IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

Breach

کلمات رایج امنیت شبکه و فناوری اطلاعات IPImen

Gab.com هک شد؛ نشت پروفایل ها، پست ها، پیام های خصوصی، رمزهای عبور و...

در آخر DDoSecrets اطلاعات حساس 70 گیگابایتی متعلق به کاربران ثبت شده Gab را منتشر کرد.

گروه هکرهای DDoSecrets حجم زیادی از اطلاعات متعلق به Gab.com را فاش کرده اند. Gab یک پلتفرم شبکه اجتماعی راست گرا است که مدعی ارائه فضای "آزادی بیان" و بدون هیچگونه سانسوری است.

شایان ذکر است که Gab به عنوان محل اجتماع افراط گرایان از جمله برتری طلبان سفید پوست، نئونازی ها، ملی گرایان سفید پوست، آلت-رایت ها و نظریه پردازان تئوری توطئه QAnon توصیف شده است.

چه اتفاقی افتاده است؟!

در تاریخ 26 فوریه سال 2020، Gab.com یک پست وبلاگی را منتشر کرد که در آن، این شرکت شایعات مربوط به مورد هک واقع شدن را خطاب قرار داده و تخلفات و نشت اطلاعات را رد کرده بود.

این شرکت پس از مدت کوتاهی به شکل مرموزی از یک هفته پیش آفلاین شد و بر این مدعا اصرار میورزید که فقط چند حساب به تاثیر از یک هزرنامه کیف پول بیت کوین، آسیب دیده اند.

مدیرعامل Gab، اندرو توربا ادعا کرد که خبرنگاران با آنها تماس گرفته و در مورد نشت داده ها شامل آرشیوی از پست ها، پیام های خصوصی، پروفایل ها و رمزهای عبور هش شده صحبت کرده اند.

توربا همچنین به موضع گیری خود ادامه داد و از این شرکت تماما دفاع کرد و افزود که هیچ تایید رسمی و دقیقی در مورد نشت رخ داده وجود ندارد و همچنین مدعی شد که در مجموع سایت آنها اطلاعات شخصی زیادی را درباره کاربران خود جمع آوری نمیکند!

آنها سپس با متهم کردن خبرنگاران ناشناس به همکاری با هکرها در راستای لکه دار کردن شهرت این شرکت، اقدام به مبرا کردن خود از خطا و اشتباه در رابطه با این نشت اطلاعات کردند. توربا اذعان کرد که این سایت از وجود آسیب پذیری در برابر جمله نفوذی SQL و نقصی که در هفته پَچ شده، آگاه است و فرایند برآورد امنیتی آن هنوز ادامه دارد.

DoSecrets اطلاعات را از فعالین هک گرفته است

گروهی که مسئولیت حمله را بر عهده گرفتند خود را DDoSecrets نامگذاری کرده اند. بنیانگذار این گروه، اِما بِست خود را به جای یک گروه هکر، گروه افشاگر مانند ویکی لیکس یا گروه های هکتیویست می نامد.

وایرد گزارش داد: "DDoSecrets می گوید كه یك شركت فعال در حوزه هک كه خود را به عنوان" JaXpArO و My Little Anonymous Revival Project" معرفی می كند، اطلاعات خود را پایگاه داده های Gab در راستای تلاش برای آشکار سازی و افشای کاربران عمدتا راست گرا منتشر کرده است".

نشت اطلاعات و داده ها

همانطور که هک رید گزارش کرده و در تصویر زیر مشاهده میشود، می توان تأیید کرد که DDoSecrets، 70 گیگابایت داده تحت عنوان "GabLeaks" را به بیرون نشت داده است. این نشت شامل 70 گیگابایت پست عمومی در Gab، پست های خصوصی، پروفایل کاربری، رمزهای عبور هش شده برای کاربران، پیام های خصوصی و رمزهای عبور متن سادۀ گروه ها در قالب SQL، همراه با بیش از 70 هزار پیام در بیش از 19 هزار چت با بیش از 15 هزار کاربر گروه هایی که در سایت DDoSecrets مشخص شده، منتشر است.
takian.ir gab hacked ddosecrets leak profiles posts dms passwords online 1

در توئیتر از اِما بِست پرسیده شده است که آیا داده های Gab شامل فیلم ها یا عکس های اعتراضات و یورش به کاخ سفید است یا خیر؟ در پاسخ، بِست اذعان داشت که "نه، اما یک تیم تحقیقاتی خبره میتواند از داده ها برای بازیابی محتوای رسانه ای که در Gab بارگذاری شده اتد، استفاده کند".

نشت های قبلی DDoSecrets

در ابتدا در ماه نوامبر سال 2019، DDoSecrets اقدام به انتشار حجم زیادی از اطلاعات کرد. اولین نشت و افشای اطلاعاتی آنها به اطلاعات نشت یافته بانک معروف Cayman National برمیگردد که اطلاعاتی 2 ترابایتی را در برمیگرفت.

در ژوئن سال 2020، همان گروه، عملیاتی را با نام BlueLeaks آغاز کردند و داده های 296 گیگابایتی بیش از 200 بخش پلیس و مراکز Fusion در ایالات متحده را منتشر کردند. این اطلاعات موجب رنجش و ناراحتی مقامات شد و پلیس آلمان را مجبور به ضبط سرورهای DDoSecrets که در سوئیکا آلمان میزبانی می شدند، کرد.

takian.ir gab hacked ddosecrets leak profiles posts dms passwords online 2

Gab، راست گراها و محدودیت های کاربران

از طرفی Gab یک شبکه اجتماعی مبتنی بر آزادی بیان راست گرا است و آنها مدعی هستند که از اولین اصلاحیه قانون اساسی ایالات متحده آمریکا حمایت میکنند و با اجازه دادن به همه اشکال سخنرانی سیاسی در بستر خود، به استثنای فعالیتهای غیرقانونی، تهدید به خشونت، محتوای مستهجن، استثمار کودکان و هرزنامه نگاری، زمینه را برای ابراز عقیده فراهم ساخته اند.

علاوه بر اینها، آنها مخالف هر نوع سانسور هستند و به همین دلیل در بیش از بیست و پنج ارائه دهنده خدمات از جمله فروشگاه نرم افزاری اپل، سیستم های پردازش پرداخت، ارائه دهندگان هاست و حتی ویزا کارت ها، در طی چند سال محدود و مسدود شده اند.

آسیب پذیری VPN، راهکار حمله هکرهای مرتبط با کره شمالی به موسسه تحقیقات هسته ای

takian.ir north korea exploited vpn flaw to hack south nuclear research institute main

یک سازمان تحقیقات انرژی هسته ای در کره جنوبی پس از انتشار گزارش هایی مبنی بر اینکه همسایه شمالی این کشور در نقض امنیت این مجموعه دست داشته است، اذعان کرد که در حال حاضر مشغول بررسی یک نقض امنیتی میباشد.

دادستان ها تائه‌کونگ که عضو کمیته اطلاعات پارلمانی است، به تحقیقات یک مجموعه ثالث اشاره کرد که حمله 14 ماه می را به گروه APT با نام Kimsuky مورد حمایت پیونگ یانگ نسبت داده است.

به گزارش رویترز، عقبه یکی از 13 آدرس IP مورد استفاده برای حمله (27.102.114[.]89) به انستیتوی تحقیقات انرژی اتمی کره (KAERI) به این گروه برمیگردد که از حدود سال 2012 در حال فعالیت است.

ها تایه‌کونگ در بیانیه ای گفته است: "این حادثه می تواند خطرات جدی امنیتی را در صورت نشت اطلاعات اصلی به کره شمالی ایجاد کند، چرا که KAERI بزرگترین اتاق فکر این کشور است که در حال مطالعه فن آوری هسته ای از جمله راکتورها و رادهای سوخت میباشد".

انستیتوی تحقیقات انرژی اتمی کره یا KAERI روز جمعه با صدور اعلانیه ای اذعان کرد که برخی از سیستم ها توسط "شخص خارجی ناشناس" از طریق آسیب پذیری VPN نقض شده است. متعاقبا پس از آن، آدرس IP عامل مخرب را مسدود کرده و باگ را وصله کرده اند.

مرکز KAERI افزود: "در حال حاضر انستیتو تحقیقات انرژی اتمی در حال بررسی موضوع هک و میزان خسارت و سایر ابعاد حادثه و موثر بودن آن با سازمان های مرتبط است".

این موسسه گفت که بیانیه قبلی مبنی بر انکار هرگونه حادثه هکری به اشتباه صادر شده است، و از هرگونه نگرانی که به دلیل این نقض به مردم تحمیل شده است، عذرخواهی کرد!

takian.ir north korea exploited vpn flaw to hack south nuclear research institute

 

تصور می شود کره شمالی پس از مذاکره با ریاست جمهوری ایالات متحده در سال 2019 که به بن بست خورد، در حال کار بر روی پلوتونیوم با گرید تسلیحات هسته ای میباشد.

به گفته مقامات آمریکایی، کیمسوکی نزدیک به یک دهه است که این دست اطلاعات را برای رژیم کره شمالی جمع آوری می کند و بیشتر به موضوعات سیاست خارجی و امنیت ملی، از جمله تحریم ها و سلاح های هسته ای می پردازد.

در اوایل این ماه، شرکت امنیت سایبری Malwarebytes موجی از حملات توسط مهاجمین برای حمله به مقامات عالی رتبه دولتی در کشور که با نصب بک‌دوری به نام AppleSeed در اندروید و ویندوز اقدام به جمع آوری اطلاعات ارزشمند میکردند را، افشا کرد.

در گذشته نیز این گروه مهاجم برای حمله به سازمانهایی از جمله موسسه Sejong چین، موسسه تجزیه و تحلیل دفاعی کره (KIDA) و وزارت وحدت ملی کره جنوبی مقصر شناخته شده است.

شایان ذکر است که از سویی دقیقا مشخص نیست از آسیب پذیری کدام VPN برای نقض شبکه استفاده شده است. اما باید بدین نکته توجه نمود که سیستم های VPN وصله نشده Pulse Secure ،SonicWall ،Fortinet FortiOS و Citrix در سال های اخیر مورد حمله چندین عامل تهدید قرار گرفته اند.

حمله و نفوذ باند باج افزار REvil به پیمانکار تسلیحات هسته ای آمریکا

 

سول اورینز (Sol Oriens)، پیمانکار تسلیحات هسته ای مستقر در آمریکا، هدف یک حمله سایبری از جانب باند باج افزاری REvil قرار گرفته است. هکرها گفته اند که داده های به سرقت رفته در پی این حمله را به حراج می گذارند.

takian.ir revil ransomware gang hacks us nuclear weapons contractor 0

از سوی دیگر طبق گفته سول اورینز، این حمله توسط یک شرکت مشاوره ای که با وزارت انرژی و اداره امنیت هسته ای ملی کار می کند در دست بررسی است.

پس از انتشار خبر حمله سایبری، سخنگوی وزارت انرژی اظهار داشت:

"وزارت انرژی از حمله سایبری علیه سول اورینز آگاه است و یک شرکت مشاوره باسابقه که از مشتریانش می توان به وزارت انرژی و اداره امنیت هسته ای ملی اشاره کرد، در حال بررسی ابعاد این حمله است".

"هیچ مدرکی دال بر به خطر افتادن داده های DOE یا NNSA وجود ندارد و هیچ خطری یا تأثیری متوجه سیستم های دولتی نیست. ما همچنان با سول اورینز در ارتباط هستیم".

 

درباره سل اورینز
سول اورینس، پیمانکار هسته ای مستقر در آلبوکرک نیومکزیکو است که ادعا می کند "وزارت دفاع و وزارت سازمان های انرژی، پیمانکاران هوافضا و شرکت های فناوری را در اجرای برنامه های پیچیده" یاری می کند.

این سرویس به آژانس های دولت فدرال پاسخ می دهد و خدماتی مانند مدیریت فناوری، مدیریت برنامه، مهندسی محصول و تحقیق و توسعه اسلحه را ارائه می دهد.

سخنگوی این شرکت اعلام کرد: "تحقیقات در حال انجام است، اما ما اخیراً مشاهده کردیم که یک فرد غیر مجاز اسناد خاصی را از سیستم های ما دریافت کرده است. این اسناد در حال بررسی هستند و ما در حال کار با یک شرکت تحقیقات قانونی دیگر هستیم تا دامنه داده های از دست رفته و محتمل را که ممکن است در این زمینه وجود به سرقت رفته باشند را بررسی نماییم".

ایمون جاورز در توییتی نوشت:
سول اورینس اکنون به ما گفته است: "در ماه می سال 2021، سول اورینز از یک حادثه امنیت سایبری آگاه شده، که محیط شبکه ما را تحت تأثیر قرار داده است".

 

حراج داده های سرقت شده توسط REVIL
هفته گذشته، عملیات باج افزار REvil (با نام مستعار Sodinokibi) لیست شرکت هایی را که قصد داشتند توسط آن شرکت با بالاترین پیشنهاد به حراج بگذارند، فاش کرد. سول اورینز یکی از شرکت هایی است که این باند باج‌ افزاری ذکر کرده است.

گروه باج افزار REvil اظهار داشت که اطلاعات مربوط به مشاغل و کارمندان سول اورینز، از جمله شماره های خدمات اجتماعی و اطلاعات حقوق و دستمزد را دارد. برای اثبات قانونی بودن ادعاهای آنها، این گروه چندین تصویر از پرونده اجرایی استخدام، گزارش دستمزد و اسناد حقوق و دستمزد را نیز منتشر کرد.

گروه REVil براب عنوان اثبات اینکه آنها در هنگام حمله داده ها را به سرقت برده اند، تصاویری از یک سند اجمالی استخدام، اسناد حقوق و دستمزد و گزارش دستمزد را منتشر کرد. سول اورینز می گوید که در حال حاضر در حال بررسی اسناد و تعیین دامنه و حجم این نفوذ است.

takian.ir revil ransomware gang hacks us nuclear weapons contractor 1

تحقیقات در حال انجام است
طبق بیانیه ای از سوی دفتر مرکزی سول اورینز در نیومکزیکو، این شرکت یک شرکت تحقیقات قانونی فناوری و نیروی امنیتی را برای بررسی این حادثه منصوب کرده است. در ادامه اشاره شد که این نقض در ماه می سال 2021 کشف گردیده است.

پس از شناسایی فعالیت مشکوک در محیط شبکه شرکت، تیم فناوری اطلاعات سول اورینز سرعت امنیت را سیستم ها برگردانده و سیستم های مهم و در اولویت شرکت را بازیابی کرد.

این شرکت تأیید کرده است که هیچ نشانه ای مبنی بر فاش شدن اطلاعات طبقه بندی شده یا حساس مربوط به امنیت یا اطلاعات مربوط به مشتری وجود ندارد، اما پس از نتیجه گیری تحقیقات تیم تحقیق و تفحص قانونی، افراد و نهادهای تحت تأثیر را مطلع خواهد کرد.

در پی هک شرکت امنیتی ویدئویی Verkada، تصاویر 150 هزار دوربین امنیتی لو رفت

 

شرکت امنیتی ویدئویی و هوش مصنوعی  Verkada مورد حمله سایبری قرار گرفته است و به هکرها امکان دسترسی به بیش از 150،000 دوربین امنیتی متصل به اینترنت را که در داخل مدارس، سلولهای زندان، بخش های ICU بیمارستان ها و شرکت های بزرگی مانند تسلا، نیسان، اکیوفاکس، کلودفلیر و دیگران مورد استفاده قرار می گرفت، داده است.

این هک توسط یک گروه ضد شرکتی به نام APT-69420 ، مستقر در سوئیس انجام شده است. به گفته نماینده گروه، خانم تیل كاتمن، آنها در تاریخ 8 مارس به سیستم های ورکادا دسترسی پیدا كردند و در پی آن، هك 36 ساعت ادامه داشت. وی ورکادا، استارتاپ مستقر در سیلیکون ولِی را به عنوان "یک پلت فرم کاملاً متمرکز" توصیف کرد که دسترسی و بارگیری فیلم از هزاران دوربین امنیتی را برای تیمش آسان می کند. به نظر می رسد این تصاویر فاش شده شامل شرکت ها و موسسات بزرگ است، اما خانه های شخصی شامل این موارد نیستند.

این فیلم و تصاویر به قصد حفظ طیف وسیعی از فعالیتها که ممکن است حساس باشند ضبط میشده اند، مانند فیلم امنیتی از خط تولید ماشین تسلا و همچنین تصویر از داخل شرکت امنیتی کلودفلیر. برخی از این محتواها بسیار شخصی است، از جمله فیلم بیماران در بخش های مراقبت ویژه بیمارستان ها و زندانیان داخل زندان شهرستان مدیسون در هانتسویل ایالت آلابامای ایالات متحده آمریکا.

کاتمن امنیت در سیستم های Verkada را "ناموجود و غیرمسئولانه" توصیف کرد و گفت که گروه وی این شرکت را هدف قرار داد تا نشان دهد دسترسی به دوربین های متصل به اینترنت که در مکان های بسیار حساس قرار دارند، بسیار آسان است.

takian.ir verkada hacked and breached 1

ورکادا گفته است که آنها این نفوذ و هک را به مشتریان خود اطلاع داده اند و تیم های امنیتی آنها با یک شرکت امنیتی خارجی در حال تحقیق در مورد آن هستند. ورکادا به خبرگزاری ها اعلام کرد: "ما برای جلوگیری از هرگونه دسترسی غیرمجاز، همه حسابهای با سطح دسترسی ادمین داخلی را غیرفعال کرده ایم. تیم امنیت داخلی و شرکت امنیتی خارجی ما در حال بررسی مقیاس و دامنه این نفوذ و حمله سایبری هستند و ما این امر را به نیروی های امنیت فدرال اطلاع داده ایم."

takian.ir verkada hacked and breached 2

سازمان امنیت فدرال در این باره توضیحی نداده است. خبرگزاری ها با شرکت تسلا و اکیوفاکس تماس گرفته است اما آنها تا زمان انتشار این خبر از هرگونه اظهار نظر و ارائه پاسخی ارائه خودداری کردند.

کوتمن یک آرشیو 5 گیگابایتی را در اختیار خبرگزاری ها قرار داده است که حاوی ویدئو و تصاویر حاصل این نفوذ و هک بوده است و حمله را "غیر تکنیکال" توصیف کرد و ادعا کرد که انجام آن دشوار نبوده است!

takian.ir verkada hacked and breached 3

کاتمن گفت که گروه وی یک نام کاربری و رمز عبور ادمین ورکادا را که در یک زیر دامنه رمزگذاری نشده، ذخیره شده بود، کشف کردند. به گفته وی، این شرکت یک سیستم توسعه داخلی را در فضای اینترنت منتشر کرده است که حاوی گواهینامه های با رمزهای پیجیده است که به گفته وی به آنها امکان کنترل کامل سیستم آنها با سطح دسترسی "Super Admin" را می دهد.

کاتمن افزود: "ما اسکن هایی را در گستره بسیار وسیعی انجام می دهیم که به طبیعتا هدف از این اسکن ها، دنبال کردن و یافتن آسیب پذیری ها است. اما این مورد  بسیار آسان بود. ما به سادگی از برنامه تحت وب آنها به روشی استفاده کردیم که هر کاربری انجام می داد، اما ما این توانایی را داشتیم که شناسه خودمان را به هر حساب کاربری دلخواهمان، تغییر دهیم. ما به هیچ سروری دسترسی پیدا نکردیم. ما به سادگی با یک کاربر (حساب) سطح بالا وارد UI وب آنها شدیم".

takian.ir verkada hacked and breached 4

کوتمن گفت که گروه هکری وی انگیزه پول یا حمایت مالی هیچ کشور یا سازمانی ندارند. وی افزود: "APT-69420 توسط هیچ ملت یا شرکتی پشتیبانی نمی شود و هیچ چیزی جز روابط اجتماعی، سرگرمی و هرج و مرج پشتیبانی نمی کند".

كوتمن در پاسخ به این سوال كه آیا از عواقب ناشی از آن می ترسد نیز پاسخ داد: "شاید من باید اندکی روان پریش باشم، اما در عین حال چه چیزی تغییری می كند؟ من فقط به همان اندازه كه الان هستم، تحت هجمه و حمله قرار خواهم گرفت".