پادویش

هکرهای ایرانی زیرساخت های حیاتی آمریکا را هدف قرار داده اند

هکرهای تحت حمایت ایران زیرساخت های حیاتی آمریکا را هدف قرار داده اند

آمریکا بیان کرد:هکرهای ایرانی زیرساخت های حیاتی آمریکا را هدف قرار داده اند. آسیب‌ پذیری‌هایی که قبلاً درمایکروسافت و فورتی‌نت بود اصلاح شده‌اند، اما هنوز مورد سوء استفاده قرار می ‌گیرند.

فرادرس

مقامات دولتی ایالات متحده، بریتانیا و استرالیا اظهار داشتند که سازمان‌های مسئول زیرساخت‌های حیاتی در ایالات متحده در تیررس هکرهای دولتی ایران هستند که از آسیب ‌پذیری‌های شناخته شده در محصولات شرکت‌های مایکروسافت و فورتی نت سوء استفاده می‌کنند.

حمله هکرهای ایرانی (فسفر) به زیرساخت های آمریکا

در یک گزارش منتشر شده، آمده است که یک گروه هک  پیشرفته همسو با دولت ایران از آسیب ‌پذیری‌های موجود در مایکروسافت اکسچنج و فورتی‌اس فورتی‌نت استفاده می‌ کند که مبنایی برای پیشنهادات امنیتی این شرکت است. همه آسیب ‌پذیری‌های شناسایی ‌شده اصلاح شده‌اند، اما همه کسانی که از این محصولات استفاده می‌کنند، بروزرسانی‌ها را نصب نکرده‌اند و همچنان در معرض آسیب هستند. این گزارش توسط FBI، آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده، مرکز امنیت سایبری ملی بریتانیا و مرکز امنیت سایبری استرالیا منتشر شده است.

اهداف حمله گروه هکری فسفر به زیرساخت های آمریکا

در این حمله هکر های ایرانی به طور فعال طیف گسترده ای از قربانیان را در چندین بخش زیرساختی حیاتی ایالات متحده، از جمله بخش حمل و نقل و بخش مراقبت های بهداشتی و بهداشت عمومی، و همچنین سازمان های استرالیا، هدف قرار می دهند. FBI، CISA، ACSC و NCSC ارزیابی می‌کنند که مهاجمان بجای هدف قرار دادن بخش‌های خاص، بر روی آسیب ‌پذیری‌های شناخته شده متمرکز هستند. این مهاجمان APT تحت حمایت دولت ایران می ‌توانند از این دسترسی برای عملیات‌های بعدی، مانند استخراج یا رمزگذاری داده‌ها، باج‌افزار، و اخاذی استفاده کنند.

هکرهای تحت حمایت ایران زیرساخت های حیاتی آمریکا را هدف قرار داده اند

در این گزارش آمده است که FBI و CISA این گروه را مشاهده کرده‌اند که از آسیب ‌پذیری‌های Fortinet از ماه مارس و از آسیب ‌پذیری‌های Microsoft Exchange از اکتبر برای دسترسی اولیه به سیستم‌ها سوء استفاده می‌کنند. سپس هکرها عملیات های بعدی را آغاز می کنند که شامل استقرار باج افزار برای دسترسی مهاجمان از راه دور می شود.

در ماه مه، مهاجمان، شهرداری ایالات متحده را هدف قرار دادند، آنها یک حساب کاربری با نام کاربری “elie” برای نفوذ بیشتر به شبکه در معرض خطر ایجاد کردند. یک ماه بعد، آنها یک بیمارستان  مراقبت های بهداشتی که به کودکان تخصیص داشت، در ایالات متحده هک کردند.

ماه گذشته، مهاجمان APT از آسیب ‌پذیری‌های مایکروسافت اکسچنج که به آنها دسترسی اولیه به سیستم‌ها را قبل از عملیات بعدی می‌داد، سوء استفاده کردند. مقامات استرالیایی گفتند که آنها همچنین گروهی را که از نقض های بورس استفاده می کند، مشاهده کرده اند.

مراقب حساب های کاربری ناشناس باشید

هکرهای تحت حمایت ایران زیرساخت های حیاتی آمریکا را هدف قرار داده اند

هکرها ممکن است حساب های کاربری جدیدی در کنترل کننده های دامنه، سرورها، ایستگاه های کاری و دایرکتوری های فعال شبکه هایی که به خطر انداخته اند ایجاد کرده باشند. به نظر میرسد برخی از حساب‌ها از حساب‌های موجود کپی برداری می‌ کنند، بنابراین نام‌های کاربری اغلب از سازمان به سازمان هدف متفاوت است. در این توصیه نامه آمده است که پرسنل امنیت شبکه باید حساب های ناشناخته را با توجه ویژه ای به نام های کاربری مانند Support، Help، elie و WADGUtilityAccount جستجو کنند.

این توصیه یک روز بعد از آن منتشر شد که مایکروسافت گزارش داد که یک گروه همسو با ایران که آن را Phosphorous می نامد به طور فزاینده ای از باج افزار برای درآمد زایی یا ایجاد اختلال استفاده می کند. مایکروسافت افزود که این گروه از “حملات تهاجمی ” به اهداف استفاده می کند.

مایکروسافت گفت در اوایل سال جاری، Phosphorous میلیون‌ها آدرس IP اینترنتی را در جستجوی سیستم‌های FortiOS که هنوز اصلاحات امنیتی CVE-2018-13379 را نصب نکرده بودند، اسکن کرد. این نقص ها به هکرها این امکان را می ‌دهد تا credentials یا همان احراز هویت های را که برای دسترسی از راه دور به سرورها استفاده می‌شوند، جمع‌آوری کنند. فسفر در نهایت به جمع آوری credentials از بیش از 900 سرور Fortinet در ایالات متحده، اروپا و اسرائیل منجر شد.

هدف قرار دادن سرورهای مایکروسافت Exchange

اخیراً، گروه هکری فسفر با اسکن سرورهای مایکروسافت Exchange از آسیب ‌پذیری های داخلی CVE-2021-26855، CVE-2021-26857، CVE-2021-26858، و CVE-2021-27065، استفاده کردند که مایکروسافت در ماه مارس این آسیب پذیری ها را برطرف کرد.

مایکروسافت گفت: “وقتی آنها سرورهای آسیب پذیر را شناسایی کردند، گروه هکری فسفر به دنبال پایداری در سیستم های هدف بود.” در برخی موارد، مهاجمان یک Plink runner به نام MicrosoftOutLookUpdater.exe را دانلود کردند. این فایل به صورت دوره‌ای از طریق SSH به سرورهای C2 آنها ارسال می‌شود و به هکرها اجازه می‌دهد تا دستورات بیشتری را صادر کنند. بعداً، مهاجمان یک ایمپلنت سفارشی را از طریق یک فرمان PowerShell کد گذاری شده با Base64 دانلود کردند. این ایمپلنت با تغییر کلیدهای رجیستری راه‌اندازی، پایداری را بر روی سیستم قربانی ایجاد کرد.

منبع

به این پست امتیاز بدید

نظرات در مورد : هکرهای ایرانی زیرساخت های حیاتی آمریکا را هدف قرار داده اند

0 دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *