FBI به دنبال کمک عمومی برای شناسایی هکرهای چینی در پشت حملات سایبری جهانی است

Chinese Hackers

هکرهای چینی

اداره تحقیقات فدرال ایالات متحده (FBI) از مردم در رابطه با تحقیقات در مورد هک کردن پایانه ها و شبکه های کامپیوتری مشاغل و سازمان های دولتی درخواست کمک کرده است.

این آژانس گفت: “گفته می شود که یک گروه تهدید دائمی پیشرفته، بدافزار (CVE-2020-12271) را به عنوان بخشی از مجموعه وسیعی از نفوذهای تصادفی رایانه ای که برای استخراج داده های حساس از فایروال ها در سراسر جهان طراحی شده اند، ایجاد و مستقر کرده است.”

“اف بی آی به دنبال اطلاعاتی در مورد هویت افراد مسئول این حملات سایبری است.”

این توسعه پس از مجموعه‌ای از گزارش‌های منتشر شده توسط شرکت امنیت سایبری Sophos صورت می‌گیرد که طیفی از کمپین‌ها را بین سال‌های 2018 تا 2023 نشان می‌دهد که از دستگاه‌های زیرساختی لبه‌ای آن برای استقرار بدافزارهای سفارشی یا استفاده مجدد از آنها به عنوان عواملی برای فرار از شناسایی سوء استفاده می‌کردند.

این فعالیت مخرب با نام رمز Pacific Rim که برای انجام نظارت، خرابکاری و جاسوسی سایبری طراحی شده است، به چندین گروه تحت حمایت دولت چین از جمله APT31، APT41 و Volt Typhoon نسبت داده شده است. اولین حمله به اواخر سال 2018 برمی‌گردد، زمانی که یک حمله سایبری، زیرمجموعه هندی Sophos، Cyberoam را هدف قرار داد.

امنیت سایبری

سوفوس گفت: «دشمنان زیرساخت‌های حیاتی کوچک و بزرگ و تأسیسات دولتی، عمدتاً در جنوب و جنوب شرق آسیا، از جمله تأمین‌کنندگان انرژی هسته‌ای، فرودگاه پایتخت ملی، یک بیمارستان نظامی، خدمات امنیتی دولتی و وزارتخانه‌های دولت مرکزی را هدف قرار داده‌اند».

برخی از حملات انبوه بعدی به عنوان استفاده از چندین آسیب‌پذیری روز صفر در فایروال‌های Sophos – CVE-2020-12271، CVE-2020-15069، CVE-2020-29574، CVE-2022-1040، و CVE-2022-1040، و CVE-2320 شناسایی شده‌اند. دستگاه‌ها را به خطر بیاندازد و محموله‌ها را هم به میان‌افزار دستگاه و هم به آن‌هایی که در شبکه LAN سازمانی هستند تحویل دهد.

از سال 2021 به بعد، به نظر می‌رسد که دشمنان تمرکز خود را از حملات بی‌رویه در مقیاس بزرگ به حملات «دست روی صفحه‌کلید» با تمرکز محدود و بسیار هدفمند علیه نهادهای خاص تغییر داده‌اند: سازمان‌های دولتی، زیرساخت‌های حیاتی، سازمان‌های تحقیق و توسعه، ارائه‌دهندگان مراقبت‌های بهداشتی و خرده‌فروشی. ، مالی، سازمان های نظامی و موسسات بخش عمومی در درجه اول در منطقه آسیا و اقیانوسیه.

گفته می شود از اواسط سال 2022، مهاجمان تلاش خود را بر روی نفوذ بیشتر به سازمان های خاص، فرار از شناسایی، جمع آوری اطلاعات بیشتر با اجرای دستی دستورات و استقرار بدافزارهایی مانند Asnarök، Gh0st RAT، و Pygmy Goat، یک کابل درب پشتی پیچیده متمرکز کرده اند. . برای ارائه دسترسی از راه دور مداوم به فایروال های Sophos XG و احتمالاً سایر دستگاه های لینوکس.

مرکز ملی امنیت سایبری بریتانیا (NCSC) گفت: «اگرچه حاوی هیچ فن‌آوری جدیدی نیست، Pygmy Goat در نحوه تعامل بازیگران با آن در صورت نیاز و در عین حال ترکیب شدن با ترافیک عادی شبکه، بسیار پیچیده است.

این کد به خودی خود تمیز است، با توابع کوتاه و ساختارمندی که به توسعه‌پذیری آینده کمک می‌کند، و اشکالات در سرتاسر بررسی می‌شوند، که نشان می‌دهد توسط یک توسعه‌دهنده یا توسعه‌دهندگان شایسته نوشته شده است.

درب پشتی، یک روت کیت جدید که به شکل یک شی مشترک (“libsophos.so”) است، پس از بهره برداری از CVE-2022-1040 پیدا شد. روت کیت بین مارس و آوریل 2022 در یک دستگاه دولتی و یک شریک فناوری و دوباره در ماه مه 2022 روی دستگاهی در یک بیمارستان نظامی مستقر در آسیا مشاهده شد.

این به کار یک بازیگر تهدید چینی نسبت داده می‌شود که توسط Sophos به نام Tstark که با دانشگاه علوم و فناوری الکترونیک چین (UESTC) در چنگدو پیوند دارد، ردیابی شده است.

این برنامه با “قابلیت گوش دادن و پاسخ به بسته های ICMP ساخته شده خاص ارائه می شود که اگر توسط دستگاه آلوده دریافت شود، یک پروکسی SOCKS یا اتصال باطن را به یک آدرس IP انتخابی مهاجم باز می کند.”

Sophos گفت که در مرحله اول با استقرار هسته اولیه خود بر روی دستگاه‌های متعلق به بازیگران تهدیدکننده چینی برای انجام تحقیقات سوءاستفاده‌ای مخرب، از جمله دستگاه‌های متعلق به موسسه تحقیقاتی دو مارپیچ فناوری اطلاعات سیچوان، مقابله کرد و بدین ترتیب آسیب‌پذیری را دید. اجرای کد از راه دور قبلاً ناشناخته و پنهان» در جولای 2020.

این شرکت افزود که تجزیه و تحلیل پیگیری در آگوست 2020 منجر به کشف یک آسیب پذیری کم خطر اجرای کد پس از احراز هویت از راه دور در یکی از اجزای سیستم عامل شد.

علاوه بر این، شرکت متعلق به Thoma Bravo گفت که متوجه الگوی دریافت گزارش‌های پاداش باگ «بسیار مفید اما مشکوک» حداقل دو بار (CVE-2020-12271 و CVE-2022-1040) از افرادی شده است که مشکوک به داشتن روابط هستند. به… . برای تحقیق در موسسات در چنگدو قبل از استفاده مخرب.

امنیت سایبری

یافته‌ها مهم هستند، به‌ویژه از آنجایی که نشان می‌دهند فعالیت‌های تحقیق و توسعه آسیب‌پذیری فعال در منطقه سیچوان در حال انجام است و سپس به گروه‌های مختلف خط مقدم تحت حمایت دولت چین که اهداف، قابلیت‌ها و فناوری‌های پس از بهره‌برداری متفاوتی دارند، منتقل می‌شوند.

چستر ویسنیوسکی گفت: «در منطقه اقیانوس آرام، ما (…) خط مونتاژ توسعه آسیب‌پذیری روز صفر مرتبط با مؤسسات آموزشی در سیچوان، چین را مشاهده کردیم. به نظر می‌رسد این آسیب‌پذیری‌ها با مهاجمان تحت حمایت دولت به اشتراک گذاشته شده است، که برای یک دولت-ملت منطقی است که چنین اشتراک‌گذاری را از طریق قوانین افشای آسیب‌پذیری خود اعمال کند.»

افزایش هدف‌گیری دستگاه‌های لبه شبکه همچنین همزمان با ارزیابی تهدید انجام شده توسط مرکز امنیت سایبری کانادا (مرکز سایبری) است که نشان می‌دهد حداقل 20 شبکه دولتی کانادا توسط گروه‌های هکری تحت حمایت دولت چین در چهار سال گذشته در معرض خطر قرار گرفته‌اند. سالها توانایی های خود را افزایش دهند. منافع استراتژیک، اقتصادی و دیپلماتیک.

همچنین عوامل تهدید چین را به هدف قرار دادن بخش خصوصی برای کسب مزیت رقابتی از طریق جمع آوری اطلاعات طبقه بندی شده و اختصاصی، همراه با حمایت از ماموریت های «سرکوب فراملی» که به دنبال هدف قرار دادن اویغورها، تبتی ها، فعالان دموکراسی خواه و حامیان استقلال تایوان هستند، متهم کرد.

این سازمان افزود که بازیگران تهدید سایبری چین “در پنج سال گذشته دسترسی به چندین شبکه دولتی را به خطر انداخته اند و اطلاعات ارزشمند دیگر را جمع آوری کرده اند.” “بازیگران تهدید ایمیل هایی حاوی تصاویر ردیابی را به گیرندگان ارسال کردند تا شناسایی شبکه را انجام دهند.”

این مقاله جالب بود؟ ما را دنبال کنید توییتر و لینکدین برای خواندن مطالب انحصاری بیشتر ما.



منبع: https://thehackernews.com/2024/11/fbi-seeks-public-help-to-identify.html