استفاده از آنتیویروس ترند میکرو برای هک شرکت میتسوبیشی الکتریک!
یک آسیبپذیری روز صفر در نرمافزار امنیتی OfficeScan
هکرها از یک آسیبپذیری روز صفر در نرمافزار امنیتی OfficeScan شرکت ترند میکرو برای نصب فایلهای مخرب در سرورهای شرکت میتسوبیشی الکتریک استفاده کردند.
وب سایت ZDNet به نقل از منابع خبری که در جریان تحقیقات اخیر قرار دارند، اعلام کرده است که این کار توسط هکرهای چینی صورت پذیرفته است. اگرچه شرکت ترند میکرو، این آسیبپذیری را برطرف کرده اما هنوز اعلام نکرده است که آیا از این آسیبپذیری در حملات دیگری هم استفاده شده است یا خیر؟
هک شرکت میتسوبیشی الکتریک
خبر هک میتسوبیشی الکتریک، ابتدا در وب سایت این شرکت ژاپنی منتشر و اعلام شد که این کار در سال گذشته میلادی انجام شده است.
میتسوبیشی الکتریک اعلام کرد که بیست و هشتم ژوئن سال 2019 میلادی، یک حمله نفوذ در شبکه خود را شناسایی و آن را دفع کرده است. پس از چندین ماه تحقیق و بررسی، بالاخره این شرکت ژاپنی گفت که هکرها به شبکههای داخلی این شرکت دسترسی پیدا کرده و 200 مگابایت فایل را از روی آن سرقت کرده اند.
میتسوبیشی الکتریک که در ابتدا در رابطه با محتوای این اسناد توضیحی نداده بود، در یک مطلب جدید اعلام کرد که این فایلها حاوی اطلاعاتی در رابطه با کارمندان شرکت بوده و اطلاعات مربوط به شرکا و قراردادهای کاری این شرکت افشا نشده است.
به گفته شرکت میتسوبیشی، مستندات به سرقت رفته حاوی اطلاعات زیر هستند:
- اطلاعات مربوط به درخواست کار 1987 متقاضی
- نتایج نظرسنجی صورت گرفته از کارمندان در سال 2012 که 4566 کارمند اداره مرکزی این شرکت آن را پر کرده بودند.
- اطلاعات مربوط به 1569 کارمند میتسوبیشی که بین سالهای 2007 تا 2019 بازنشسته شدند.
- فایلهایی حاوی مطالب فنی محرمانه، اطلاعات مربوط به فروش محصولات و غیره.
آسیبپذیری روز صفر
رسانههای ژاپنی بررسی عمیقتری را از این هک انجام دادند. طبق گزارشات آنها، این هک که نخست از نمایندگی میتسوبیشی در چین شروع شد، توانست به 14 بخش و شبکه این شرکت گسترش یابد. گفته میشود که پس از پیدا شدن فایل مخرب در سرورهای شرکت توسط کارمندان آن، جلوی این نفوذ گرفته شده است.
میتسوبیشی الکتریک که هیچ کدام از گفتههای خبرنگاران ژاپنی را تایید نکرد، تنها به بیان جزییات فنی مربوط به این هک پرداخته و اعلام کرد هکرها از آسیبپذیری در یکی از آنتیویروسهای این شرکت سوءاستفاده کردهاند.
یک منبع آگاه از این حمله، به وب سایت ZDNet گفت که هکرها از آسیبپذیری CVE-2019-18187 در آنتیویروس OfficeScan برای پیمایش دایرکتوری و آپلود فایلهای دلخواه استفاده کردهاند.
طبق یک توصیه نامه امنیتی که شرکت ترند میکرو در اکتبر 2019 منتشر کرد: «هکرها میتوانند از آسیبپذیری پیمایش دایرکتوری در نسخههای آسیبپذیر OfficeScan برای استخراج فایلها از یک فایل فشرده (زیپ) دلخواه به یک پوشه خاص در سرور OfficeScan استفاده کنند که این شرایط میتواند باعث فراهم شدن امکان اجرای کد از راه دور شود».
ترند میکرو در یک مطالعه موردی که در وب سایت خود منتشر کرده است، شرکت میتسوبیشی الکتریک را در لیست شرکتهایی قرار داده که از مجموعه امنیتی OfficeScan استفاده میکنند. هنگامی که شرکت ترند میکرو در ماه اکتبر، آسیبپذیری CVE-2019-18187 را اصلاح کرد، به مشتریان خود هشدار داد که هکرها فعالانه در حال سوءاستفاده از این آسیبپذیری هستند.
هکر دولتی چین، در پشت این حمله
رسانههای ژاپنی اعلام کردند این نفوذ کار یک گروه هکر سایبری چینی به نام “Tick”بوده که دولت چین از آنها پشتیبانی میکند.
گروه هکری Tick در چند ماه گذشته نیز چندین سازمان بزرگ را در سراسر جهان هک کرده است. در حال حاضر مشخص نیست که این گروه از آسیبپذیری OfficeScan بر ضد سایر اهداف خود استفاده کرده است یا خیر.
منبع: zdnet