آمریکا بیان کرد:هکرهای ایرانی زیرساخت های حیاتی آمریکا را هدف قرار داده اند. آسیب پذیریهایی که قبلاً درمایکروسافت و فورتینت بود اصلاح شدهاند، اما هنوز مورد سوء استفاده قرار می گیرند.
مقامات دولتی ایالات متحده، بریتانیا و استرالیا اظهار داشتند که سازمانهای مسئول زیرساختهای حیاتی در ایالات متحده در تیررس هکرهای دولتی ایران هستند که از آسیب پذیریهای شناخته شده در محصولات شرکتهای مایکروسافت و فورتی نت سوء استفاده میکنند.
حمله هکرهای ایرانی (فسفر) به زیرساخت های آمریکا
در یک گزارش منتشر شده، آمده است که یک گروه هک پیشرفته همسو با دولت ایران از آسیب پذیریهای موجود در مایکروسافت اکسچنج و فورتیاس فورتینت استفاده می کند که مبنایی برای پیشنهادات امنیتی این شرکت است. همه آسیب پذیریهای شناسایی شده اصلاح شدهاند، اما همه کسانی که از این محصولات استفاده میکنند، بروزرسانیها را نصب نکردهاند و همچنان در معرض آسیب هستند. این گزارش توسط FBI، آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده، مرکز امنیت سایبری ملی بریتانیا و مرکز امنیت سایبری استرالیا منتشر شده است.
اهداف حمله گروه هکری فسفر به زیرساخت های آمریکا
در این حمله هکر های ایرانی به طور فعال طیف گسترده ای از قربانیان را در چندین بخش زیرساختی حیاتی ایالات متحده، از جمله بخش حمل و نقل و بخش مراقبت های بهداشتی و بهداشت عمومی، و همچنین سازمان های استرالیا، هدف قرار می دهند. FBI، CISA، ACSC و NCSC ارزیابی میکنند که مهاجمان بجای هدف قرار دادن بخشهای خاص، بر روی آسیب پذیریهای شناخته شده متمرکز هستند. این مهاجمان APT تحت حمایت دولت ایران می توانند از این دسترسی برای عملیاتهای بعدی، مانند استخراج یا رمزگذاری دادهها، باجافزار، و اخاذی استفاده کنند.
در این گزارش آمده است که FBI و CISA این گروه را مشاهده کردهاند که از آسیب پذیریهای Fortinet از ماه مارس و از آسیب پذیریهای Microsoft Exchange از اکتبر برای دسترسی اولیه به سیستمها سوء استفاده میکنند. سپس هکرها عملیات های بعدی را آغاز می کنند که شامل استقرار باج افزار برای دسترسی مهاجمان از راه دور می شود.
در ماه مه، مهاجمان، شهرداری ایالات متحده را هدف قرار دادند، آنها یک حساب کاربری با نام کاربری “elie” برای نفوذ بیشتر به شبکه در معرض خطر ایجاد کردند. یک ماه بعد، آنها یک بیمارستان مراقبت های بهداشتی که به کودکان تخصیص داشت، در ایالات متحده هک کردند.
ماه گذشته، مهاجمان APT از آسیب پذیریهای مایکروسافت اکسچنج که به آنها دسترسی اولیه به سیستمها را قبل از عملیات بعدی میداد، سوء استفاده کردند. مقامات استرالیایی گفتند که آنها همچنین گروهی را که از نقض های بورس استفاده می کند، مشاهده کرده اند.
مراقب حساب های کاربری ناشناس باشید
هکرها ممکن است حساب های کاربری جدیدی در کنترل کننده های دامنه، سرورها، ایستگاه های کاری و دایرکتوری های فعال شبکه هایی که به خطر انداخته اند ایجاد کرده باشند. به نظر میرسد برخی از حسابها از حسابهای موجود کپی برداری می کنند، بنابراین نامهای کاربری اغلب از سازمان به سازمان هدف متفاوت است. در این توصیه نامه آمده است که پرسنل امنیت شبکه باید حساب های ناشناخته را با توجه ویژه ای به نام های کاربری مانند Support، Help، elie و WADGUtilityAccount جستجو کنند.
این توصیه یک روز بعد از آن منتشر شد که مایکروسافت گزارش داد که یک گروه همسو با ایران که آن را Phosphorous می نامد به طور فزاینده ای از باج افزار برای درآمد زایی یا ایجاد اختلال استفاده می کند. مایکروسافت افزود که این گروه از “حملات تهاجمی ” به اهداف استفاده می کند.
مایکروسافت گفت در اوایل سال جاری، Phosphorous میلیونها آدرس IP اینترنتی را در جستجوی سیستمهای FortiOS که هنوز اصلاحات امنیتی CVE-2018-13379 را نصب نکرده بودند، اسکن کرد. این نقص ها به هکرها این امکان را می دهد تا credentials یا همان احراز هویت های را که برای دسترسی از راه دور به سرورها استفاده میشوند، جمعآوری کنند. فسفر در نهایت به جمع آوری credentials از بیش از 900 سرور Fortinet در ایالات متحده، اروپا و اسرائیل منجر شد.
هدف قرار دادن سرورهای مایکروسافت Exchange
اخیراً، گروه هکری فسفر با اسکن سرورهای مایکروسافت Exchange از آسیب پذیری های داخلی CVE-2021-26855، CVE-2021-26857، CVE-2021-26858، و CVE-2021-27065، استفاده کردند که مایکروسافت در ماه مارس این آسیب پذیری ها را برطرف کرد.
مایکروسافت گفت: “وقتی آنها سرورهای آسیب پذیر را شناسایی کردند، گروه هکری فسفر به دنبال پایداری در سیستم های هدف بود.” در برخی موارد، مهاجمان یک Plink runner به نام MicrosoftOutLookUpdater.exe را دانلود کردند. این فایل به صورت دورهای از طریق SSH به سرورهای C2 آنها ارسال میشود و به هکرها اجازه میدهد تا دستورات بیشتری را صادر کنند. بعداً، مهاجمان یک ایمپلنت سفارشی را از طریق یک فرمان PowerShell کد گذاری شده با Base64 دانلود کردند. این ایمپلنت با تغییر کلیدهای رجیستری راهاندازی، پایداری را بر روی سیستم قربانی ایجاد کرد.
نظرات در مورد : هکرهای ایرانی زیرساخت های حیاتی آمریکا را هدف قرار داده اند