اداره تحقیقات فدرال ایالات متحده (FBI) از مردم در رابطه با تحقیقات در مورد هک کردن پایانه ها و شبکه های کامپیوتری مشاغل و سازمان های دولتی درخواست کمک کرده است.
این آژانس گفت: “گفته می شود که یک گروه تهدید دائمی پیشرفته، بدافزار (CVE-2020-12271) را به عنوان بخشی از مجموعه وسیعی از نفوذهای تصادفی رایانه ای که برای استخراج داده های حساس از فایروال ها در سراسر جهان طراحی شده اند، ایجاد و مستقر کرده است.”
“اف بی آی به دنبال اطلاعاتی در مورد هویت افراد مسئول این حملات سایبری است.”
این توسعه پس از مجموعهای از گزارشهای منتشر شده توسط شرکت امنیت سایبری Sophos صورت میگیرد که طیفی از کمپینها را بین سالهای 2018 تا 2023 نشان میدهد که از دستگاههای زیرساختی لبهای آن برای استقرار بدافزارهای سفارشی یا استفاده مجدد از آنها به عنوان عواملی برای فرار از شناسایی سوء استفاده میکردند.
این فعالیت مخرب با نام رمز Pacific Rim که برای انجام نظارت، خرابکاری و جاسوسی سایبری طراحی شده است، به چندین گروه تحت حمایت دولت چین از جمله APT31، APT41 و Volt Typhoon نسبت داده شده است. اولین حمله به اواخر سال 2018 برمیگردد، زمانی که یک حمله سایبری، زیرمجموعه هندی Sophos، Cyberoam را هدف قرار داد.
سوفوس گفت: «دشمنان زیرساختهای حیاتی کوچک و بزرگ و تأسیسات دولتی، عمدتاً در جنوب و جنوب شرق آسیا، از جمله تأمینکنندگان انرژی هستهای، فرودگاه پایتخت ملی، یک بیمارستان نظامی، خدمات امنیتی دولتی و وزارتخانههای دولت مرکزی را هدف قرار دادهاند».
برخی از حملات انبوه بعدی به عنوان استفاده از چندین آسیبپذیری روز صفر در فایروالهای Sophos – CVE-2020-12271، CVE-2020-15069، CVE-2020-29574، CVE-2022-1040، و CVE-2022-1040، و CVE-2320 شناسایی شدهاند. دستگاهها را به خطر بیاندازد و محمولهها را هم به میانافزار دستگاه و هم به آنهایی که در شبکه LAN سازمانی هستند تحویل دهد.
از سال 2021 به بعد، به نظر میرسد که دشمنان تمرکز خود را از حملات بیرویه در مقیاس بزرگ به حملات «دست روی صفحهکلید» با تمرکز محدود و بسیار هدفمند علیه نهادهای خاص تغییر دادهاند: سازمانهای دولتی، زیرساختهای حیاتی، سازمانهای تحقیق و توسعه، ارائهدهندگان مراقبتهای بهداشتی و خردهفروشی. ، مالی، سازمان های نظامی و موسسات بخش عمومی در درجه اول در منطقه آسیا و اقیانوسیه.
گفته می شود از اواسط سال 2022، مهاجمان تلاش خود را بر روی نفوذ بیشتر به سازمان های خاص، فرار از شناسایی، جمع آوری اطلاعات بیشتر با اجرای دستی دستورات و استقرار بدافزارهایی مانند Asnarök، Gh0st RAT، و Pygmy Goat، یک کابل درب پشتی پیچیده متمرکز کرده اند. . برای ارائه دسترسی از راه دور مداوم به فایروال های Sophos XG و احتمالاً سایر دستگاه های لینوکس.
مرکز ملی امنیت سایبری بریتانیا (NCSC) گفت: «اگرچه حاوی هیچ فنآوری جدیدی نیست، Pygmy Goat در نحوه تعامل بازیگران با آن در صورت نیاز و در عین حال ترکیب شدن با ترافیک عادی شبکه، بسیار پیچیده است.
این کد به خودی خود تمیز است، با توابع کوتاه و ساختارمندی که به توسعهپذیری آینده کمک میکند، و اشکالات در سرتاسر بررسی میشوند، که نشان میدهد توسط یک توسعهدهنده یا توسعهدهندگان شایسته نوشته شده است.
درب پشتی، یک روت کیت جدید که به شکل یک شی مشترک (“libsophos.so”) است، پس از بهره برداری از CVE-2022-1040 پیدا شد. روت کیت بین مارس و آوریل 2022 در یک دستگاه دولتی و یک شریک فناوری و دوباره در ماه مه 2022 روی دستگاهی در یک بیمارستان نظامی مستقر در آسیا مشاهده شد.
این به کار یک بازیگر تهدید چینی نسبت داده میشود که توسط Sophos به نام Tstark که با دانشگاه علوم و فناوری الکترونیک چین (UESTC) در چنگدو پیوند دارد، ردیابی شده است.
این برنامه با “قابلیت گوش دادن و پاسخ به بسته های ICMP ساخته شده خاص ارائه می شود که اگر توسط دستگاه آلوده دریافت شود، یک پروکسی SOCKS یا اتصال باطن را به یک آدرس IP انتخابی مهاجم باز می کند.”
Sophos گفت که در مرحله اول با استقرار هسته اولیه خود بر روی دستگاههای متعلق به بازیگران تهدیدکننده چینی برای انجام تحقیقات سوءاستفادهای مخرب، از جمله دستگاههای متعلق به موسسه تحقیقاتی دو مارپیچ فناوری اطلاعات سیچوان، مقابله کرد و بدین ترتیب آسیبپذیری را دید. اجرای کد از راه دور قبلاً ناشناخته و پنهان» در جولای 2020.
این شرکت افزود که تجزیه و تحلیل پیگیری در آگوست 2020 منجر به کشف یک آسیب پذیری کم خطر اجرای کد پس از احراز هویت از راه دور در یکی از اجزای سیستم عامل شد.
علاوه بر این، شرکت متعلق به Thoma Bravo گفت که متوجه الگوی دریافت گزارشهای پاداش باگ «بسیار مفید اما مشکوک» حداقل دو بار (CVE-2020-12271 و CVE-2022-1040) از افرادی شده است که مشکوک به داشتن روابط هستند. به… . برای تحقیق در موسسات در چنگدو قبل از استفاده مخرب.
یافتهها مهم هستند، بهویژه از آنجایی که نشان میدهند فعالیتهای تحقیق و توسعه آسیبپذیری فعال در منطقه سیچوان در حال انجام است و سپس به گروههای مختلف خط مقدم تحت حمایت دولت چین که اهداف، قابلیتها و فناوریهای پس از بهرهبرداری متفاوتی دارند، منتقل میشوند.
چستر ویسنیوسکی گفت: «در منطقه اقیانوس آرام، ما (…) خط مونتاژ توسعه آسیبپذیری روز صفر مرتبط با مؤسسات آموزشی در سیچوان، چین را مشاهده کردیم. به نظر میرسد این آسیبپذیریها با مهاجمان تحت حمایت دولت به اشتراک گذاشته شده است، که برای یک دولت-ملت منطقی است که چنین اشتراکگذاری را از طریق قوانین افشای آسیبپذیری خود اعمال کند.»
افزایش هدفگیری دستگاههای لبه شبکه همچنین همزمان با ارزیابی تهدید انجام شده توسط مرکز امنیت سایبری کانادا (مرکز سایبری) است که نشان میدهد حداقل 20 شبکه دولتی کانادا توسط گروههای هکری تحت حمایت دولت چین در چهار سال گذشته در معرض خطر قرار گرفتهاند. سالها توانایی های خود را افزایش دهند. منافع استراتژیک، اقتصادی و دیپلماتیک.
همچنین عوامل تهدید چین را به هدف قرار دادن بخش خصوصی برای کسب مزیت رقابتی از طریق جمع آوری اطلاعات طبقه بندی شده و اختصاصی، همراه با حمایت از ماموریت های «سرکوب فراملی» که به دنبال هدف قرار دادن اویغورها، تبتی ها، فعالان دموکراسی خواه و حامیان استقلال تایوان هستند، متهم کرد.
این سازمان افزود که بازیگران تهدید سایبری چین “در پنج سال گذشته دسترسی به چندین شبکه دولتی را به خطر انداخته اند و اطلاعات ارزشمند دیگر را جمع آوری کرده اند.” “بازیگران تهدید ایمیل هایی حاوی تصاویر ردیابی را به گیرندگان ارسال کردند تا شناسایی شبکه را انجام دهند.”
منبع: https://thehackernews.com/2024/11/fbi-seeks-public-help-to-identify.html