چگونه حمله چین به مایکروسافت به هک شدن “بی پروا” تبدیل می شود


در ابتدا ، هکرهای چینی یک کمپین دقیق انجام دادند. آنها به مدت دو ماه از نقاط ضعف موجود در سرورهای ایمیل Microsoft Exchange استفاده کردند ، اهداف خود را با دقت انتخاب کردند و کل صندوق های پستی را به سرقت بردند. هنگامی که سرانجام محققان این ماجرا را گرفتند ، به نظر می رسید جاسوسی آنلاین معمولی است ، اما پس از آن سرعت کار به طرز چشمگیری سرعت گرفت.

حدود 26 فوریه ، عملیات باریک به چیزی بسیار بزرگتر و بسیار آشفته تر تبدیل شد. فقط چند روز بعد ، مایکروسافت هک ها را به صورت علنی – هکرهایی که اکنون به هافنیوم معروف هستند – آشکار کرد و یک وصله امنیتی صادر کرد. اما تا آن زمان ، مهاجمان به دنبال اهداف از طریق اینترنت بودند: علاوه بر دهها هزار مورد تلفات گزارش شده در ایالات متحده ، دولتهای سراسر جهان می گویند که آنها نیز مورد مصالحه قرار گرفته اند. به گفته شرکت امنیتی ESET ، حداقل 10 گروه هکر که اکثر آنها تیم جاسوسی سایبری تحت حمایت دولت هستند ، اکنون از آسیب پذیری هزاران سرور در بیش از 115 کشور جهان بهره برداری می کنند.

در حالی که رئیس جمهور بایدن انتقام خود را از هكرهای روسی در نظر می گیرد كه حمله آنها به یك شركت نرم افزاری دیگر ، SolarWinds ، در ماه دسامبر علنی شد ، هك هافنیوم به یك برنامه رایگان عظیم برای همه تبدیل شده است و عواقب آن حتی می تواند بدتر باشد. در حالی که کارشناسان در تلاشند تا خلا found موجود در هک چین را پر کنند ، مقامات می گویند دولت ایالات متحده از نزدیک روی آنچه که برای هزاران سرور تازه به خطر افتاده اتفاق می افتد – و چگونگی پاسخ به چین متمرکز است.

شان کوئسل ، معاون رئیس Volexity ، شرکت امنیت سایبری که به کشف تجارت هک کمک کرد ، گفت: “دروازه ها برای هر بازیگر بدی که می خواهد در سرور Exchange و بقیه شبکه شما انجام دهد ، کاملاً باز است.” “بهترین حالت جاسوسی است – کسی که فقط می خواهد داده های شما را بدزدد. بدترین حالت ورود و توزیع باج افزار در سراسر شبکه است. “

تفاوت این دو حمله فقط در جزئیات فنی یا حتی کشور انجام نشده است. اگرچه 18000 شرکت نرم افزار SolarWinds را که به خطر افتاده است بارگیری کردند ، تعداد اهداف واقعی تنها بخش کوچکی از آن اندازه بود. در همین حال ، هافنیوم بسیار تمیزتر بود.

دیمیتری آلپروویچ ، رئیس شتاب دهنده سیاست Silverado و از بنیانگذاران شرکت امنیتی CrowdStrike گفت: “هر دو به عنوان کارزارهای جاسوسی آغاز شدند ، اما تفاوت در نحوه انجام آنهاست.” “کمپین SolarWinds روسیه با دقت زیادی انجام شد ، جایی که روس ها بر روی اهدافی که به آن علاقه داشتند متمرکز شدند و دسترسی به جای دیگر را متوقف کردند تا نه آنها و نه دیگران بتوانند به اهداف مورد علاقه خود وارد شوند.”

وی گفت: “این را با مبارزات انتخاباتی چین مقایسه کنید.”

“در 27 فوریه ، آنها فهمیدند که پچ بیرون می آید ، و آنها به معنای واقعی کلمه جهان را اسکن کردند تا همه را مصالحه کنند. آنها پوسته های وب بر جای گذاشته اند که اکنون می تواند به دیگران امکان ورود به این شبکه ها را بدهد ، حتی به طور بالقوه حتی بازیگران باج افزار. به همین دلیل است که بسیار بی پروا ، خطرناک است و باید به آن پاسخ داد. “

استثمار گسترده

کوزل گفت ، آغاز کارزار هفنی “بسیار زیر رادار بود”.

اکثر بررسی های امنیتی این هک را از دست داده بود: این فقط زمانی متوجه شد که Volexity درخواست های عجیب و خاصی را برای مراجعه به این شرکت که از سرورهای ایمیل Microsoft Exchange خود استفاده می کردند ، برای بازدید از اینترنت مشاهده کرد.

تحقیقات یک ماهه نشان داده است که چهار مورد نادرست بهره برداری در روز صفر برای سرقت صندوق های پستی مورد استفاده قرار می گیرد – که به طور بالقوه برای افراد آسیب دیده و شرکت ها ویرانگر است ، اما در حال حاضر تلفات کم است و خسارات آن نسبتاً محدود است. Volexity هفته ها با مایکروسافت همکاری کرده است تا آسیب پذیری ها را برطرف کند ، اما Koessel می گوید که اواخر فوریه تغییر بزرگی را شاهد بود. تعداد قربانیان نه تنها شروع به افزایش کرد ، بلکه تعداد گروه های هکر نیز افزایش یافت.

قبل از اعلامیه عمومی مایکروسافت مشخص نیست که چند گروه هکر دولتی این آسیب پذیری ها را برای روز صفر متوجه شده اند. پس چرا سطح بهره برداری منفجر شد؟ شاید ، برخی پیشنهاد می کنند ، ممکن است هکرها متوجه شده باشند که زمان آنها تقریباً تمام شده است. اگر آنها واقعاً می دانستند که وصله ای در راه است ، از کجا می دانستند؟

“من فکر می کنم دیدن خیلی از افراد مختلف خیلی غیرمعمول است [advanced hacking] گروههایی که دسترسی به سوit استفاده از آسیب پذیری ها را دارند در حالی که جزئیات عمومی نیستند ، “گفت: ماتیو فاو ، رهبر تحقیقات هک Exchange برای ESET. وی می گوید: “دو احتمال عمده وجود دارد.” یا “جزئیات آسیب پذیری به نوعی به مشارکت کنندگان در این تهدید رسیده است” ، یا تیم تحقیقاتی دیگر درباره آسیب پذیری که برای شرکت کنندگان در این تهدید کار می کند “به طور مستقل همان آسیب پذیری ها را کشف کرده اند.”

Volexity به مدت یک ماه شاهد پنهان شدن هافنیوم در شبکه ها بود و قبل از اینکه مایکروسافت وصله ای را منتشر کند ، اقدام به اخراج آنها کرد. این می تواند محرکی باشد که باعث افزایش هافنی می شود. یا به گفته آلپروویچ ، هکرها می توانند راه دیگری برای رفع آن پیدا کنند: تیم های امنیتی در سراسر صنعت ، از جمله مایکروسافت ، مرتباً اطلاعات مربوط به آسیب پذیری ها و رفع آنها را از قبل رد و بدل می کنند. پس از اعلام عمومی مایکروسافت ، گروههای بیشتری از هکرها نیز به این نبرد پیوستند.

فا گفت: “یک روز پس از انتشار اصلاحات ، ما شاهد بسیاری از شرکت کنندگان دیگر در تهدید گسترده و سرورهای Exchange بود.” همه بجز یکی از گروههای فعال هکر ، تیم های هک شناخته شده تحت حمایت دولت هستند که بر جاسوسی متمرکز شده اند. وی گفت: “با این حال ، اجتناب ناپذیر است كه هرچه بیشتر شركت كنندگان در این تهدید ، از جمله اپراتورهای باج افزار ، دیر یا زود به بهره برداری دسترسی پیدا كنند.”

با افزایش فعالیت ، Volexity متوجه تغییر جدیدی در رفتار شد: هکرها وقتی به این سیستم ها حمله می کردند ، بسته بندی وب را ترک می کردند. اینها ابزارهای ساده هکری هستند که امکان دسترسی مداوم و از راه دور از درب پشتی به ماشین های آلوده را فراهم می کنند تا هکر بتواند آنها را کنترل کند. آنها می توانند موثر باشند ، اما نسبتاً پر سر و صدا نیز هستند و به راحتی قابل تشخیص هستند.

هنگامی که هکرها پوسته ای را روی دستگاه قرار دهند ، می توانند تا زمان پاک شدن آن بازگردند – حتی از بین بردن نقاط آسیب پذیر ، در ابتدا از طریق خطا ، پوسته ها را تمیز نمی کند. اما پوسته وب به سختی ایمن است و دیگر هکرها می توانند از آن استفاده کنند – ابتدا هک به سرورهای Exchange و سرقت ایمیل ها و سپس حمله به کل شبکه ها.

آلپروویچ می گوید: “این درب دارای قفل است که انتخاب آن آسان است.”

یک چالش متفاوت

هک شدن همچنان در حال افزایش است. مایکروسافت روز دوشنبه گام نادری را برای انتشار اصلاحات امنیتی برای نسخه های پشتیبانی نشده Exchange که معمولاً برای محافظت از آنها بسیار قدیمی است ، برداشت ، که نشانگر جدی بودن این حمله از سوی شرکت است. مایکروسافت از اظهار نظر در این باره خودداری کرد.

هرچه کاخ سفید در حال پاسخگویی است ، خطر افزایش می یابد. دولت بایدن در مقابله با جاسوسی پیشرفته SolarWinds کند عمل کرده است ، اما هرج و مرج هک های هافنیوم یک چالش کاملاً متفاوت است – هم در رفع مشکل و هم در واکنش به هکرهای پشت آن.

آلپروویچ گفت: “باید به چینی ها پیامی ارسال شود كه این غیر قابل قبول است.” وی گفت: “ایالات متحده باید روشن کند که ما آنها را در قبال خسارات وارده توسط مجرمان با استفاده از این دسترسی مسئول خواهیم دانست” و ما باید آنها را مجبور کنیم این پوسته های وب را از همه قربانیان ASAP پاک کنند. “


منبع: unbox-khabar.ir

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>