرفته‌اند.

حدود یک ماه پیش، آژانس امنیت سایبری و زیرساخت آمریکا (CISA) دستور اضطراری‌ای صادر کرد که به تمام سازمان‌های فدرال غیرنظامی دستور می‌داد تا آسیب‌پذیری‌های CVE-2025-30333 و CVE-2025-20362 را که دستگاه‌های سیسکو آسا را تحت تأثیر قرار می‌دهند، وصله کنند.

به گفته آژانس امنیت سایبری و زیرساخت، هکرها در جریان حملات خود از ترکیب این دو حفره امنیتی استفاده کرده‌اند و با وجود وصله‌های امنیتی، موفق شده‌اند دسترسی ماندگار به دستگاه‌ها حفظ کنند؛ به‌گونه‌ای که حتی پس از راه‌اندازی مجدد یا به‌روزرسانی سیستم‌ها همچنان دسترسی‌شان برقرار مانده است.

به سازمان‌های دولتی تنها یک روز مهلت داده شده بود تا وصله‌ها را نصب کنند، زیرا به گفته آژانس، هکرها در حال بهره‌برداری از این آسیب‌پذیری‌ها با «سهولت نگران‌کننده» بودند.

شرکت سیسکو در گزارشی اعلام کرد که در می ۲۰۲۵ با چندین نهاد دولتی همکاری کرده تا حملات هدف‌گیرنده دستگاه‌های سری آسا 5500-ایکس (ASA 5500-X Series) که از نرم‌افزار سیسکو سکیور فایروال آسا (Cisco Secure Firewall ASA) با خدمات وی پی ان (VPN) وب استفاده می‌کردند را بررسی کند.

رنالز افزود:

با وجود هشدارهای امنیتی و دستورات اضطراری صادرشده در ماه گذشته که بر ضرورت حیاتی وصله‌کردن تأکید داشت، این گروه بدون هیچ‌گونه بازدارندگی به فعالیت‌های خود ادامه داده است. در حالی‌که گروه‌هایی مانند طوفان نمک و طوفان ولت همچنان تهدیدی فعال محسوب می‌شوند، گروه‌های جدیدتری مانند طوفان-1849 نیز به‌سرعت در حال گسترش فعالیت‌های خود و کسب شهرت جهانی هستند.

آژانس امنیت سایبری و زیرساخت ایالات متحده به‌صورت رسمی منشاء حملات را مشخص نکرد، اما این سازمان اعلام کرد که حملات مربوط به همان هکرهای دولتی پشت کمپین آرکین دور (ArcaneDoor) است که سال گذشته کشف شد.

هرچند آژانس امنیت سایبری و زیرساخت و سیسکو حملات سال ۲۰۲۵ را به‌طور رسمی به چین نسبت نداده‌اند، اما شرکت پژوهشی امنیت سایبری سنسیس (Censys) در بررسی آی پی های مرتبط با کمپین آرکین دور سال ۲۰۲۴ به داده‌هایی دست یافته که «نشانگر احتمال دخالت یک عامل مستقر در چین» است؛ از جمله ارتباط با چند شبکه بزرگ چینی و استفاده از نرم‌افزارهای ضدسانسور ساخت چین.

آژانس امنیت سایبری و زیرساخت و سیسکو به درخواست‌ها برای اظهارنظر پاسخ نداده‌اند.