انتشار شده در تاریخ 1404/05/07 - 12:31

متهم شدن هکرهای چینی به سوءاستفاده از آسیب‌پذیری‌های نرم‌افزاری

کارشناسان معتقدند که هکرهای چینی از آسیب‌پذیری‌های نرم‌افزاری برای نفوذ به سیستم‌های هدف استفاده می‌کنند.

به گزارش کارگروه امنیت سایبربان؛ مقررات امنیت سایبری در حال تحول چین، چشم‌انداز جهانی افشای آسیب‌پذیری‌های نرم‌افزاری را تغییر شکل و کنترل دولت بر نقص‌های تازه کشف‌شده را به طرز چشمگیری گسترش می‌دهد.

طبق مقررات مدیریت آسیب‌پذیری‌های امنیتی محصولات شبکه (RMSV)، که در سپتامبر 2021 تصویب شد، شرکت‌های فعال در چین باید آسیب‌پذیری‌های نرم‌افزاری را ظرف 48 ساعت پس از کشف به وزارت صنعت و فناوری اطلاعات (MIIT) گزارش دهند.

این چارچوب جدید، افشای عمومی یا انتشار اثبات مفهوم را قبل از ارائه پچ ممنوع می‌کند، مگر اینکه با مالک محصول و دولت هماهنگ شده باشد و تضمین می‌کند که تنظیم‌کننده‌ها قبل از اینکه آسیب‌پذیری‌ها به اطلاع عموم برسند، دریچه‌ای زودهنگام به آسیب‌پذیری‌ها داشته باشند.

این رویکرد متمرکز در تضاد کامل با روش غیرمتمرکز و داوطلبانه ایالات متحده است، که در آن محققان و شرکت‌ها می‌توانند آسیب‌پذیری‌ها را آزادانه برای شرکت‌ها یا از طریق پلتفرم‌های عمومی افشا کنند.

با این حال، در چین، این اکتشافات ابتدا به وزارت صنعت و فناوری اطلاعات ارسال می‌شوند که متعاقباً داده‌ها را با تیم فنی واکنش اضطراری شبکه رایانه‌ای ملی/مرکز هماهنگی چین (CNCERT/CC) و وزارت امنیت عمومی (MPS) به اشتراک می‌گذارد. این زنجیره از فعالیت‌های سایبری دفاعی و عملیات‌های تهاجمی بالقوه پشتیبانی می‌کند.

نهادهایی با مأموریت‌های تهاجمی، از جمله اداره سیزدهم وزارت امنیت کشور (MSS)، پیمانکاران مرتبط با دولت و مراکز تحقیقاتی دانشگاهی مرتبط با کمپین‌های هک نظامی، می‌توانند به آسیب‌پذیری‌های نرم‌افزاری پچ‌نشده دسترسی پیشرفته پیدا کنند.

این دسترسی، مونتاژ سریع ابزارهای بهره‌برداری را برای به خطر انداختن سیستم‌های هدف و افزایش اثربخشی عملیاتی در عملیات‌های سایبری، امکان‌پذیر می‌سازد.

تغییر در قوانین افشا

آمار رسمی نشان می‌دهد که ۱۵۱ شرکت خصوصی امنیت سایبری، با استخدام حداقل ۱۱۹۰ محقق، سالانه نزدیک به ۲۰۰۰ آسیب‌پذیری نرم‌افزاری را به وزارت امنیت کشور چین ارائه می‌دهند که بیش از صد مورد از آنها بحرانی تلقی می‌شوند.

وزارت صنعت و فناوری اطلاعات چین با کمک‌های تحقیقاتی، کشف آسیب‌پذیری را بیشتر تشویق و جریان مداوم سوءاستفاده‌های جدید را تضمین می‌کند.

از زمان تصویب این مقررات، تحلیلگران شاهد کاهش شدید افشای عمومی آسیب‌پذیری‌های سیستم کنترل صنعتی (ICS) بوده‌اند؛ تنها 10 آسیب‌پذیری سیستم‌های کنترل صنعتی (ICS) در سال ۲۰۲۲ منتشر شد، درحالی‌که این رقم در سال‌های قبل از آن صدها مورد بود که نشان‌دهنده‌ی تغییر استراتژیک در جریان اطلاعات و شکاف فزاینده بین تعداد آسیب‌پذیری‌های کشف‌شده و افشاشده است.

برای شرکت‌های خارجی، رعایت قوانین چین چالش‌های بیشتری ایجاد می‌کند. حداقل برخی شرکت‌های چندملیتی اکنون یافته‌های آسیب‌پذیری داخلی خود را به نهادهای نظارتی چین ارائه می‌دهند که اغلب بدون دید متقابل نسبت به آسیب‌پذیری‌های کشف‌شده توسط دیگران در چین مربوط به محصولات خودشان است.

این امر آنها را از اطلاعات به موقع محروم و در عین حال به طور بالقوه زرادخانه‌های سایبری دشمن را تقویت می‌کند. با تجمیع افشای داوطلبانه و اجباری و به اشتراک‌گذاری آنها بین چندین نهاد دولتی، دستگاه دفاع و اطلاعات سایبری چین می‌تواند استفاده تهاجمی و دفاعی از آسیب‌پذیری‌ها را در اولویت قرار دهد و گاهی اوقات برای حفظ مزیت عملیاتی، انتشار را به تعویق می‌اندازد.

در عین حال، گزارش‌ها حاکی از افزایش قابل توجه آسیب‌پذیری‌های روز صفر مورد سوءاستفاده توسط بازیگران مرتبط با دولت چین از زمان اجرای مقررات مدیریت آسیب‌پذیری‌های امنیتی محصولات شبکه است.

پلتفرم اشتراک‌گذاری اطلاعات تهدید و آسیب‌پذیری امنیت سایبری وزارت صنعت و فناوری اطلاعات چین، ضمن ارائه پشتیبانی اصلاحی به شرکت‌های داخلی، نظارت بر مدیریت آسیب‌پذیری و احتمالاً مشارکت عمیق‌تر در پایگاه‌های کد بخش خصوصی را تقویت می‌کند. این وضعیت متمرکز نه تنها مانع دفاع ملی را افزایش می‌دهد، بلکه قابلیت‌های نظارتی و هک تهاجمی دولت را نیز تقویت می‌کند.

کارشناسان معتقدند که اگرچه چین همچنان آسیب‌پذیری‌های نرم‌افزاری را به عنوان منابع استراتژیک حیاتی در نظر می‌گیرد، اما اکوسیستم سایبری جهانی باید با پیامدهای امنیتی بلندمدت این تغییر در مدیریت آسیب‌پذیری‌ها دست و پنجه نرم کند.