طبق گزارش سازمان تحقیقات فدرال (FBI) و آژانس امنیت سایبری و زیرساخت (CISA)، عاملین تهدیدات مداوم پیشرفته ضد دولتی، به طور فعال و فزاینده ای از نقاط ضعف امنیتی شناخته شده در Fortinet FortiOS سوءاستفاده می کنند و محصولات SSL VPN این شرکت را تحت تأثیر قرار داده و به خطر می اندازند.

اداره تحقیقات فدرال و آژانس امنیت سایبری و زیرساخت، یک بیانیه و راهنمایی مشترک برای هشدار به سازمان ها و کاربران در مورد نحوه استفاده هکرها از آسیب پذیری های مهم در Fortinet FortiOS VPN صادر کرده اند.

هدف آنها استقرار یک ساختار ضد دفاعی برای نقض امنیت مشاغل متوسط ​​و بزرگ در آینده است.

بر اساس هشداری که در روز جمعه صادر شده است، عاملین تهدیدات مداوم پیشرفته ضد دولتی، از نقاط ضعف شناخته شده در سیستم عامل امنیتی سایت FortiOS سوءاستفاده کرده و محصولات SSL VPN Fortinet را هدف قرار می دهند. با این حال، آژانس ها جزئیات بیشتری در مورد تهدیدات مدوام پیشرفته به اشتراک نگذاشته اند.

FortiOS SSL VPN در فایروال های مرزی استفاده می شود که مسئول ممانعت از برقراری ارتباط شبکه های حساس داخلی با دیگر اتصالات اینترنتی عمومی هستند.

 

سوءاستفاده چگونه انجام میپذیرد؟

FBI و CISA گزارش دادند كه عاملین تهدیدات مداوم پیشرفته، دستگاه ها را روی پورت های 4443 ، 8443 و 10443 اسكن می كنند تا پیاده سازی های امنیتی Fortinet را كه انجام نشده اند، پیدا كنند. به ویژه موارد مورد توجه در زمینه نقاط آسیب پذیری طبق CVE-2018-13379 ،CVE-2019-5591 و CVE-2020-12812 طبقه بندی شده است.

بسیار مرسوم است که چنین گروه هایی برای انجام حملات DDoS، حملات باج افزاری، کمپین های فیشینگ، حملات نفوذ زبان جستجوی ساختاری، کمپین های اطلاعات نادرست یا دیس اینفورمیشن، تخریب وب سایت و سایر انواع حملات، از نقایص مهم سوءاستفاده می کنند.

 

چند نکته درباره این خطا

CVE-2018-13379 یک خطای عبور از مسیر Fortinet FortiOS است که در آن، پورتال SSL VPN به یک مهاجم غیرمجاز اجازه می دهد تا فایل های سیستم را از طریق درخواست منابع طراحی شده ویژه HTTP، بارگیری کند.

نقص CCVE-2019-5591 یک آسیب پذیری پیکربندی پیش فرض است که به یک مهاجم غیرمجاز در همان ساختار زیرمجموعه شبکه اجازه می دهد اطلاعات حساس را به سادگی و با تقلید از سرور LDAP ضبط و ذخیره کند.

CVE-2020-12812 یک نقص تأیید اعتبار نامناسب در FortiOS SSL VPN است که به کاربر اجازه می دهد حتی در صورت تغییر نام کاربری، بدون اینکه از وی درخواست FortiToken (تایید اعتبار دو مرحله ای) انجام پذیرد، با موفقیت وارد سیستم شود.

 

چه کسانی در معرض خطر است؟

محققان آژانس های امنیتی خاطرنشان کردند که عاملین این تهدیدات گسترده و پیشرفته، می توانند از این آسیب پذیری ها برای دستیابی به رئوس نهادهای دولتی، فناوری و نهادهای تجاری استفاده کنند.

"به دست آوردن دسترسی اولیه، شرایط را برای عاملین این تهدیدات گسترده و پیشرفته جهت انجام حملات در آینده آماده میکند". پس از بهره برداری، مهاجمان به صورت جانبی حرکت کرده و اهداف خود را زیر نظر می گیرند.

"عاملین این تهدیدات مداوم پیشرفته ممکن است از هر کدام یا همه این CVE ها برای دسترسی به شبکه های چندین بخش مهم زیرساختی و متعاقبا دسترسی به شبکه های اصلی به عنوان دسترسی مقدماتی و بنیادی برای دنبال کردن و پیگیری اطلاعات یا حملات رمزگذاری داده ها استفاده کنند. عاملین این تهدیدات مداوم و پیشرفته، ممکن است از CVE های دیگر یا تکنیک های متداول بهره برداری (مانند فیشینگ) برای دستیابی به شبکه های زیرساختی حیاتی برای تعیین موقعیت و جایگاه اولیه برای حملات بعدی استفاده کنند".

ارائه بروزرسانی برای رفع اشکالات به تغییراتی در ساختار اصلی نیاز دارد و شبکه سازمان ها باید بیش از یک دستگاه VPN داشته باشند. ممکن است سیستم برای زمانی غیرفعال شود و ممکن است کار کسانی که به VPN شبانه روزی احتیاج دارند، دچار اختلال شدیدی شود. با این حال، خطر فعالیت های جاسوسی یا باج افزار به مراتب بسیار بیشتر از این دست موارد است.

 

بدافزاری که با نام Purple Lambert معرفی شده است، توسط کسپرسکی شناسایی شد؛ این بدافزار بطور پنهانی ترافیک شبکه را رصد میکند و در پی"magic packet" در سیستم ها میگردد.

تیم تحقیق و تجزیه و تحلیل جهانی (GReAT) در آزمایشگاه کسپرسکی بدافزار جدیدی را کشف کرده است که این شرکت ادعا می کند توسط آژانس اطلاعات مرکزی آمریکا (CIA) ساخته شده است.

 

به گزارش هک رید، غول امنیت سایبری مستقر در مسکوی روسیه گفته است که این بدافزار را در "مجموعه ای از نمونه های بدافزار" متعلق به چندین گروه APT  مشاهده کرده است. این نمونه ها در فوریه 2019 به دست کسپرسکی و سایر شرکت های امنیت سایبری رسیده است.

به گفته محققان، این نمونه ها در سال 2014 جمع آوری شده و بر این اساس، احتمالاً در سال 2014 و احتمالاً تا اواخر سال 2015 از آن استفاده شده است.

 

بدافزارPurple Lambert

محققان کسپرسکی به این بدافزار لقب پرپل لمبرت داده اند. این بدافزار به قابلیت Backdoor مجهز است که به آن امکان می دهد بصورت پنهانی و غیرفعال ترافیک شبکه را رصد کرده و به دنبال "magic packet" باشد.

علاوه بر این، بدافزار ذکر شده می تواند همراه با اجرای بسته ای که از اپراتورهای خود دریافت می کند، اطلاعات بنیادی و اساسی را از سیستمی که هدف قرار گرفته است، استخراج کند.

کسپرسکی در 27 آوریل در گزارش APT Trends - Q1 2021 این جزئیات را به اشتراک گذاشته است.

 

خانواده بدافزارهایCIA، ویکیلیکس،Vault7 وLambert

اگرچه در گزارش کسپرسکی نام CIA مستقیما ذکر نشده است، اما ذکر این بدافزار در دسته بندی خانواده بدافزار لمبرت، ارتباط آن با آژانس اطلاعات مرکزی آمریکا را نشان می دهد.

اما چطور؟ در سال 2017، روزهایی که نهاد افشاگری ویکی لیکس توانایی های هک گسترده CIA را در مجموعه ای به نام Vault7 افشا کرد، شرکت امنیت سایبری سیمانتک یک پست وبلاگ در مورد بدافزاری به نام Longhorn منتشر کرد و از طرف دیگر محققان کسپرسکی همان بدافزار را از خانواده بدافزار لمبرت نام برده اند.

بعلاوه پس از تجزیه و تحلیل دقیق نمونه ها، کسپرسکی شباهت های زیادی بین بدافزار و موارد استفاده شده توسط CIA در گذشته مانند Gray Lambert شناسایی کرد و به این ترتیب آن را Purple Lambert نامگذاری نمود.

همچنین از نظر مورد استفاده قرار گرفتن این بدافزار نیز، این شرکت معتقد است هیچ مدرکی مبنی بر استفاده از بدافزار در فضای کاربری، حداقل برای چند سال اخیر وجود ندارد.

کسپرسکی نتیجه گیری کرده است که: اگرچه ما هیچ کد مشترکی با بدافزار شناخته شده دیگری پیدا نکرده ایم، اما این نمونه ها دارای نقاط مشترکی از الگوهای کدگذاری، سبک و روش هایی هستند که در بدافزارهای مختلف خانواده های لمبرت دیده شده است.

 

بنا بر مستندات، عاملان تهدید و مشکوک به ارتباط با ایران از برنامه های پیام رسان و برنامه های VPN مانند Telegram و Psiphon برای نصب Trojan دسترسی از راه دور ویندوز (RAT) استفاده می کنند که حداقل از سال 2015، به وسیله آن قادر به سرقت اطلاعات حساس از دستگاه های اهداف خود هستند.

شرکت امنیت سایبری روسی کسپرسکی، که فعالیت های متفاوت در زمینه این اتفاقات بررسی کرده است، این مبارزات را به گروه تهدیدی مداوم پیشرفته (APT) نسبت داد که آن را تحت عنوان بچه گربه وحشی (Ferocious Kitten) میشناسند؛ گروهی از افراد فارسی زبان که ادعا می کند در این کشور مستقر هستند و به صورت تحت کنترل، فعالیت های سایبری خود را با موفقیت به انجام میرسانند.

تیم تحقیق و تجزیه و تحلیل جهانی (GReAT) کسپرسکی اعلام کرد: "هدف قرار دادن سایفون و تلگرام، که هر دو سرویس های کاملاً پرطرفداری در ایران هستند، بر این واقعیت تأکید دارد که payload ها به قصد هدف قرار دادن کاربران ایرانی ساخته شده اند".

"علاوه بر این، در محتوای فریبنده نمایش داده شده توسط فایل های مخرب اغلب از مضامین سیاسی استفاده می شود و شامل تصاویر یا فیلم هایی از مراکز مخالفین یا اعتصابات علیه حکومت ایران است، که نشان می دهد این حمله کار حامیان بالقوه از این دست جنبش های در داخل کشور است".

یافته های کسپرسکی از دو فایل آلوده که در ژوئیه 2020 و مارس 2021 در VirusTotal بارگذاری شده اند و حاوی دستور ماکرو هستند، حکایت دارد؛ که با فعال شدنش، payload های مرحله بعدی را رها می کند تا بدافزار جدیدی به نام MarkiRat را مستقر کنند.

این Backdoor به مهاجمان اجازه دسترسی گسترده به داده های شخصی قربانی را می دهد که شامل ویژگی هایی برای ضبط فعالیت کلیدها، ضبط محتوای کلیپ بورد، بارگیری و بارگذاری فایل ها و همچنین امکان اجرای دستورات دلخواه بر روی دستگاه قربانی است.

در اقدامی که به نظر می رسد تلاش برای گسترش فعالیت مخرب مهاجمین است، آنها همچنین با آزمایش انواع مختلف MarkiRat که رهگیری اجرای برنامه هایی مانند گوگل کروم و تلگرام با همزمانی اجرای بدافزار و حفظ آسیب پذیری و تهاجم به کامپیوتر کاربر، امکان شناسایی و حذف این بدافزار بسیار دشوارتر میکند. یکی از موارد کشف شده شامل نسخه بک‌دور سایفون نیز می باشد.

یکی دیگر از نسخه های اخیر شامل یک دانلودر ساده است که یک فایل اجرایی را از یک دامنه کدگذاری شده بازیابی می کند و در پی آن محققان متذکر شدند که "استفاده از این روش، متفاوت از موارد استفاده شده توسط این گروه در گذشته است که در آن پی‌لود توسط خود بدافزار در سیستم مستقر میشده است و این نشان می دهد که گروه ممکن است در حال تغییر برخی از TTP های خود باشد".

بعلاوه گفته می شود که زیرساخت command-and-control همچنان میزبان برنامه های اندرویدی به صورت فایلهای DEX و APK بوده است و این احتمال را افزایش می دهد که عامل تهدید به طور همزمان در حال توسعه بدافزارهایی برای هدف قرار دادن کاربران تلفن همراه میباشد.

بسیار جالب توجه است که تاکتیک های مورد استفاده توسط مهاجم با دیگر گروه هایی مانند Domestic Kitten و Rampant Kitten که علیه اهداف مشابه فعالیت می کنند، همپوشانی دارد. زیرا کسپرسکی در نحوه استفاده مهاجم از همان مجموعه سرورهای C2 برای مدت زمان طولانی و تلاش برای جمع آوری اطلاعات را از مدیر رمز عبور KeePass، مستندات مشابهی را یافته است.

محققان نتیجه گیری کردند: "Ferocious Kitten نمونه عاملی است که در یک اکوسیستم وسیع تر با هدف ردیابی افراد در ایران فعالیت می کند. چنین گروه های تهدیدگری اغلب تحت پوشش قرار نمی گیرند و بنابراین می توانند با استفاده مجدد از زیرساخت ها و ابزارها و بدون نگرانی در مورد غیرفعال شدن یا شناخته شدن توسط نرم افزارهای امنیتی، به فعالیت خود ادامه دهند".