ماموریت نهادهای فدرال برای وصله کردن آسیب‌پذیری دل

به گزارش کارگروه امنیت خبرگزاری سایبربان، دل و گوگل روز سه‌شنبه با انتشار اطلاعیه‌هایی درباره آسیب‌پذیری CVE-2026-22769 هشدار دادند که یک عامل پیشرفته چینی دست‌کم از اواسط سال ۲۰۲۴ این نقص را هدف قرار داده است.

در اطلاعیه دل آمده است که شدت این آسیب‌پذیری ۱۰ از ۱۰ ارزیابی شده و اصلاحیه‌هایی برای رفع آن ارائه شده است.

در این اطلاعیه به یافته‌های گوگل درباره «سوءاستفاده فعال اما محدود» اشاره شده است.

شرکت امنیتی ماندیانت، متعلق به گوگل، نیز یک یادداشت فنی مفصل درباره این آسیب‌پذیری و حملات ناشی از آن منتشر کرد.

به گفته ماندیانت، این فعالیت‌ها سازمان‌هایی در سراسر آمریکای شمالی را هدف قرار داده‌اند.

سخنگوی آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) به درخواست‌ها برای اظهار نظر پاسخ نداد، اما این نهاد روز چهارشنبه تأیید کرد که CVE-2026-22769 در حال بهره‌برداری است و به تمامی سازمان‌های فدرال دستور داد حداکثر تا روز شنبه آن را وصله کنند.

به گفته شین بارنی از شرکت کیپر سکیوریتی (Keeper Security)، محصول ریکاور پوینت دل برای ماشینهای مجازی (Dell RecoverPoint for Virtual Machines) معمولاً بخشی از لایه تاب‌آوری سازمان‌ها محسوب می‌شود؛ این سامانه با تکثیر ماشین‌های مجازی و فراهم کردن قابلیت بازیابی پس از بحران، به کسب‌وکارها امکان می‌دهد در صورت اختلال ناشی از خرابی یا حمله، سامانه‌های خود را سریعاً بازیابی کنند.

او افزود از آنجا که این سامانه مستقیماً با هایپروایزرها، زیرساخت‌های ذخیره‌سازی و سامانه‌های پشتیبان‌گیری یکپارچه می‌شود، معمولاً با سطح دسترسی بالا اجرا می‌گردد و همین موضوع آن را به هدفی با ارزش بالا تبدیل می‌کند.

بارنی بیان کرد:

هدف قرار دادن پلتفرم‌های پشتیبان‌گیری و بازیابی بحران نشان‌دهنده رویکردی هدفمند و آگاهانه است. اگر مهاجم سامانه‌های مسئول بازیابی را به خطر بیندازد، می‌تواند توانایی سازمان برای بازگشت به وضعیت عادی پس از اختلال را تضعیف کند. در زمینه جاسوسی نیز، دسترسی به این لایه می‌تواند دید عمیقی از معماری زیرساخت و مجموعه داده‌های تکثیرشده فراهم کند.

در وبلاگ خود، ماندیانت و گروه اطلاعات تهدید گوگل بهره‌برداری از این نقص را به گروه UNC6201 نسبت دادند؛ گروهی که به گفته آن‌ها با طوفان ابریشم (Silk Typhoon) ارتباط دارد.

گروه طوفان ابریشم در سال ۲۰۲۴ از سوی مقامات آمریکایی به هک وزارت خزانه‌داری ایالات متحده و سوءاستفاده از آسیب‌پذیری‌های ابزارهای پرکاربرد شرکت آی‌تی ایوانتی (Ivanti) متهم شد.

چارلز کارماکال، مدیر ارشد فناوری ماندیانت، اعلام کرد مهاجمان در جریان بهره‌برداری از این آسیب‌پذیری، نسخه جدیدی از یک درِ پشتی به نام بریک استورم (BRICKSTORM) را مستقر می‌کردند.

او عنوان کرد:

هر سازمانی که از محصول ریکاور پوینت دل برای ماشینهای مجازی استفاده می‌کند باید فوراً توصیه‌های ارائه‌شده توسط دل را اجرا کند. عوامل تهدید وابسته به دولت‌ها همچنان سامانه‌هایی را هدف قرار می‌دهند که معمولاً از راهکارهای تشخیص و پاسخ در نقطه پایانی (EDR) پشتیبانی نمی‌کنند؛ موضوعی که تشخیص نفوذ را برای سازمان‌های قربانی بسیار دشوار کرده و مدت زمان حضور مهاجم در شبکه را به‌طور قابل‌توجهی افزایش می‌دهد.

او همچنین گفت آن‌ها یک درِ پشتی جدید با نام گریم بولت (GRIMBOLT) مشاهده کرده‌اند.

به گفته ماندیانت، گریم بولت ظاهراً جایگزین بدافزار بریک استورم (BRICKSTORM) شده و با حفظ بخش زیادی از معماری قبلی، به مهاجمان امکان می‌دهد آثار و نشانه‌های حمله را بهتر پاک‌سازی کنند.

پژوهشگران توضیح دادند:

مشخص نیست جایگزینی بریک استورم با گریم بولت بخشی از چرخه از پیش برنامه‌ریزی‌شده تکامل ابزارهای این عامل تهدید بوده یا واکنشی به اقدامات پاسخ به حادثه توسط ماندیانت و سایر شرکای صنعتی.

در ماه دسامبر، آژانس امنیت سایبری و امنیت زیرساخت، آژانس امنیت ملی (NSA) و مرکز امنیت سایبری کانادا درباره بریک استورم هشدار مشترکی منتشر کردند و اعلام داشتند هکرهای چینی از این ابزار برای حمله به دولت‌های چند کشور و حفظ دسترسی بلندمدت استفاده می‌کنند.

آژانس امنیت سایبری و امنیت زیرساخت هفته گذشته این هشدار را به‌روزرسانی کرد و اعلام نمود نسخه‌های جدیدتری از بریک استورم مشاهده شده که «چندمنظوره‌تر و دشوارتر برای شناسایی» هستند.

شرکت‌های امنیت سایبری مانند ماندیانت بارها گزارش داده‌اند که از مارس ۲۰۲۵، بریک استورم در حملات علیه شرکت‌های حقوقی، ارائه‌دهندگان نرم‌افزار به‌عنوان خدمت (SaaS) و شرکت‌های فناوری استفاده شده است.

هدف اولیه این حملات سرقت مالکیت فکری ارزشمند، داده‌های حساس یا دسترسی به صندوق‌های ایمیل مدیران ارشد بوده است.

شرکت کراود استرایک (CrowdStrike) نیز اعلام کرد در طول سال ۲۰۲۵ «چندین نفوذ با هدف محیط‌های وی ام ویر وی سنتر (VMware vCenter) در سازمان‌های مستقر در آمریکا» را مشاهده کرده که در آن‌ها از بریک استورم استفاده شده است.

در یکی از موارد ردیابی‌شده، هکرهای چینی از سال ۲۰۲۳ به سامانه دسترسی داشته‌اند.

مایورش دانی، مدیر پژوهش امنیتی در شرکت کوالیز (Qualys)، گفت که عوامل تهدید چینی مهارت بالایی در فعالیت در بسترهای مدرن بازیابی بحران مبتنی بر وی ام ویر دارند؛ مشابه آنچه در گزارش ماندیانت توصیف شده است.

او توضیح داد:

این آسیب‌پذیری نشان می‌دهد عامل تهدید به‌خوبی معماری‌های مدرن بازیابی بحران وی ام ویر را می‌شناسد و می‌داند چگونه به‌صورت مخفیانه در آن‌ها حضور داشته باشد. یک دستگاه به خطر افتاده می‌تواند بر اینکه کدام نسخه‌های داده تکثیر شوند، به کجا منتقل شوند و در زمان بحران چه داده‌ای بازیابی شود تأثیر بگذارد؛ بنابراین هدفی با اهرم فشار بسیار بالا محسوب می‌شود.