ادامه اختلال در شرکت جنگلداری دولتی لتونی پس از حمله باجافزاری
به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، این حمله که نخستین بار در اواخر ماه ژوئن رسانهای شد، باعث از کار افتادن سامانههای مختلف از جمله پلتفرم نقشهبرداری، اپلیکیشن شکار و سامانههای تبادل اطلاعات با پیمانکاران و مشتریان شد.
مقامهای لتونی اعلام کردند بررسیها نشان میدهد مهاجمان احتمالاً بیش از یک هفته پیش از شناسایی، به شبکه این شرکت نفوذ کرده بودند.
ماریس کوزمینس، مدیر فناوری اطلاعات LVM، اعلام کرد اگرچه شرایط اکنون تا حد زیادی تحت کنترل قرار گرفته، اما بازگرداندن کامل خدمات همچنان «چالشبرانگیز» است.
به گفته وی، حدود دو سوم مشتریانی که قرارداد خدمات با این شرکت دارند، هنوز امکان دسترسی به سامانههای آسیبدیده را ندارند.
کوزمینس همچنین توضیح داد که مهاجمان از یک آسیبپذیری در سامانهای سوءاستفاده کردند که حدود دو سال بهروزرسانی نشده بود، اما نام نرمافزار آسیبپذیر را فاش نکرد.
این شرکت پیشتر نیز اعلام کرده بود هیچ درخواست باجی از سوی مهاجمان دریافت نکرده و حتی در صورت دریافت چنین درخواستی نیز حاضر به پرداخت باج نخواهد بود.
شرکت LVM مسئول مدیریت بخش عمده جنگلهای دولتی لتونی، برداشت و فروش چوب، نگهداری از مناطق تفریحی عمومی و ارائه خدمات نقشهبرداری و اطلاعات جغرافیایی است و نقش مهمی در اقتصاد این کشور ایفا میکند.
تیم واکنش به رخدادهای رایانهای لتونی (CERT.LV) این حمله را به یک گروه باجافزاری خارجی با انگیزه مالی نسبت داده است؛ گروهی که پیشتر نیز شرکتها و نهادهای دولتی در کشورهای عضو ناتو و اتحادیه اروپا را هدف قرار داده بود. با این حال، هویت این گروه تاکنون اعلام نشده است.
بر اساس گزارش تیم واکنش به رخدادهای رایانهای لتونی، مهاجمان حدود ۴۴ گیگابایت از اطلاعات سرقتشده را در اینترنت منتشر کردند، اما بررسیها نشان میدهد حجم دادههایی که به آنها دسترسی پیدا کردهاند، بسیار بیشتر از اطلاعات افشاشده بوده است.
دادههای منتشرشده شامل اسناد داخلی، مکاتبات ایمیلی، مخازن کد نرمافزار، گواهیهای دیجیتال، کلیدهای رمزنگاری و اطلاعات احراز هویت کاربران بوده است.
این حمله نگرانیهایی را درباره امنیت زیرساختهای انتخاباتی لتونی نیز ایجاد کرد، زیرا LVM در توسعه قابلیتهای جدید سامانه ثبتنام الکترونیکی رأیدهندگان مشارکت داشته است؛ سامانهای که امکان رأیدادن در هر شعبه اخذ رأی را برای شهروندان فراهم میکند.
با این حال، مقامهای لتونی تأکید کردند زیرساخت انتخاباتی تحت تأثیر این حمله قرار نگرفته است، زیرا توسعه نرمافزار مربوط به این پروژه در محیطی کاملاً مجزا انجام شده و کدهای آن هرگز در مخازن نرمافزاری LVM ذخیره نشده بودند.
تیم واکنش به رخدادهای رایانهای لتونی نیز اعلام کرد تمامی نسخههای نرمافزاری تحویلشده برای این پروژه را بررسی کرده و هیچ نشانهای از کد مخرب یا دسترسی غیرمجاز پیدا نکرده است؛ بنابراین این سامانه برای استفاده در انتخابات پارلمانی آینده ایمن ارزیابی میشود.
همچنین این تیم اعلام کرد همین عامل تهدید، به یک سرور متعلق به شرکت داروسازی اولفا (Olpha)، با نام پیشین اولاینفارم (Olainfarm) نیز نفوذ کرده است.
این رخداد مهار شده و تاکنون شواهدی از گسترش خسارت فراتر از همان سرور مشاهده نشده است.
با وجود انتساب هر دو حمله به یک گروه، مقامها تأکید کردند این دو رخداد از نظر فنی ارتباط مستقیمی با یکدیگر نداشتهاند.
به گفته تیم واکنش به رخدادهای رایانهای لتونی، این گروه مهاجم همچنان به فعالیت خود در فضای سایبری لتونی ادامه میدهد و بهطور هدفمند در جستوجوی آسیبپذیریهای جدید در زیرساختهای سازمانهای دولتی و خصوصی این کشور است.