نفوذ هکرهای چینی به نرم‌افزارهای مجازی‌سازی

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، این موضوع در گزارشی تحلیلی از شرکت امنیت سایبری سیگنیا (Sygnia) مطرح شده است.

این هکرها، نرم‌افزارهای مجازی‌سازی VMware ESXi را هدف قرار داده‌اند.

این نوع نرم‌افزارها ماشین‌های مجازی را برای شبکه‌های سازمانی مدیریت و میزبانی می‌کنند.

مهاجمان از ابزارهای اختصاصی استفاده می‌کنند که دسترسی دائمی فراهم می‌کنند و در عین حال از شناسایی توسط سامانه‌های متداول امنیتی مانند سیستم‌های تشخیص و پاسخ به تهدیدات (EDR) اجتناب می‌ورزند.

سیگنیا این کارزار را با نام مورچه آتشین (Fire Ant) ردیابی می‌کند؛ نامی که با گروه UNC3886 شباهت‌هایی دارد، بر اساس آنچه رئیس منطقه‌ای پاسخ به حوادث سیگنیا به‌عنوان تعاملاتی «منحصربه‌فرد» توصیف کرده است.

این اقدامات پس از آن مطرح می‌شود که وزیر امنیت ملی سنگاپور، کاسیویسواناتان شانموگام، فعالیت‌های جاسوسی UNC3886 را برجسته و بیان کرد که این گروه مسئول مجموعه‌ای از رخدادها بوده که زیرساخت‌های حیاتی کشور را هدف قرار داده‌اند.

شانموگام اظهار کرد:

هدف این عامل تهدید در حمله به سنگاپور کاملاً مشخص است. آن‌ها زیرساخت‌های راهبردی و حیاتی را که خدمات اساسی ارائه می‌دهند، هدف قرار داده‌اند.

هرچند دولت سنگاپور به‌طور مستقیم به چین اشاره نکرد، اما سفارت چین در واکنش این اتهامات را بی‌اساس و بدخواهانه خواند.

یوآو مازور، رئیس پاسخ به حوادث سیگنیا در منطقه آسیا-اقیانوسیه و ژاپن که خود در سنگاپور مستقر است، به خبرگزاری ریکوردد فیوچر نیوز (Recorded Future News) گفت که گزارش شرکت او مبتنی بر نهادهای خاصی که وزیر به آن‌ها اشاره کرده نبود، اما پژوهش آن‌ها درباره مورچه آتشین، به وضوح با همان کارزاری که شانموگام از آن سخن گفته، مطابقت دارد.

تحلیل‌گران بر این باورند که این حملات به‌احتمال زیاد تحت حمایت دولتی هستند، به دلیل پنهان‌کاری و پیچیدگی بالای عاملان و اهداف حساس آن‌ها.

سال گذشته گوگل، گروه UNC3886 را پیشرفته، محتاط و گریزپذیر توصیف کرد و هشدار داد که این گروه در تلاش است سازمان‌های راهبردی برجسته در سطح جهانی را هدف قرار دهد.

گوگل همچنین UNC3886 را با کارزاری در سال گذشته مرتبط دانست که در آن درب‌های پشتی اختصاصی بر روی روترهای شبکه‌ای جونیپر (Juniper) نصب می‌شد.

این گروه عمدتاً بر سازمان‌های دفاعی، فناوری و مخابراتی در ایالات متحده و آسیا متمرکز بوده است.

پیش‌تر نیز UNC3886 به نفوذهایی در سیستم‌های فورتینت (Fortinet) و وی ام ور (VMware) برای جاسوسی از سازمان‌های دولتی، دفاعی، فناوری و مخابراتی مرتبط دانسته شده بود.

مازور تأکید کرد که مهاجمان به‌طور قطعی به دنبال اطلاعات راهبردی هستند و افزود که سیگنیا گزارش فنی خود را برای هشدار درباره خطر جهانی نفوذ در سطح هایپروایزر منتشر کرده است.

او اشاره کرد که فعالیت‌های مورچه آتشین بسیار فراتر از منطقه آسیا-اقیانوسیه گسترش یافته است.

مازور تعاملات متعدد سیگنیا با این حملات را «منحصربه‌فرد» توصیف کرد.

او تاکید کرد:

معمولاً در یک بررسی قانونی، ما به بررسی رخدادهایی می‌پردازیم که قبلاً اتفاق افتاده‌اند، وظیفه‌مان این است که مشکل را شناسایی و برطرف کنیم، و بعد به سراغ مورد بعدی برویم. اما در این رخدادهای خاص، پس از آن‌که متوجه شدیم با چه عاملی طرف هستیم، وظیفه عملیاتی بیرون راندن او از سیستم مطرح شد. فرآیند پاکسازی طولانی و پیچیده بود. وقتی سعی می‌کردیم یک مسیر نفوذ را ببندیم، عامل تهدید از مسیر دیگری استفاده می‌کرد تا راه نفوذ تازه‌ای ایجاد کند.

وی افزود که این اقدامات به تعاملاتی عملیاتی تبدیل شدند که در آن‌ها تیم باید فعالیت‌های مهاجم را در همان زمان ردیابی می‌کرد تا در نهایت بتواند آن‌ها را از شبکه خارج کند.

او در پایان توضیح داد:

بسیاری اوقات، وقتی مهاجم متوجه می‌شود که ما سعی در حذف او داریم، عقب‌نشینی می‌کند تا بعداً بازگردد. اما در این مورد، به‌نظر نمی‌رسید که مهاجم چنین رفتاری داشته باشد. آن‌ها ابزارهایشان را تغییر دادند، در برخی موارد از ابزارهایی استفاده کردند که قبلاً ندیده بودیم، اما کاملاً مشخص بود که درگیر یک رقابت عملیاتی بودند.