اتهام زنی FBI به شرکت سایبری ایرانی

به تازگی FBI یک اعلامیه که شامل تاکتیک‌ها، تکنیک‌ها و پروتکل‌ها یا TTP (مخفف Tactics, techniques and protocols) که توسط گروه ایرانی «ایمن نت پاسارگاد» مورد استفاده قرار می‌گیرند منتشر نموده است. FBI که معتقد است این گروه به نهادهای اطلاعاتی دولتی ایران کمک می‌کند هدف خود از انتشار این گزارش را اطلاع‌رسانی به افراد و کمک به حفاظت از آنها در برابر فعالیت‌های مخرب ایمن نت اعلام کرده است.

FBI در این مطلب تأیید کرده که دو تبعه ایرانی که در شرکت ایمن نت کار می‌کنند، از سوی وزارت دادگستری آمریکا متهم به جعل و نفوذ سایبری، ایجاد ترس و وحشت در رأی‌دهندگان، تهدیدات بین المللی و توطئه شده‌اند.

دفتر کنترل دارایی‌های خارجی وزارت خزانه‌داری آمریکا نیز گروه ایمن نت و دو تبعه ایرانی آن را متهم به نفوذ در انتخابات ریاست جمهوری سال 2020 آمریکا کرده‌اند.

بنا بر اظهارات وزارت خزانه‌داری و دادگستری آمریکا ایمن نت اقداماتی برای دخالت در انتخابات، جمع‌آوری اطلاعات محرمانه رأی‌دهندگان از وب‌سایت‌های انتخاباتی، ارسال ایمیل‌های تهدید آمیز به رأی‌دهندگان، تولید و انتشار ویدیوهای گمراه کننده درباره آسیب‌پذیری‌های سیستم رأی‌گیری و نفوذ به شبکه‌های کامپیوتری شرکت‌های رسانه‌ای انجام داده است. آنها در هنگام اجرای چنین عملیاتی خودشان را عضو گروه Proud Boys که یک سازمان آمریکایی راست افراطی، نئوفاشیست و منحصراً مردانه است معرفی نموده‌اند.

Liz Miller تحلیلگر مؤسسه Constellation Research می‌گوید: «دخالت در انتخابات توسط افرادی که در قالب انسان‌های نژادپرست و افراط‌گرا مردم را تهدید می‌کنند موجب کاهش و حذف صحت و اصالت انتخابات می‌شود. امروزه حملات سایبری نقش بسیار پررنگ و تأثیرگذاری در بازی‌های سیاسی و قدرت دارند».

پیش از این هم ایمن نت به اجرای اقدامات هک و نفوذ سایبری که عمدتاً با استفاده از چهره‌های پوششی (مثل عملیاتی که تحت عنوان «ارتش سایبری یمن» که در سال 2018 میلادی انجام می‌شد) اجرا می‌شوند متهم شده بود.

توضیحات FBI درباره فنون هک و هوش سایبری

براساس نتایج تحقیقات FBI تحلیل و شناسایی اهداف و سپس شناسایی نقاط نفوذ مثل نرم‌افزارها یا سیستم‌های آسیب‌پذیر از جمله رویکردهای مورد استفاده گروه سایبری ایمن نت برای اجرای حملات خود است. انجام چنین کاری معمولاً با اجرای یک جستجوی ساده در وب مثل «مهمترین وب‌سایت‌های خبری آمریکا» و سپس تلاش برای یافتن آسیب‌پذیری در این وب‌سایت‌ها صورت می‌گیرد.

براساس هشدار FBI یکسری از آسیب‌پذیری‌ها و مشکلات متداول ([1]CVE) که توسط ایمن نت مورد سوءاستفاده قرار گرفته‌اند شامل موارد زیر هستند:

• CVE-2019-0232: یک آسیب‌پذیری مخصوص آرگومان‌های خط فرمان ویندوز در CGI Servlet از Apache Tomcat (نسخه‌های 9.0.0.M1 تا 9.0.17، 8.5.0 تا 8.5.39 و 7.0.0 تا 7.0.93) که امکان اجرای کد از راه دور را فراهم می‌کند.
• CVE 2019-9546: این آسیب‌پذیری امکان ارتقای سطح دسترسی از طریق سرویس RabbitMQ در پلتفرم SolarWinds Orion قبل از 2018 را فراهم می‌کند.
• CVE-2018-1000001: یک آسیب‌پذیری در استفاده از getcwd() توسط realpath() در glibc 2.26 و نسخه‌های قدیمی‌تر که امکان اجرای کد را فراهم می‌کند.
• CVE-2018-7600: به دلیل پیکربندی پیش فرض خاص Drupal (در نسخه‌های 7x,8.3x,8.4x و 8.5x قبل از 7.58, 8.3.9, 8.4.6 و 8.5.1) مجوز اجرای کد برای مهاجمان را فراهم می‌کند.
• CVE-2017-5963: امکان اجرای کدهای HTML و اسکریپت‌های دلخواه در caddy پیش از 7.2.10 به دلیل وجود یک آسیب‌پذیری ناشی از عدم فیلتر درست داده‌های تأمین شده توسط کاربر را فراهم می‌کند.

این آسیب‌پذیری‌ها در به روزرسانی بعدی منتشر شده توسط شرکت سازنده آنها رفع شده‌اند.

Miller می‌گوید: «اگرچه این تهدید مهمتر از سایر تهدیدات نیست ولی نباید از این حقیقت که ایمن نت از نرم‌افزارها و سیستم‌های مدیریت محتوای پرکاربردی مثل وردپرس (WordPress)، دروپال (Drupal)، و وب سرور رایگان و متن باز آپاچی تام کت (Apache Tomcat) استفاده می‌کند غافل شویم».

به ادعای FBI، ایمن نت از ابزارهای متن باز مثل صفحات وبی که دارای کد PHP هستند یا صفحات به شدت دسترس‌پذیر مانند پایگاه‌های داده MySQL جهت جمع‌آوری اطلاعات بسیار مهم و مرتبط با آسیب‌پذیری‌های مورد استفاده مهاجمان برای بخش خصوصی استفاده می‌کند.

همچنین محققان می‌گویند که ایمن نت از سرویس‌های وی‌پی‌ان مثل TorGuard، CyberGhost، NordVPN وPrivate Internet Access و از سرویس‌های ارسال پیامک انبوه به ترتیب برای مبهم‌سازی حملات‌شان و همچنین اجرای فعالیت‌های خود استفاده می‌کند.

بر اساس هشدار FBI ایمن نت که فعالیت‌های وسیعی در بخش‌های اخبار، حمل و نقل، مسافرت (هتل‌ها و شرکت‌های هواپیمایی)، ارتباطات و برق انجام می‌دهد، یک تهدید امنیتی وسیع ایجاد کرده است.

راهکارهای توصیه شده

یکسری از اقدامات توصیه شده توسط FBI به سازمان‌ها و کاربران برای مقابله با این تهدید عبارتند از:

• شناسایی آسیب‌پذیری‌هایی که پیش از این به آنها اشاره کردیم و نصب وصله‌های امنیتی جهت رفع آنها
• به‌روزرسانی آنتی‌ویروس
• استفاده از سرویس‌های تشخیص تهدید در سطح شبکه، دستگاه، سیستم‌عامل، برنامه‌های کاربردی و ایمیل
• استفاده از سرویس‌های میزبانی
• مدیریت محتوای معتبر برای پیکربندی نرم‌افزارهایی که با دنیای بیرون در ارتباط هستند
• محدودسازی امکانات سیستم مدیریت محتوا مثل غیرفعال کردن قابلیت ویرایش فایل از راه دور، محدود کردن اجرای فایل به یکسری پوشه خاص
• محدود کردن تعداد تلاش برای ورود به سیستم
• نصب یک فایروال برنامه‌های کاربردی تحت وب

براساس گفته Miller: «گزارش‌های منتشر شده توسط مؤسسات دولتی شامل اطلاعات بسیار مفیدی در خصوص مسیرهای حمله، رفتارهای مهاجمان و الگوهای TTP هستند». از این رو کلیه فعالان امنیتی باید این گزارش‌ها را با جزئیات کامل تحلیل و بررسی نموده و علاوه بر آسیب‌پذیری‌هایی که در این مطلب به آنها اشاره شد، سایر آسیب‌پذیری‌ها را هم شناسایی و در اسرع وقت رفع کنند.

[1] common vulnerabilities and exposures

منبع: csoonline