آژانس امنیت زیرساخت و امنیت سایبری آمریکا (CISA) پس از نفوذ یک مهاجم سایبری به یکی از نهادهای فدرال آمریکا اطلاعیه ای صادر کرد. CISA در بیانیهای که منتشر کرد، اعلام کرده است که: «یک مهاجم سایبری با استفاده از اطلاعات لاگین به سرقت رفته، عملیات نفوذ را انجام داده و بدافزارهایی را در شبکه نصب کرده است. یکی از آنها یک بدافزار چندمرحلهای است که توانسته سیستم ضدبدافزار این سازمان را دور بزند و سپس از طریق پروکسی Socket Secure (به اختصار SOCKS) و دور زدن فایروال این سازمان، دسترسی دایمی به شبکه پیدا کند».
این مهاجم برای نفوذ به شبکه سازمان فدرال، از اطلاعات لاگین کاربران برای ورود به چند حساب مایکروسافت 365 و حسابهای ادمین استفاده کرده و پس از هک سازمان، شبکه آن را به یک بدافزار پیچیده آلوده نموده است. یک سیستم تشخیص نفوذ که بر شبکههای این سازمان نظارت دارد، به CISA درباره احتمال نفوذ به شبکه این نهاد هشدارهای اولیه را داده است. پس از بررسیهای صورت گرفته توسط CISA و نهادی که این حمله بر ضد آن صورت گرفته، این حمله تأیید شده است.
در تحقیقات به عمل آمده مشخص شد که مهاجم از راه دور وارد حساب کاربری آفیس 365 شده، سپس صفحههای سایت SharePoint را بررسی کرده و فایل خاصی را دانلود کرده است. پس از آن نیز چندین بار به سرور شبکه خصوصی مجازی (VPN[1]) سازمان متصل شده است. به گفته CISA، «بلافاصله پس از این دسترسی، مهاجم از دستورات خط فرمان ویندوز برای بررسی شبکه و سیستم ها استفاده کرده است». این مهاجم، دادههایی را از طریق ترمینال سرویس ویندوز کپی و از شبکه خارج کرده است. با توجه به جایگذاری در پشتی در شبکه، احتمال میرود مهاجم قصد داشته در آینده حملات بیشتری را نیز اجرا کند.
تحلیلهای CISA مشخص نکرده مهاجم در ابتدا چگونه به اطلاعات لاگین مورد استفاده در این حمله دسترسی پیدا کرده اما یکی از نظریه های احتمالی، استفاده از آسیب پذیری شناخته شده در محصول VPN شرکت Pulse Secure است. به گفته CISA: «ممکن است مهاجم، اطلاعات ورود به سرور VPN را با استفاده از یک آسیبپذیری شناخته شده در Pulse Secure که دارای شناسه CVE-2019-11510 است، به دست آورده باشد». البته نمونههای دیگری از چنین حملاتی با سوءاستفاده از این آسیبپذیری، بر ضد دولت فدرال مشاهده شده است.
این آسیبپذیری امکان بازیابی فایلها از جمله فایلهای حاوی کلمه عبور را از راه دور فراهم میکند. Pulse Secure در آوریل 2019 وصله های امنیتی برای چند آسیبپذیری از جمله CVE-2019-11510 را منتشر کرده است.
منبع: infosecurity-magazine