سال 2019 به عنوان سالی به یاد خواهد آمد که اشکالات امنیتی بزرگ در تعداد زیادی از سرورهای VPN سازمانی ، مانند آنهایی که توسط Pulse Secure ، Palo Alto Networks ، Fortinet و Citrix فروخته شده اند ، افشا شود.

گزارش جدید منتشر شده امروز نشان می دهد که واحدهای هکری تحت حمایت دولت ایران در سال گذشته اولویت اصلی را برای بهره‌برداری از اشکالات VPN به محض عمومی شدن به منظور نفوذ و کاشت بک در در شرکتهایی در سراسر جهان ایجاد کرده اند.

براساس گزارشی از سایبر اسرائیلی- شرکت امنیتی ClearSky ، هکرهای ایرانی شرکتهایی را "از بخش های IT ، مخابرات ، نفت و گاز ، حمل و نقل هوایی ، دولت و امنیت" هدف قرار داده اند.

برخی از حملات ساعاتی پس از افشای عمومی رخ داده است

در این گزارش آمده است که این ایده را برطرف کنید. هكرهاي ايراني پيشرفته و كمتر از استعدادهاي روسي ، چيني و كره شمالي خود از استعداد كمتري برخوردارند. قادر به سوء استفاده از آسیب پذیری های 1 روزه در دوره های نسبتاً کوتاه هستند. "

در برخی موارد ، ClearSky می گوید كه گروههای ایرانی را كه از خطاهای VPN استفاده می كنند ، طی چند ساعت پس از آشكارسازی مشكلات ، مشاهده كردند.

* ATP برای تهدید مداوم پیشرفته و اصطلاحی است که غالباً برای توصیف واحدهای هکری دولت از کشور استفاده می شود

ClearSky می گوید که در سال 2019 ، گروه های ایرانی به سرعت سلاح های آسیب پذیری را که در VPN Pulse Secure "Connect" منتشر شده بود ، اسلحه سازی کردند (CVE-2019-11510) ، Fortinet FortiOS VPN (CVE-2018-13379) ، و شبکه های Palo Alto "Global Protect" VPN (CVE-2019-1579).

حملات علیه این سیستم ها در تابستان گذشته آغاز شد ، هنگامی که جزئیات مربوط به اشکالات علنی شد. آنها همچنین در سال 2020 ادامه یافته اند.

علاوه بر این ، به عنوان جزئیاتی در مورد سایر نقص های VPN عمومی شد ، گروه های ایرانی نیز این حملات را در حملات خود قرار دادند (یعنی CVE-2019-19781 ، آسیب پذیری که در Citrix "ADC" VPNs فاش شده است).

هک کردن اهداف شرکتی برای کاشت bac kdoors

مطابق گزارش ClearSky ، هدف از این حملات تخطی از شبکه های سازمانی ، حرکت جانبی در سیستم های داخلی آنها و کارخانجات در فضای باز برای بهره برداری در تاریخ بعدی است.

در حالی که مرحله اول (نقض) آنها حملات VPN ها را هدف قرار داد ، مرحله دوم (جنبش جانبی) شامل مجموعه ای از ابزارها و تکنیک ها است که نشان می دهد پیشرفت این واحدهای هکری ایرانی در سالهای اخیر چقدر پیشرفت کرده است.

به عنوان مثال ، هکرها برای دستیابی به مدیر از یک تکنیک دیرینه سوء استفاده کردند. حقوق مربوط به سیستم های ویندوز از طریق ابزار دستیابی به "کلیدهای مهم" [1, 2, 3, 4].

آنها همچنین از ابزارهای هک منبع باز مانند JuicyPotato و Invoke the Hash سوء استفاده کردند ، اما از نرم افزارهای معتبر sysadmin مانند Putty ، Plink ، Ngrok ، Serveo ، یا FRP.

علاوه بر این ، در موردی که هکرها ابزارهای منبع باز یا برنامه های محلی برای کمک به حملات خود پیدا نکردند ، آنها همچنین دانش لازم را برای توسعه بدافزارهای سفارشی داشتند. ClearSky می گوید که ابزارهایی مانند:

• STSRCheck – پایگاه داده های خود توسعه یافته و ابزار نقشه برداری درگاه های باز را کشف کرد.
• POWSSHNET – بدافزار بکار رفته در پشتی خود برای تونل سازی RDP-over-SSH.
• سفارشی VBScripts – اسکریپت ها برای بارگیری TXT پرونده ها از سرور فرمان و کنترل (C2or C&C) و یکپارچه سازی این پرونده ها در یک فایل قابل حمل قابل حمل.
• پشتیبان مبتنی بر سوکت بر روی cs.exe – یک پرونده EXE برای باز کردن اتصال مبتنی بر سوکت به یک IP هارد کد گذاری شده آدرس.
• Port.exe – ابزاری برای اسکن پورت های از پیش تعریف شده برای آدرس IP.

گروه های مختلفی که به عنوان یکی فعالیت می کنند

یکی دیگر از افشای گزارش ClearSky این است که گروه های ایرانی نیز به نظر می رسد که به عنوان یک همکاری و اقدام می کنند ، چیزی که در گذشته دیده نشده است.

گزارش های قبلی درباره فعالیت های هکری ایرانی خوشه های مختلف فعالیت ، که معمولاً کار یک گروه مجرد است.

گزارش ClearSky نشان می دهد که حملات علیه سرورهای VPN در سراسر جهان به نظر می رسد کار حداقل سه گروه ایرانی است – یعنی APT33 (الفین ، شاملون). ، APT34 (Oilrig) ، و APT39 (Chafer).

درمان حملات از بین بردن اطلاعات

در حال حاضر ، هدف از این حملات انجام شناسایی شناسایی و نصب بک های گیاهی برای عملیات نظارت است.

با این حال ، ClearSky می ترسد. دسترسی به همه این شبکه های سازمانی آلوده همچنین می تواند در آینده برای استفاده از بدافزارهای پاک کننده داده ای که می توانند شرکت ها را خرابکارانه انجام دهند و شبکه ها و عملیات تجاری را خراب کنند ، سلاح بکشند.

s ممکن است و بسیار محتمل است. از سپتامبر سال 2019 ، دو نوع جدید از بدافزارهای پاک کننده داده (ZeroCleare و Dustman) کشف شده و به هکرهای ایرانی پیوند داده شده اند.

علاوه بر این ، ClearSky همچنین این قانون را رد نمی کند که هکرهای ایرانی ممکن است از دسترسی به این شرکت های نقض شده سوء استفاده کنند.

این تئوری با این واقعیت پشتیبانی می شود که در اوایل ماه جاری ، FBI هشدار امنیتی را به بخش خصوصی آمریكا هشدار داد كه در مورد حملات مداوم علیه شركت های زنجیره تأمین نرم افزار ، "از جمله نهادهای حامی صنعتی سیستم های کنترل (ICS) برای تولید ، انتقال و توزیع انرژی جهانی. " بخش ICS و انرژی در گذشته هدف سنتی گروه های هکری ایرانی بوده است.

همان هشدار FBI اشاره ای به ارتباط بین بدافزارهای مستقر در این حملات و کدهایی که قبلاً توسط گروه APT33 ایران استفاده شده بود ، شدیداً نشان می دهد که ممکن است هکرهای ایرانی پشت سر بگذارند.

علاوه بر این ، حمله به باپکو ، شرکت ملی نفت بحرین ، از همان تاکتیک "نقض VPN -> حرکت جانبی" استفاده کرد که ClearSky در گزارش خود توضیح داد.

ClearSky اکنون هشدار می دهد که پس از ماه ها حمله ، شرکت ها که سرانجام سرورهای VPN خود را ضبط کرده اند ، همچنین باید هرگونه نشانه سازش ، شبکه های داخلی خود را اسکن کنند.

گزارش ClearSky شامل شاخص های سازش (IOC) است که تیم های امنیتی می توانند از آنها برای اسکن سیاهههای مربوط و سیستمهای داخلی برای علائم نفوذ توسط یک گروه ایرانی.

با این حال ، همین نقص ها توسط هکرهای چینی و چندین گروه باج افزار و رمزنگاری نیز مورد سوء استفاده قرار گرفته است.

نقص های جدید VPN

علاوه بر این ، با در نظر گرفتن نتیجه گیری از گزارش ClearSky ، می توان انتظار داشت که هکرهای ایرانی نیز پس از عمومی شدن ، فرصت سوءاستفاده از نقص های جدید VPN را بیابند.

این بدان معنی است که می توان انتظار داشت که هکرهای ایرانی به احتمال زیاد SonicWall را هدف قرار دهند. سرورهای SRA و SMA VPN در آینده پس از اوایل این هفته محققان امنیتی جزئیات مربوط به شش آسیب پذیری را که روی این دو محصول تأثیر می گذارد ، منتشر کرده اند.