گزارش: ماموران مخفی ایالات متحده مظنون به جاسوسی توسط هکرهای چینی
به گزارش زوم ارز، یک گروه از هکرها از یک آسیبپذیری روز صفر در نرمافزار Versa Director بهرهبرداری کردند. این نرمافزار توسط تعدادی از ارائهدهندگان خدمات اینترنتی (ISP) استفاده میشود. طبق گفته آزمایشگاههای بلک لوتوس و تهدیدات Lumen Technologies، این گروه توانسته است به چندین شرکت اینترنتی در داخل و خارج از ایالات متحده آسیب برساند.
برای اطلاع از تمامی اخبار کانال تلگرام ما را دنبال کنید
با توجه به تاکتیکها و تکنیکهای شناخته شده و مشاهده شده، Black Lotus Labs اشارهای به بهرهبرداری از آسیبپذیری CVE-2024-39717 و استفاده عملیاتی از پوسته وب VersaMem میکند. Lumen با اظهار اعتماد متوسط به بازیگران تهدید کننده تحت حمایت دولت چین که به عنوان Volt Typhoon و Bronze Silhouette مشهورند، این اطلاعات را ارائه داد.
محققان لومن تشخیص داده اند که چهار شهروند آمریکایی و یک شهروند خارجی به عنوان قربانیان یک حمله شناسایی شده اند. به گزارش واشنگتن پست، این حمله به ظاهر هدفمند، افراد دولتی و نظامیی که به طور مخفی فعالیت می کنند، و گروه هایی با منافع استراتژیک برای چین، را هدف قرار داده است.
چین رد کرد این اتهامات را. در این باره، لیو پنگیو، سخنگوی سفارت چین در واشنگتن، اعلام کرد که “Volt Typhoon” در واقع یک گروه جنایتکار سایبری باج افزار است که خود را “قدرت تاریک” مینامند و هیچ ایالت یا منطقه ای آنها را حمایت نمیکند. این بیانیه همچنین توسط لین جیان، سخنگوی وزارت امور خارجه چین، در ۱۵ آوریل به اشتراک گذاشته شد.
به گفته پژوهشگران، این نوع سوء استفاده احتمالاً ادامه خواهد داشت بدون اصلاح در سیستمهای ورسا دایرکتور.
براساس تحقیقات انجام شده، Volt Typhoon از یک قالب وب تخصصی به نام “VersaMem” برای ثبت اطلاعات ورود کاربران استفاده کرده است. VersaMem، یک نرم افزار مخرب پیچیده است که با اتصال خود به فرآیندهای مختلف و تغییر کد جاوا در سرورهای آسیب پذیر عمل میکند. این نرم افزار به طور کامل در حافظه فعال است و تشخیص آن بسیار دشوار است.
این اکسپلویت به تهدید سرورهای Versa Director میپردازد که اغلب توسط ارائهدهندگان خدمات اینترنتی و مدیریت شده استفاده میشوند. این سرورها را به یک هدف جذاب برای افرادی تبدیل میکند که به دنبال گسترش دسترسی خود از طریق تنظیمات مدیریت شبکه سازمانی هستند.
روز دوشنبه، شرکت Versa Networks اعلام کرد که آسیبپذیری مورد نظر را تایید کرده و اظهار داشته است که در حداقل یک مورد شناخته شده، این آسیبپذیری مورد سوءاستفاده قرار گرفته است.
شاید دنبال کردن این اخبار برای شما مفید باشد: |
Lumen اظهار داشت که تنها چند روز قبل از اولین عملیات بهرهبرداری، پوسته وب VersaMem برای اولین بار در تاریخ ۷ ژوئن در VirusTotal آپلود شد. این بدافزار که با استفاده از Apache Maven کامپایل شده است، دارای نظرات به زبان چینی در کد آن است. تا اواسط ماه آگوست، هنوز این بدافزار توسط نرمافزارهای آنتیویروس شناسایی نشده است.
براندون ولز، رئیس سابق CISA، در یک مصاحبه با The Record اظهار داشت که هکرهای چینی توانستهاند تواناییهای خود را برای حمله به تاسیسات کلیدی ایالات متحده بالا ببرند و تاکید کرده است که نیاز به تقویت امنیت سایبری وجود دارد. او بر اهمیت سرمایهگذاری در امنیت سایبری تأکید کرد.
در یک مصاحبه، او تصریح کرد که چین هنوز هم به زیرساختهای حیاتی ایالات متحده حمله میکند. اعلام تلاشهای ولت تایفون نشان می دهد که تاکتیکها و وسایل تجاری موضوع تغییراتی شده اند، اما با این حال، آنها هنوز به قصد به خطر انداختن زیرساختهای حیاتی ایالات متحده تلاش میکنند.
شرکت امنیت سایبری بر اهمیت شدت آسیب پذیری و پیچیدگی مهاجمان تأکید داشت.
در همین حال، آزمایشگاههای بلک لوتوس تاکید کردند که هر عملیاتی که برای بهبود نرمافزار به نسخه ۲۲.۱.۴ یا بالاتر وابسته به Versa Director باشد.
منبع: decrypt.co
بیشتر بخوانید:
نظرات کاربران