برای بازنویسی مجدد این مقاله، از نمایه من دیدن کنید، سپس داستان‌های ذخیره شده را مشاهده کنید .
برای بازنویسی مجدد این مقاله، از نمایه من دیدن کنید، سپس داستان‌های ذخیره شده را مشاهده کنید .

برای بازنویسی مجدد این مقاله، از نمایه من دیدن کنید، سپس داستان‌های ذخیره شده را مشاهده کنید .
برای بازنویسی مجدد این مقاله، از نمایه من دیدن کنید، سپس داستان‌های ذخیره شده را مشاهده کنید .
مقامات دولتی ایالات متحده، بریتانیا و استرالیا روز چهارشنبه هشدار دادند که سازمان‌های مسئول زیرساخت‌های حیاتی در ایالات متحده در تیررس هکرهای دولتی ایران هستند که از آسیب‌پذیری‌های شناخته شده در محصولات شرکت‌های مایکروسافت و فورتی نت سوء استفاده می‌کنند.
این داستان در اصل در Ars Technica ، یک منبع قابل اعتماد برای اخبار فناوری، تجزیه و تحلیل سیاست های فناوری، بررسی ها و موارد دیگر ظاهر شد. Ars متعلق به شرکت مادر WIRED، Condé Nast است.
در یک مشاوره مشترک که روز چهارشنبه منتشر شد، آمده است که یک گروه هک تهدید دائمی پیشرفته و همسو با دولت ایران از آسیب‌پذیری‌های موجود در Microsoft Exchange و FortiOS Fortinet بهره‌برداری می‌کند، که اساس پیشنهادات امنیتی این شرکت را تشکیل می‌دهد. همه آسیب‌پذیری‌های شناسایی‌شده اصلاح شده‌اند، اما همه کسانی که از محصولات استفاده می‌کنند، به‌روزرسانی‌ها را نصب نکرده‌اند. این مشاوره توسط FBI، آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده، مرکز امنیت سایبری ملی بریتانیا و مرکز امنیت سایبری استرالیا منتشر شده است.
در این توصیه نامه آمده است: «بازیگران APT تحت حمایت دولت ایران به طور فعال طیف گسترده ای از قربانیان را در چندین بخش زیرساختی حیاتی ایالات متحده، از جمله بخش حمل و نقل و بخش مراقبت های بهداشتی و بهداشت عمومی، و همچنین سازمان های استرالیا، هدف قرار می دهند. «FBI، CISA، ACSC و NCSC بازیگرانی را ارزیابی می‌کنند که به جای هدف قرار دادن بخش‌های خاص، بر روی بهره‌برداری از آسیب‌پذیری‌های شناخته شده متمرکز هستند. این بازیگران APT تحت حمایت دولت ایران می‌توانند از این دسترسی برای عملیات‌های بعدی، مانند استخراج یا رمزگذاری داده‌ها، باج‌افزار، و اخاذی استفاده کنند.»
در این مشاوره آمده است که FBI و CISA این گروه را از آسیب‌پذیری‌های Fortinet حداقل از ماه مارس و از آسیب‌پذیری‌های Microsoft Exchange حداقل از اکتبر برای دستیابی به دسترسی اولیه به سیستم‌ها مشاهده کرده‌اند. سپس هکرها عملیات های بعدی را آغاز می کنند که شامل استقرار باج افزار می شود.
در ماه مه، مهاجمان شهرداری ناشناس ایالات متحده را هدف قرار دادند، جایی که احتمالاً یک حساب کاربری با نام کاربری "elie" برای نفوذ بیشتر به شبکه در معرض خطر ایجاد کردند. یک ماه بعد، آنها یک بیمارستان مستقر در ایالات متحده را هک کردند که متخصص مراقبت های بهداشتی برای کودکان بود. حمله اخیر احتمالاً شامل سرورهای مرتبط با ایران در 91.214.124[.]143، 162.55.137[.]20، و 154.16.192[.]70 بود.
ماه گذشته، بازیگران APT از آسیب‌پذیری‌های Microsoft Exchange که به آنها دسترسی اولیه به سیستم‌ها را قبل از عملیات بعدی می‌داد، سوء استفاده کردند. مقامات استرالیایی گفتند که این گروه را نیز مشاهده کردند که از نقص بورس استفاده می کند.
هکرها ممکن است حساب های کاربری جدیدی در کنترل کننده های دامنه، سرورها، ایستگاه های کاری و دایرکتوری های فعال شبکه هایی که به خطر انداخته اند ایجاد کرده باشند. به نظر می‌رسد برخی از حساب‌ها از حساب‌های موجود تقلید می‌کنند، بنابراین نام‌های کاربری اغلب از سازمان هدف به سازمان هدف متفاوت است. در این توصیه نامه آمده است که پرسنل امنیت شبکه باید حساب های ناشناخته را با توجه ویژه به نام های کاربری مانند Support، Help، elie و WADGUtilityAccount جستجو کنند.
این توصیه یک روز پس از آن منتشر شد که مایکروسافت گزارش داد که یک گروه همسو با ایران که آن را فسفر می نامد به طور فزاینده ای از باج افزار برای درآمدزایی یا ایجاد اختلال در دشمنان استفاده می کند. مایکروسافت افزود که این گروه از "حملات تهاجمی با نیروی بی رحم" به اهداف استفاده می کند.
مایکروسافت گفت در اوایل سال جاری، فسفر میلیون‌ها آدرس IP را در جستجوی سیستم‌های FortiOS که هنوز اصلاحات امنیتی CVE-2018-13379 را نصب نکرده بودند، اسکن کرد. این نقص به هکرها این امکان را می‌دهد تا اعتبارنامه‌های متن شفافی را که برای دسترسی از راه دور به سرورها استفاده می‌شوند، جمع‌آوری کنند. فسفر در نهایت به جمع آوری اعتبار از بیش از 900 سرور Fortinet در ایالات متحده، اروپا و اسرائیل منجر شد.
اخیراً، فسفر به اسکن برای سرورهای Exchange داخلی آسیب‌پذیر در برابر CVE-2021-26855، CVE-2021-26857، CVE-2021-26858، و CVE-2021-27065، مجموعه‌ای از نقص‌های ProShxy تغییر یافته است. . مایکروسافت در ماه مارس این آسیب پذیری ها را برطرف کرد.
مایکروسافت گفت: "وقتی آنها سرورهای آسیب پذیر را شناسایی کردند، فسفر به دنبال پایداری در سیستم های هدف بود." در برخی موارد، بازیگران یک Plink runner به نام MicrosoftOutLookUpdater.exe را دانلود کردند . این فایل به صورت دوره‌ای از طریق SSH به سرورهای C2 آنها ارسال می‌شود و به بازیگران اجازه می‌دهد تا دستورات بیشتری را صادر کنند. بعداً، بازیگران یک ایمپلنت سفارشی را از طریق یک فرمان PowerShell با کد Base64 دانلود کردند. این ایمپلنت با تغییر کلیدهای رجیستری راه‌اندازی، پایداری را بر روی سیستم قربانی ایجاد کرد و در نهایت به عنوان بارگیری برای دانلود ابزارهای اضافی عمل کرد.
پست وبلاگ مایکروسافت همچنین می گوید که هکرها پس از دسترسی مداوم، صدها قربانی را تریاژ کردند تا جالب ترین اهداف را برای حملات بعدی شناسایی کنند. سپس هکرها حساب‌های مدیریت محلی با نام کاربری "help" و رمز عبور "_AS_@1394" ایجاد کردند. در برخی موارد، بازیگران LSASS را کنار گذاشتند تا اعتبارنامه‌هایی را به دست آورند تا بعداً مورد استفاده قرار گیرند.
مایکروسافت همچنین گفت که این گروه را با استفاده از ویژگی رمزگذاری فول دیسک BitLocker مایکروسافت که برای محافظت از داده ها و جلوگیری از اجرای نرم افزارهای غیرمجاز طراحی شده است، مشاهده کرده است.
در پست روز سه‌شنبه آمده است: «پس از به خطر انداختن سرور اولیه (از طریق VPN یا Exchange Server آسیب‌پذیر)، بازیگران به صورت جانبی به سیستم دیگری در شبکه قربانی منتقل شدند تا به منابع با ارزش بالاتر دسترسی پیدا کنند. از آنجا، آنها یک اسکریپت برای رمزگذاری درایوها در چندین سیستم مستقر کردند. به قربانیان دستور داده شد که برای پرداخت هزینه کلید رمزگشایی به صفحه تلگرام خاصی مراجعه کنند.
مایکروسافت اعلام کرد که فسفر یکی از شش گروه تهدید ایرانی است که در 14 ماه گذشته مشاهده کرده است که باج‌افزار را برای دستیابی به اهداف استراتژیک خود مستقر کرده است. این استقرارها به طور متوسط هر شش تا هشت هفته یکبار به صورت موجی راه اندازی می شدند.
شرکت امنیتی SentinelOne استفاده ایران از باج افزار را در اینجا پوشش داده است. توصیه روز چهارشنبه شامل شاخص هایی است که مدیران می توانند برای تعیین اینکه آیا هدف قرار گرفته اند یا خیر از آنها استفاده کنند. سازمان‌هایی که هنوز پچ‌هایی را برای آسیب‌پذیری‌های Exchange یا FortiOS نصب نکرده‌اند، باید فوراً این کار را انجام دهند.
این مقاله در اصل در Ars Technica ظاهر شد.


© 2021 Condé Nast. تمامی حقوق محفوظ است. استفاده از این سایت به منزله پذیرش ماست توافقنامه کاربر و خط مشی رازداری و بیانیه کوکی و حقوق حریم خصوصی کالیفرنیا شما. Wired ممکن است بخشی از فروش را از محصولاتی که از طریق سایت ما به عنوان بخشی از شراکت‌های وابسته با خرده‌فروشان خریداری می‌شوند، کسب کند. مطالب موجود در این سایت را نمی توان تکثیر کرد، توزیع کرد، انتقال داد، ذخیره کرد یا از آن استفاده کرد، مگر با اجازه قبلی کتبی Condé Nast. انتخاب های تبلیغاتی

source

توسط techkhabari