انتشار شده در تاریخ 1402/07/23 - 11:07

ادعای جدید گروه RansomedVC در مورد هک شرکت کلونیال پایپ‌لاین

گروه هکری «RansomedVC» در کانال تلگرام خود ادعای جدیدی در مورد هک سیستم‎های کلونیال پایپ‌لاین مطرح کرد.

به گزارش کارگروه حملات سایبری سایبربان؛ برخی ادعاهای مطرح شده از سوی گروه هکری «RansomedVC» در کانال تلگرام آنها سر و صدای زیادی به وجود آورده است.

این گروه هکری در پست خود ادعا کرد که (1) راب لی (Rob Lee) از دراگوس (Dragos) فردی احمق را فریب داده و در نتیجه (2) RansomedVC قصد داشت فایل‌هایی را فاش کند که ظاهراً لی از شرکت آمریکایی «Colonial Pipeline» خریداری کرده تا از اکسنچر (Accenture) و دراگوس دور کند.

گروه هکری در کانال تلگرام خود نوشت :

«ما با موفقیت کنترل سیستم‎های کلونیال پایپ‌لاین را به دست گرفته‌ایم. راب لی، مدیر عامل دراگوس، ظاهراً یک عامل تهدید است، پرونده‎هایی برای انتقام از تقلب او به بیرون درز ‌کردند و سیستم‌های کلونیال پایپ‌لاین تحت کنترل RansomedVC هستند.»

به نظر می‌رسد که این گروه هکری برخی ادعاهای قبلی خود را منتفی می‌داند.

سخنگوی RansomedVC گفت :

«راب لی به طور تصادفی تجارت و ارتباط خود را با ما متوقف کرد، اما او همچنان با سایر IABها کار می‌کرد.»

به گفته کارشناسان، توقف تجارت با کسی با فریب دادن او یکسان نیست و این به نظر می‌رسد به جای اینکه واقعاً فریب بخورد، از دست دادن کسب‌وکار باشد. تنها پاسخ RansomedVC این بود :

«او قرار بود برای فایل‌های دیگری که مورد بحث قرار گرفته‌اند، پول بپردازد و ما درمورد قیمت‌ها نیز توافق کردیم.»

کارشناسان معتقدند که همه در مورد نحوه هک شدن کلونیال پایپ‌لاین یا تصرف سیستم‌های آنها توسط RansomedVC گیج شده‌اند؛ وقتی این سؤال از RansomedVC پرسیده شد که :

«چه کسی هک شد؟ کلونیال پایپ‌لاین، دراگوس یا اکسنچر؟ و اگر این یک هک نبود، چه چیزی بود؟»

RansomedVC پاسخ داد :

«اکسنچر (هک شد)، اما راب (لی) فایل‌ها را به عنوان اهرمی برای جستجوی غیرقانونی کلونیال پایپ‌لاین از Accenture خریداری کرد. اکسنچر در چند روز گذشته هک شده و دسترسی با فیشینگ لاگین به دست آمده است.»

اما اگر اکسنچر هک شده، پس چگونه آنها سیستم‌های کلونیال پایپ‌لاین را تصرف کردند؟ خب، معلوم است که آنها این کار را نکرده‌اند و وقتی در مورد این ادعا سؤال شد، سخنگوی گروه هکری بلافاصله پست تلگرام خود را ویرایش کرد و نوشت :

«بیانیه نادرست، عذرخواهی. فقط پرونده‌ها گرفته شد.»

بنابراین، RansomedVC چه نوع داده‌هایی را منتشر کرده است؟ همانطور که دیگران ممکن است تا به حال اشاره کرده باشند، نشت داده شامل بسیاری از فایل‌های اکسنچر و فایل‌هایی از کلونیال پایپ‌لاین بود، اما اکثر فایل‌های مورد بررسی مربوط به قبل یا حدود زمانی است که «DarkSide» به کلونیال پایپ‌لاین حمله کرد. وقتی مستقیماً از RansomedVC پرسیده شد که آیا داده‌های افشا شده مربوط به هک DarkSide هستند، گروه هکری پاسخ داد نه، داده‌ها از اکسنچر و برخی فایل‌ها اخیراً هستند.

محققان 2 سند مدیریت آسیب‌پذیری تهدید را شناسایی کردند که به نظر می‌رسد در سال 2022 اصلاح شده‌اند، اما این تنها یک پوشه کوچک بود و ظاهراً بسیاری از فایل‌ها مربوط به قبل از هک DarkSide باشند.

در پاسخ به ادعای اصلی RansomedVC، کلونیال پایپ‌لاین بیانیه زیر را صادر کرد :

«کلونیال پایپ‌لاین از ادعاهای اثبات نشده در یک انجمن آنلاین مبنی بر اینکه سیستم آن توسط یک طرف ناشناس به خطر افتاده آگاه است. پس از کار با تیم‌های امنیتی و فناوری و همچنین شرکای خود در سیسا، تأیید می‌کنیم که هیچ اختلالی در عملیات ما وجود ندارد و سیستم ما در حال حاضر ایمن است. به نظر می‌رسد فایل‌هایی که به صورت آنلاین پست شده‌اند در ابتدا بخشی از نقض داده‌های شخص ثالث هستند که به کلونیال پایپ‌لاین مرتبط نیستند.»

کلونیال پایپ‌لاین اصالت فایل‌ها را با سربرگ آنها و غیره انکار نمی‌کند. آنها فقط می‌گویند که فایل‌ها اخیراً توسط یک طرف ناشناس از سیستم آنها استخراج نشده است.

آیا RansomedVC درمورد هک اخیر اکسنچر حقیقت را گفته است؟ گروه هکری هیچ مدرکی دال بر دسترسی غیرمجاز به سیستم اکسنچر در هفته گذشته از طریق اعتبارنامه ورود به سیستم فیش شده یا ابزارهای دیگر ندارند.

راب لی، به عنوان هدف RansomedVC، در توییتر اعلام کرد :

«گروه‌های جنایتکار و مخصوصاً باج‌افزارها دروغ می‌گویند.»

او همچنین در لینکدین پست کرد :

«یک جنایتکار ادعا کرده که به یک شرکت گاز باج داده شده و نام من را در آن گنجانده است تا تلاش کند شهرت خود را افزایش دهد. کاملاً مطمئن هستم که شرکت گاز باج نگرفته و من هیچ نقشی در این حادثه نداشتم. جنایتکاران و مخصوصاً گروه‌های باج‌افزاری دروغ می‌گویند. این یک تاکتیک اخاذی برای آسیب رساندن به شهرت است. قبل از نتیجه‌گیری سریع، مطمئن شوید که موارد را تأیید می‌کنید.»

کارشناسان براین باورند که با توجه به اظهارات RansomedVC، هیچ درخواست باج‌گیری از کلونیال پایپ‌لاین وجود نداشت، زیرا فایل‌ها به لی فروخته شدند. البته این کاملاً با ادعای آنها در حساب تلگرام خود در تضاد است که آنها در حال افشای فایل‌های کلونیال پایپ‌لاین هستند.

اگر هکرها سعی نکردند اکسنچر یا پایپ‌لاین یا دراگوس را اخاذی کنند، آیا تمام این موضوع واقعاً به دنبال تخریب شهرت راب لی است؟ اگر چنین است، احتمالاً تمرینی بیهوده است.
RansomedVC همچنین به ادعاهای خود درباره راب لی ادامه می‌دهد و تهدید کرد که اگر او به اشتباه خود اعتراف نکند، ایمیل‌های او را فاش خواهد کرد.

دراگوس نیز در این خصوص بیانیه‌ای منتشر کرد :

«ما ادعاها را دیده‌ایم و آشکارا نادرست هستند. مدیر عامل ما نه تنها درگیر نبود، بلکه هرگز داده‌ها را خریداری نکرد و سعی نکرد از آن استفاده کند، یا هر چیز دیگری که جنایتکاران ادعا می‌کنند. این رفتار منزجر کننده است اما جدید نیست و متأسفانه آزار و اذیت مستمر متخصصان امنیت سایبری در مقابله با مجرمان یک هنجار جدید است.»