IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

Fortinet

کلمات رایج امنیت شبکه و فناوری اطلاعات IPImen

آسیب پذیری VPN، راهکار حمله هکرهای مرتبط با کره شمالی به موسسه تحقیقات هسته ای

takian.ir north korea exploited vpn flaw to hack south nuclear research institute main

یک سازمان تحقیقات انرژی هسته ای در کره جنوبی پس از انتشار گزارش هایی مبنی بر اینکه همسایه شمالی این کشور در نقض امنیت این مجموعه دست داشته است، اذعان کرد که در حال حاضر مشغول بررسی یک نقض امنیتی میباشد.

دادستان ها تائه‌کونگ که عضو کمیته اطلاعات پارلمانی است، به تحقیقات یک مجموعه ثالث اشاره کرد که حمله 14 ماه می را به گروه APT با نام Kimsuky مورد حمایت پیونگ یانگ نسبت داده است.

به گزارش رویترز، عقبه یکی از 13 آدرس IP مورد استفاده برای حمله (27.102.114[.]89) به انستیتوی تحقیقات انرژی اتمی کره (KAERI) به این گروه برمیگردد که از حدود سال 2012 در حال فعالیت است.

ها تایه‌کونگ در بیانیه ای گفته است: "این حادثه می تواند خطرات جدی امنیتی را در صورت نشت اطلاعات اصلی به کره شمالی ایجاد کند، چرا که KAERI بزرگترین اتاق فکر این کشور است که در حال مطالعه فن آوری هسته ای از جمله راکتورها و رادهای سوخت میباشد".

انستیتوی تحقیقات انرژی اتمی کره یا KAERI روز جمعه با صدور اعلانیه ای اذعان کرد که برخی از سیستم ها توسط "شخص خارجی ناشناس" از طریق آسیب پذیری VPN نقض شده است. متعاقبا پس از آن، آدرس IP عامل مخرب را مسدود کرده و باگ را وصله کرده اند.

مرکز KAERI افزود: "در حال حاضر انستیتو تحقیقات انرژی اتمی در حال بررسی موضوع هک و میزان خسارت و سایر ابعاد حادثه و موثر بودن آن با سازمان های مرتبط است".

این موسسه گفت که بیانیه قبلی مبنی بر انکار هرگونه حادثه هکری به اشتباه صادر شده است، و از هرگونه نگرانی که به دلیل این نقض به مردم تحمیل شده است، عذرخواهی کرد!

takian.ir north korea exploited vpn flaw to hack south nuclear research institute

 

تصور می شود کره شمالی پس از مذاکره با ریاست جمهوری ایالات متحده در سال 2019 که به بن بست خورد، در حال کار بر روی پلوتونیوم با گرید تسلیحات هسته ای میباشد.

به گفته مقامات آمریکایی، کیمسوکی نزدیک به یک دهه است که این دست اطلاعات را برای رژیم کره شمالی جمع آوری می کند و بیشتر به موضوعات سیاست خارجی و امنیت ملی، از جمله تحریم ها و سلاح های هسته ای می پردازد.

در اوایل این ماه، شرکت امنیت سایبری Malwarebytes موجی از حملات توسط مهاجمین برای حمله به مقامات عالی رتبه دولتی در کشور که با نصب بک‌دوری به نام AppleSeed در اندروید و ویندوز اقدام به جمع آوری اطلاعات ارزشمند میکردند را، افشا کرد.

در گذشته نیز این گروه مهاجم برای حمله به سازمانهایی از جمله موسسه Sejong چین، موسسه تجزیه و تحلیل دفاعی کره (KIDA) و وزارت وحدت ملی کره جنوبی مقصر شناخته شده است.

شایان ذکر است که از سویی دقیقا مشخص نیست از آسیب پذیری کدام VPN برای نقض شبکه استفاده شده است. اما باید بدین نکته توجه نمود که سیستم های VPN وصله نشده Pulse Secure ،SonicWall ،Fortinet FortiOS و Citrix در سال های اخیر مورد حمله چندین عامل تهدید قرار گرفته اند.

سوءاستفاده هکرها از آسیب پذیری بزرگ در Fortinet VPN

 

طبق گزارش سازمان تحقیقات فدرال (FBI) و آژانس امنیت سایبری و زیرساخت (CISA)، عاملین تهدیدات مداوم پیشرفته ضد دولتی، به طور فعال و فزاینده ای از نقاط ضعف امنیتی شناخته شده در Fortinet FortiOS سوءاستفاده می کنند و محصولات SSL VPN این شرکت را تحت تأثیر قرار داده و به خطر می اندازند.

اداره تحقیقات فدرال و آژانس امنیت سایبری و زیرساخت، یک بیانیه و راهنمایی مشترک برای هشدار به سازمان ها و کاربران در مورد نحوه استفاده هکرها از آسیب پذیری های مهم در Fortinet FortiOS VPN صادر کرده اند.

takian.ir hackers exploiting critical vulnerabilities in fortinet VPN

هدف آنها استقرار یک ساختار ضد دفاعی برای نقض امنیت مشاغل متوسط ​​و بزرگ در آینده است.

بر اساس هشداری که در روز جمعه صادر شده است، عاملین تهدیدات مداوم پیشرفته ضد دولتی، از نقاط ضعف شناخته شده در سیستم عامل امنیتی سایت FortiOS سوءاستفاده کرده و محصولات SSL VPN Fortinet را هدف قرار می دهند. با این حال، آژانس ها جزئیات بیشتری در مورد تهدیدات مدوام پیشرفته به اشتراک نگذاشته اند.

FortiOS SSL VPN در فایروال های مرزی استفاده می شود که مسئول ممانعت از برقراری ارتباط شبکه های حساس داخلی با دیگر اتصالات اینترنتی عمومی هستند.

 

سوءاستفاده چگونه انجام میپذیرد؟

FBI و CISA گزارش دادند كه عاملین تهدیدات مداوم پیشرفته، دستگاه ها را روی پورت های 4443 ، 8443 و 10443 اسكن می كنند تا پیاده سازی های امنیتی Fortinet را كه انجام نشده اند، پیدا كنند. به ویژه موارد مورد توجه در زمینه نقاط آسیب پذیری طبق CVE-2018-13379 ،CVE-2019-5591 و CVE-2020-12812 طبقه بندی شده است.

بسیار مرسوم است که چنین گروه هایی برای انجام حملات DDoS، حملات باج افزاری، کمپین های فیشینگ، حملات نفوذ زبان جستجوی ساختاری، کمپین های اطلاعات نادرست یا دیس اینفورمیشن، تخریب وب سایت و سایر انواع حملات، از نقایص مهم سوءاستفاده می کنند.

 

چند نکته درباره این خطا

CVE-2018-13379 یک خطای عبور از مسیر Fortinet FortiOS است که در آن، پورتال SSL VPN به یک مهاجم غیرمجاز اجازه می دهد تا فایل های سیستم را از طریق درخواست منابع طراحی شده ویژه HTTP، بارگیری کند.

نقص CCVE-2019-5591 یک آسیب پذیری پیکربندی پیش فرض است که به یک مهاجم غیرمجاز در همان ساختار زیرمجموعه شبکه اجازه می دهد اطلاعات حساس را به سادگی و با تقلید از سرور LDAP ضبط و ذخیره کند.

CVE-2020-12812 یک نقص تأیید اعتبار نامناسب در FortiOS SSL VPN است که به کاربر اجازه می دهد حتی در صورت تغییر نام کاربری، بدون اینکه از وی درخواست FortiToken (تایید اعتبار دو مرحله ای) انجام پذیرد، با موفقیت وارد سیستم شود.

 

چه کسانی در معرض خطر است؟

محققان آژانس های امنیتی خاطرنشان کردند که عاملین این تهدیدات گسترده و پیشرفته، می توانند از این آسیب پذیری ها برای دستیابی به رئوس نهادهای دولتی، فناوری و نهادهای تجاری استفاده کنند.

"به دست آوردن دسترسی اولیه، شرایط را برای عاملین این تهدیدات گسترده و پیشرفته جهت انجام حملات در آینده آماده میکند". پس از بهره برداری، مهاجمان به صورت جانبی حرکت کرده و اهداف خود را زیر نظر می گیرند.

"عاملین این تهدیدات مداوم پیشرفته ممکن است از هر کدام یا همه این CVE ها برای دسترسی به شبکه های چندین بخش مهم زیرساختی و متعاقبا دسترسی به شبکه های اصلی به عنوان دسترسی مقدماتی و بنیادی برای دنبال کردن و پیگیری اطلاعات یا حملات رمزگذاری داده ها استفاده کنند. عاملین این تهدیدات مداوم و پیشرفته، ممکن است از CVE های دیگر یا تکنیک های متداول بهره برداری (مانند فیشینگ) برای دستیابی به شبکه های زیرساختی حیاتی برای تعیین موقعیت و جایگاه اولیه برای حملات بعدی استفاده کنند".

ارائه بروزرسانی برای رفع اشکالات به تغییراتی در ساختار اصلی نیاز دارد و شبکه سازمان ها باید بیش از یک دستگاه VPN داشته باشند. ممکن است سیستم برای زمانی غیرفعال شود و ممکن است کار کسانی که به VPN شبانه روزی احتیاج دارند، دچار اختلال شدیدی شود. با این حال، خطر فعالیت های جاسوسی یا باج افزار به مراتب بسیار بیشتر از این دست موارد است.

عرضه باج افزار جدید Diavol توسط بات نت TrickBot

 

بر اساس آخرین تحقیقات، عوامل تهدید معروف بدافزار TrickBot با یک باج افزار جدید به نام "Diavol" مرتبط هستند.

هفته گذشته محققان آزمایشگاه های FortiGuard فورتینت گفتند که payload های باج افزار Diavol و Conti در پی حمله ناموفق به یکی از مشتریان خود که در اوایل این ماه انجام شد، در سیستم های مختلف مستقر شده اند.

بدافزار TrickBot، یک Trojan بانکی است که برای اولین بار در سال 2016 شناسایی شد و از ابتدا یک ابزار مجرمانه مبتنی بر ویندوز بوده است. این بدافزار از ماژول های مختلفی برای انجام طیف گسترده ای از فعالیت های مخرب در شبکه های مورد هدف، از جمله سرقت اعتبارنامه و انجام حملات باج افزاری استفاده می کند.

علیرغم تلاش های نیروهای امنیتی برای خنثی سازی شبکه بات، این بدافزار که همیشه در حال تکامل میباشد، ثابت کرده است که یک تهدید سایبری بسیار منعطف و تطبیق پذیر است؛ که به مانند مهاجم های مستقر در روسیه که از آنها با عنوان "عنکبوت جادوگر" نام برده می شود، به سرعت ابزارهای جدید را برای انجام حملات بعدی سازگار می کند.

takian.ir trickbot botnet found deploying new ransomware called diavol 1

گفته می شود Diavol تا به امروز تنها در یک مورد حمله اعمال شده است. منبع نفوذ هنوز ناشناخته باقی مانده است. آنچه روشن است، این است که کد منبع payload شباهت هایی با Conti دارد، حتی از متن مطالبه باج این باج افزار مشخص گردیده که برای این باج افزار، از زبان باج افزار Egregor استفاده مجدد شده است.

محققان اعلام کردند: "به عنوان بخشی از یک روش رمزگذاری کاملاً منحصر به فرد، Diavol با استفاده از Asynchronous Procedure Calls (APC) در حالت استفاده کاربر بدون الگوریتم رمزگذاری متقارن عمل می کند. معمولا طراحان باج افزار به دنبال تکمیل عملیات رمزگذاری در کمترین زمان هستند. الگوریتم های رمزگذاری نامتقارن گزینه رایجی نیستند زیرا به طور قابل توجهی کندتر از الگوریتم های متقارن هستند".

از آنجا که روتین ها در یک بافر با مجوزهای اجرا بارگذاری می شوند، یکی از جنبه های برجسته دیگر این باج افزار، اتکای آن به یک روش ضد آنالیز برای غیرشفاف و نامشخص کردن کد آن به شکل تصاویر bitmap است.

قبل از قفل کردن فایل ها و تغییر تصویر زمینه دسکتاپ با یک پیام درخواست باج، یکسری دیگر از اقدامات اصلی توسط Diavol انجام میشود، شامل ثبت دستگاه قربانی در یک سرور از راه دور، قطع و غیرفعال کردن فرایندهای در حال اجرا، یافتن درایوهای محلی و فایل های سیستم جهت رمزگذاری و جلوگیری از بازیابی فایل ها با حذف نسخه های سایه آنها.

takian.ir trickbot botnet found deploying new ransomware called diavol 2

 

همانطور که توسط تیم Kryptos Logic Threat Intelligence شرح داده شده است، تلاش جدید باج افزار Wizard Spider همزمان با "توسعه های جدید در ماژول تزریق وب TrickBot" است که نشان می دهد این گروه جرایم اینترنتی و سایبری با انگیزه مالی هنوز هم فعالانه منابع بدافزاری خود را بازیابی و تجهیز می کند.

محقق امنیت سایبری، مارکوس هاچینز در توییتی نوشت: "TrickBot ماژول کلاهبرداری بانکی خود را که برای پشتیبانی از تزریق وب به سبک Zeus به روز شده، به صحنه بازگردانده است. این می تواند نشان دهنده این باشد که آنها در حال از سرگیری عملیات کلاهبرداری بانکی خود هستند و قصد دارند دسترسی به افرادی را که با قالب تزریق وب داخلی خود آشنا نیستند، گسترش دهند".