ITanalyze

واشنگتن پست در گزارشی به قلم آرون اسچافر مدعی شده است هکرهای مرتبط با دولت ایران، وارد شبکه هیئت حفاظت از سیستم‌های شایستگی شدند. این آژانس، هشداری صادر کرد که در آن، جزییات نحوه نفوذ هکرها به یک شبکه دولت فدرال که نامش فاش نشده، منتشر شده است.

در این رابطه CISA (آژانس امنیت سایبری و امنیت زیرساخت آمریکا) و اف‌بی‌آی مدعی شدند مهاجمان، تحت حمایت دولت ایران بوده و نرم‌افزار استخراج ارزهای دیجیتال و ابزارهایی برای نفوذ در سیستم‌های آژانس نصب کرده‌اند.

مشخص نیست هکرها چه اطلاعاتی را در حین حضور در شبکه آژانس، در صورت وجود اطلاعات به دست آورده‌اند.

به گزارش عصر ارتباط بر اساس هشدار  CISA، از اواسط ژوئن تا اواسط ژوئیه، هکرهای منتسب به ایران این آژانس را به خطر انداختند. این هیئت، یک آژانس شبه‌قضایی است که به شکایات کارمندان دولت فدرال در زمینه‌هایی مانند انتقام گرفتن از  خبرچین‌های اداری رسیدگی می‌کند. آنها به درخواست‌ها برای اظهارنظر درباره این حمله هکری پاسخ ندادند.

چه کسی این اقدام را انجام داد؟
به گفته افراد مطلع، گروه هک مسئول در این رابطه، به نام Nemesis Kitten نیز شناخته می‌شود. محققان امنیتی مدعی هستند این گروه از طرف دولت ایران، عملیات‌های مخرب و جاسوسی انجام می‌دهد اما آنها همچنین از باج‌افزارها و حملات دیگر برای منافع مالی استفاده می‌کنند.

بنا به ادعای جان هالتکویست، معاون اطلاعات حوزه امنیت گوگل  Mandiant، ایران و همتایانش برای انجام جاسوسی و حمله سایبری به پیمانکاران وابسته هستند. تشخیص این فعالیت‌ها از کاری که به دستور دولت انجام می‌شود، دشوار است. ما گمان می‌کنیم حداقل در برخی موارد، دولت جرم این افراد را نادیده می‌گیرد. ما معتقدیم این عملیات خاص توسط پیمانکاران انجام شده است، اگرچه نمی‌توانیم رویداد استخراج رمزارز را تایید کنیم.

برایان ور، مدیرعامل LookingGlass Cyber گفت که هکرها نرم‌افزار استخراج رمزارز را در یک آژانس فدرال مستقر کرده‌اند. این موضوع عجیب است، زیرا چنین عملیات‌هایی معمولا با دنبال کردن اهدافی بیشتر و فراتر از آنچه نشان داده می‌شوند، صورت می‌گیرد.

این مقام ارشد سابق CISA گفت: «این عجیب است که استخراج رمزارز، هدف باشد. این امکان وجود دارد که ایران از آن برای پنهان‌ کردن سایر فعالیت‌ها مانند جاسوسی یا گمراه کردن تیم واکنش به حادثه استفاده کرده باشد.»

وزارت خزانه‌داری آمریکا در ماه سپتامبر علیه پنج مرد ایرانی متهم به اتهام باج‌افزاری، تحریم‌هایی را صادر کرد. این وزارتخانه به طور قطع نمی‌تواند این افراد را به گروه  Nemesis Kitten نسبت دهد اما معتقد است برخی از فعالیت‌های مخرب سایبری آنها می‌تواند تا حدی به آن گروه و سایرین مرتبط با ایران نسبت داده شود.

چگونه این کار را انجام دادند؟
طبق گزارش CISA، هکرها از آسیب‌پذیری Log4Shell در سرور VMware Horizon وصله‌نشده سوءاستفاده کردند. Log4Shell  یک آسیب‌پذیری در  log4j، یک کتابخانه لاگینگ منبع باز محبوب است.

آژانس امنیت سایبری و امنیت زیرساخت، اواخر سال گذشته هشدار داد این آسیب‌پذیری می‌تواند بر صدها میلیون دستگاه تاثیر بگذارد. بنابراین در دسامبر به آژانس‌های فدرال دستور داده شد تا log4j را در سیستم‌های خود جستجو و دستگاه‌های آسیب‌پذیر را اصلاح کنند. آژانس‌ها تا 28 دسامبر فرصت داشتند کاهش آسیب‌پذیری دو قسمتی را تکمیل کنند.

اگرچه CISA از اظهارنظر درباره گزارش واشنگتن پست مبنی بر ضربه زدن هکرهای منتسب به ایران به هیئت حفاظت از سیستم‌های شایستگی خودداری کرد اما یک مقام ارشد CISA گفت: این هشدار بیانگر تهدید مداوم Log4Shell و نیاز به اقدام برای مقابله با آن است.

اریک گلدشتاین، دستیار اجرایی مدیر امنیت سایبری CISA گفت: «توصیه امروز بر اهمیت تمرکز مداوم بر کاهش آسیب‌پذیری‌های موردسوءاستفاده مانند Log4Shell است. این نیاز احساس می‌شود که همه سازمان‌ها به پیاده‌سازی تشخیص‌های موثر برای شناسایی فعال فعالیت‌های مخرب قبل از وقوع اثرات مخرب تاکید کنند.»

در بیانیه ایمیلی در حالی که سازمان‌ها در سراسر دولت و بخش خصوصی برای کاهش دارایی‌های دارای نسخه‌های آسیب‌پذیر Log4j اقدام کردند، ما می‌دانیم بازیگران سایبری مخرب به سرعت برای بهره‌برداری از دارایی‌های آسیب‌پذیر اقدام کرده و به این کار ادامه می‌دهند.

گروه Nemesis Kitten در گذشته با استفاده از آسیب‌پذیری Log4Shell اقداماتی انجام داده  است.

آخرین بررسی سالانه اداره مدیریت و بودجه درباره امنیت اطلاعات آژانس فدرال، هیئت حفاظت از سیستم‌های شایستگی را به‌عنوان «در معرض خطر» رتبه‌بندی کرد؛ مرحله‌ای  متوسط بین «ریسک بالا» و «مدیریت ریسک.»

در این رابطه، یک مقام آمریکایی معتقد است حضور گسترده  log4j، اصلاح قطعی آسیب‌پذیری Log4Shell را برای هر سازمانی سخت می‌کند.

این مقام مسوول نیز در اظهاراتی عجیب اعلام کرد که هیچ موجودی در این سیاره وجود ندارد که وصله log4j را نداشته باشد. زیرا بسیار فراگیر است. این فقط یک قیاس است و یافتن تک تک نمونه‌های log4j ممکن نیست.

اکنون می‌بینیم دشمنان همچنان از این اشکال استفاده می‌کنند و به دنبال آن سیستمی می‌گردند که log4j روی آن باشد.

هیات بررسی ایمنی سایبری CISA طی گزارشی در تابستان امسال هشدار داد که «نمونه‌های آسیب‌پذیر Log4j برای سال‌های آینده، شاید یک دهه یا بیشتر، در سیستم‌ها باقی خواهند ماند.»

این، دیدگاهی است که در بین کارشناسان امنیت سایبری رایج است.

دان لورنک، مدیرعامل شرکت امنیت سایبری زنجیره تامین Chainguard، از طریق ایمیل گفت: «تقریبا یک سال از کشف Log4Shell می‌گذرد و من از دیدن گزارش‌هایی مانند مشاوره امروز CISA و FBI تعجب نمی‌کنم.

در واقع،Log4Shell  بومی است و برای همیشه اطراف ما خواهد بود. در جعبه ابزار هر مهاجم باقی می‌ماند و برای دسترسی یا حرکت جانبی در آینده قابل پیش‌بینی همچنان از آن استفاده می‌شود.

نکات کلیدی
طبق گفتهCISA ، مقامات باید به دنبال تعیین فضا و اقتصاد زیستی به عنوان زیرساخت‌های حیاتی باشند. این آژانس در گزارشی اعلام کرده «فرصتی برای تعیین یک بخش فضایی و بخش اقتصاد زیستی به‌عنوان، زیرساخت حیاتی وجود دارد که منابع و مقررات امنیت سایبری بیشتری را دریافت می‌کند. پرزیدنت بایدن در نامه‌ای گفت که توصیه‌های گزارش را می‌پذیرد و مقامات کاخ سفید برای انجام وظایف با CISA همکاری خواهند کرد.

آژانس امنیت سایبری و امنیت زیرساخت آمریکا در ادامه نوشت: «چند بخش، نگاهی پراکنده یا جزئی از یک حوزه بزرگ‌تر مرتبط با کارکردهای مشترک ارایه می‌دهند. بنابراین ممکن است در نظر گرفتن ادغام آن بخش‌ها سودمند باشد.»

بر اساس این گزارش، باید بخش خدمات اضطراری را فراخواند زیرا «شامل خدماتی است که عمدتا توسط نهادهای دولتی ارایه یا نظارت می‌شود.» این گزارش، طبق یک لایحه دفاعی سالانه که در ژانویه 2021 به قانون تبدیل شد، موردنیاز بود.

در بخش پایانی گزارش واشنگتن‌پست نیز به تهدیدهای سایبری برای مسابقات جام جهانی قطر پرداخته شده و آمده است: علیرغم نبود شواهد، تهدیدات قریب‌الوقوع در جام جهانی می‌تواند شاهد جاسوسی سایبری و هکتیویسم باشد. شرکت امنیت سایبری Recorded Future در گزارشی اعلام کرد کشورهای چین، ایران و کره شمالی به احتمال زیاد حملات سایبری مخربی را با هدف قرار دادن جام جهانی فوتبال 2022 در قطرانجام ندهند. بنا بر اعلام این شرکت، «هیچ عملیات سایبری قریب‌الوقوع، برنامه‌ریزی‌شده یا درحال انجام شناسایی نشده که مسابقات، حامیان مالی یا زیرساخت‌ها را هدف قرار دهد.»

در حال حاضر، موقعیت نسبتا منحصربه‌فرد ژئوپلیتیک قطر در صحنه جهانی به این معناست که بعید است گروه‌های APT تحت حمایت دولت در چین، روسیه، ایران و کره شمالی، حمله‌ مخربی علیه جام جهانی فوتبال 2022 انجام دهند، علی‌رغم اینکه روسیه بیشترین انگیزه را برای انجام این کار دارد. در مقابل، گروه‌های هکتیویست ملی‌گرای روسی یا اپراتورهای باج‌افزار، می‌توانند حملات مخربی را علیه مسابقات انجام دهند که احتمالا با انکار کرملین همراه خواهد بود. (منبع:عصرارتباط)