خبر

نفوذ به شبکه سازمان فدرال از طریق VPN

آژانس امنیت زیرساخت و امنیت سایبری آمریکا (CISA) پس از نفوذ یک مهاجم سایبری به یکی از نهادهای فدرال آمریکا اطلاعیه ای صادر کرد. CISA در بیانیه‌ای که منتشر کرد، اعلام کرده است که: «یک مهاجم سایبری با استفاده از اطلاعات لاگین به سرقت رفته، عملیات نفوذ را انجام داده و بدافزارهایی را در شبکه نصب کرده است. یکی از آنها یک بدافزار چندمرحله‌ای است که توانسته سیستم ضدبدافزار این سازمان را دور بزند و سپس از طریق پروکسی Socket Secure (به اختصار SOCKS) و دور زدن فایروال این سازمان، دسترسی دایمی به شبکه پیدا کند».

این مهاجم برای نفوذ به شبکه سازمان فدرال، از اطلاعات لاگین کاربران برای ورود به چند حساب مایکروسافت ۳۶۵ و حساب‌های ادمین استفاده کرده و پس از هک سازمان، شبکه آن را به یک بدافزار پیچیده آلوده نموده است. یک سیستم تشخیص نفوذ که بر شبکه‌های این سازمان نظارت دارد، به CISA درباره احتمال نفوذ به شبکه این نهاد هشدارهای اولیه را داده است. پس از بررسی‌های صورت گرفته توسط CISA و نهادی که این حمله بر ضد آن صورت گرفته، این حمله تأیید شده است.

در تحقیقات به عمل آمده مشخص شد که مهاجم از راه دور وارد حساب کاربری آفیس ۳۶۵ شده، سپس صفحه‌های سایت SharePoint را بررسی کرده و فایل خاصی را دانلود کرده است. پس از آن نیز چندین بار به سرور شبکه خصوصی مجازی (VPN[۱]) سازمان متصل شده است. به گفته CISA، «بلافاصله پس از این دسترسی، مهاجم از دستورات خط فرمان ویندوز برای بررسی شبکه و سیستم ها استفاده کرده است». این مهاجم، داده‌هایی را از طریق ترمینال سرویس ویندوز کپی و از شبکه خارج کرده است. با توجه به جایگذاری در پشتی در شبکه، احتمال می‌رود مهاجم قصد داشته در آینده حملات بیشتری را نیز اجرا کند.

تحلیل‌های CISA مشخص نکرده مهاجم در ابتدا چگونه به اطلاعات لاگین مورد استفاده در این حمله دسترسی پیدا کرده اما یکی از نظریه‌ های احتمالی، استفاده از آسیب پذیری شناخته شده در محصول VPN شرکت Pulse Secure است. به گفته CISA: «ممکن است مهاجم، اطلاعات ورود به سرور VPN را با استفاده از یک آسیب‌پذیری شناخته شده در Pulse Secure که دارای شناسه CVE-2019-11510 است، به دست آورده باشد». البته نمونه‌های دیگری از چنین حملاتی با سوءاستفاده از این آسیب‌پذیری، بر ضد دولت فدرال مشاهده شده است.

این آسیب‌پذیری امکان بازیابی فایل‌ها از جمله فایل‌های حاوی کلمه عبور را از راه دور فراهم می‌کند. Pulse Secure در آوریل ۲۰۱۹ وصله های امنیتی برای چند آسیب‌پذیری از جمله CVE-2019-11510 را منتشر کرده است.

 

منبع: infosecurity-magazine

نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

1 × چهار =

دکمه بازگشت به بالا