حمله‌ی نفوذگران ادوبی این بار به یک وب‌گاه مهم اقتصادی

شرکت PR Newswire اعلام کرد که در اثر یک رخنه‌ی امنیتی مجبور به بازنشانی گذرواژه‌های مشتریان خود شده است. این حمله توسط گروهی صورت گرفته است که چندی پیش حجم عظیمی از اطلاعات حساس ادوبی را به سرقت برده بودند.

نفوذگران در حمله‌ی خود به وب‌گاه PR Newswire اطلاعات حساسی همچون نام‌های کاربری و نیز گذرواژه‌های رمزنگاری‌شده‌ی مشتریان را به سرقت برده‌اند. PR Newswire یک شرکت اقتصادی شناخته‌شده است که با برخورداری از یک شبکه‌ی ارتباطی گسترده، راه‌کارهای بازاریابی و نیز سایر خدمات ارتباطی را برای شرکت‌ها عرضه می‌کند.

به گفته‌ی کارشناسان امنیتی، اگر گذرواژه‌های سرقت‌شده در این حمله از طریق روش‌هایی چون جدول‌های رنگین‌کمانی1 رمزگشایی می‌شد نفوذگران می‌تواسنتند یک فاجعه‌ی اقتصادی را رقم بزنند. به اعتقاد این‌ کارشناسان کافی بود تا نفوذگران به یکی از گذرواژه‌ها دست بیابند؛ در این صورت آن‌ها می‌توانستند با سوءاستفاده از شبکه‌ی ارتباطی گسترده‌ی PR Newswire اطلاعات غیرواقعی در زمینه‌هایی همچون درآمد شرکت‌ها منتشر نموده و حتی به دروغ تغییر قیمت سهام آن‌ها را اعلام کنند. چنین کاری در عمل می‌توانست سبب افزایش یا کاهش شدید سهام شرکت‌ها و در نتیجه هرج و مرج در بورس‌های سراسر جهان گردد. خوشبختانه هنوز نمونه‌ای که این موضوع را تأیید کند مشاهده نشده است.

به نظر می‌رسد گروه مسئول حمله به ادوبی این حمله را هم ترتیب داده باشند، چرا که گذرواژه‌ها و نام‌های کاربری سرقت‌شده در این حمله، در همان کارگزاری ذخیره شده بود که ادوبی اطلاعات خود را ذخیره می‌کرد.

شرکت PR Newswire در این زمینه اطلاعیه‌ای منتشر کرده است که در آن با تأیید این رخنه‌ی امنیتی، اعلام کرده است که مدتی طول کشیده تا متوجه حمله شود و کاربران را هم از آن باخبر نماید. این شرکت همچنین اعلام کرده است که به دقت در حال بررسی جزئیات حمله است. بنابر اعلام این شرکت همچنین اطلاعات سرقت‌شده بر روی کارگزاری قرار داشته‌اند که اطلاعات مربوط به حساب‌های کاربری مشتریان این شرکت در اروپا، خاورمیانه، آفریقا و هند بر روی آن ذخیره می‌شده است. این شرکت در اطلاعیه خود همچنین آورده است که «ما به دقت در حال بررسی عمق این نفوذ هستیم و نهادهای قانونی را هم از این امر آگاه ساخته‌ایم. همچنین بررسی‌های اولیه‌ی ما نشان می‌دهد که اطلاعات حساب مالی مشتریان در این حمله مورد دستبرد قرار نگرفته است.»

PR Newswire در ادامه اعلام کرده است که برای پیشگیری از سوءاستفاده‌های احتمالی، همه‌ی کاربرانی که اطلاعات‌شان در این حمله مورد سرقت قرار گرفته را مجبور به بازنشانی گذرواژه کرده است. این شرکت همچنین از مشتریان خواسته تا از گذرواژه‌های ایمن استفاده نمایند. PR Newswire در این بیانیه اعلام کرده است که در حال تقویت سدهای دفاعی خود است تا در آینده چنین مشکلاتی به‌وجود نیاید.

الکس هولدن2، مدیر ارشد اطلاعات امنیتی شرکت Hold Security در این زمینه اظهار داشت: «اگر نفوذگران بتوانند از زبان شرکت‌های بزرگ اطلاعات دروغینی را منشتر نمایند فاجعه‌ی اقتصادی بزرگی رخ خواهد داد.» شرکت Hold Security همچنین در اطلاعیه‌ای جزئیات بیشتری را در این زمینه منتشر کرده است. در اطلاعیه‌ی مذکور آمده است: «این حمله از سوی نفوذگرانی صورت گرفته که پیش‌تر حملاتی چون LexisNexis، ادوبی و NW3C را صورت داده بود. بررسی‌های ما نشان می‌دهد که در حمله به ادوبی، کارگزاری مورد حمله قرار گرفته است که علاوه بر اطلاعات این شرکت، اطلاعات حساس PR Newswire همچون بخشی از کد وب‌گاه و تنظیمات آن را به همراه اطلاعات بخشی از مشتریان این شرکت در خود جای داده بود.»

بنا بر اعلام Hold Security، نفوذگران آرشیو اطلاعات سرقت‌شده از PR Newswire را به صورت هوشمندانه‌ای در قالب یک image بر روی کارگزار مورداستفاده‌ی خود ذخیره کرده بودند. تاریخ اطلاعات سرقت‌شده متعلق به ۸ مارس ۲۰۱۳ است، اما هنوز مشخص نیست که آیا حمله در همین زمان صورت گرفته و یا خیر، چرا که تاریخ ایجاد image مذکور مربوط به ۲۲ آوریل ۲۰۱۳ است. این شرکت در پایان اعلام می‌دارد که «هنوز موردی مبنی بر سوءاستفاده از این اطلاعات مشاهده نشده است، اما ماهیت این حمله و مقصود نفوذگران از انجام آن سوال‌های بسیاری را ایجاد کرده است.»

Hold Security همچنین در ادامه و با به‌روز‌رسانی اطلاعیه‌ی خود اعلام کرد که در تاریخ ۱۳ فوریه، حملاتی با استفاده از اکسپلویت‌های ColdFusion بر علیه چندین شبکه‌ی PR Newswire صورت گرفته است که به احتمال قوی منجر به این رخنه شده است.

در پی این حمله و نیز حمله‌ای که بر علیه ادوبی صورت گرفت، شرکت امنیتی Trusteer به کاربران هشدار داده است که احتمال سوءاستفاده‌ی نفوذگران از کدهای سرقتی برای ایجاد آسیب‌پذیری‌های روز صفرم بسیار است.