نفوذ به یک آژانس آمریکایی توسط مجرمان سایبری وابسته دولتی

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، در گزارشی که روز چهارشنبه توسط آژانس امنیت سایبری و امنیت زیرساخت (CISA)، اف بی آی و سایر آژانس‌ها منتشر شد، مقامات گفته اند که هکرها از چندین آسیب‌پذیری استفاده کرده‌اند که بر محصولات توسعه‌دهنده نرم‌افزار بلغاری پراگرس تلریک (Progress Telerik) تأثیر می‌گذارد.
هکرها عمدتاً از CVE-2019-18935 سوء استفاده کرده اند؛ آسیب‌پذیری که چندین آژانس امنیت سایبری در سراسر جهان آن را به عنوان یکی از آسیب‌پذیرترین نقص‌های امنیتی در سال‌های 2020 و 2021 رتبه‌بندی می کنند.
این آسیب‌پذیری عمدتاً توسط یک گروه تهدید مداوم پیشرفته به نام پریینگ منتیس (Praying Mantis) که محققان استرالیایی ادعا کرده‌اند در چین مستقر است، استفاده شده است. در گزارشی که روز چهارشنبه منتشر شد، نامی از این گروه ذکر نشده است.
آژانس امنیت سایبری و امنیت زیرساخت یک الگوی حمله مشابه با نمونه‌ای را که توسط سینجیا (Syngia) و چندین شرکت امنیت سایبری دیگر در سال 2021 برجسته شده بود، توصیف می کند. آژانس می گوید که این آسیب‌پذیری بر تمام نسخه‌های نرم‌افزار پراگرس تلریک که قبل از سال 2020 ساخته شده بودند تأثیر خواهد گذاشت و به مهاجمان پایگاهی در وب سرور خدمات اطلاعات اینترنتی مایکروسافت (IIS) آژانس می‌دهد که برای میزبانی مطالب آنلاین استفاده می شود.
آژانس می گوید:

این اکسپلویت که منجر به دسترسی تعاملی با وب سرور می شود، عاملان تهدید را قادر خواهد ساخت تا با موفقیت کد راه دور را بر روی وب سرور آسیب پذیر اجرا کنند.

این آژانس توضیح می دهد که اسکنر آسیب پذیری آن نتوانست مشکل را تشخیص دهد زیرا ابزار پراگرس تلریک در ناحیه ای از سیستم نصب شده بود که آنها اسکن نخواهند کرد.
آژانس امنیت سایبری و امنیت زیرساخت در ادامه می افزاید که این ممکن است برای بسیاری از نصب‌های نرم‌افزاری صادق باشد، زیرا مسیرهای فایل بسته به سازمان و روش نصب متفاوت خواهد بود.
نسخه ای از ابزار پراگرس تلریک که مورد سوء استفاده قرار گرفت، چندین آسیب پذیری دیگر نیز دارد که توسط هکرها استفاده شده است، از جمله CVE-2017-11357، CVE-2017-11317 و CVE-2017-9248.
آژانس امنیت سایبری و امنیت زیرساخت توضیح می دهد که آسیب‌پذیری اصلی در ارتباط با CVE-2017-11357 یا CVE-2017-11317 مورد سوء استفاده قرار گرفته است؛ آسیب‌پذیری‌هایی که در نسخه‌های قدیمی‌تر و بروز نشده ی  تلریک که بین سال‌های 2007 و 2017 منتشر شده‌اند، وجود دارد.
همچنین در ادامه خاطرنشان می کند که هیچ مدرکی برای تأیید قطعی اینکه آیا CVE-2017-11357 یا CVE-2017-11317 در این حملات دخیل بوده اند، وجود ندارد.
علاوه بر گروه هکری تحت حمایت دولت که از این آسیب‌پذیری استفاده کرده است، یک عامل مجرم سایبری دیگر به نام گروه اکس ای (XE) نیز مشاهده شده است که فعالیت‌های شناسایی و اسکن را از طریق این باگ انجام می‌داده است.
شرکت امنیت سایبری والکسیتی (Volexity) در سال 2021 گفته بود که این گروه در ویتنام مستقر است و از طریق مصالحه با محصولات پراگرس تلریک نام خود را به دست آورده است. آنها حملات اسکیمینگ کارت اعتباری را علیه مسافرت ها، رستوران ها و وب سایت های غیرانتفاعی انجام می داده اند.
عملیات اسکیمینگ کارت اعتباری گروه اکس ای حداقل از اوایل سال 2020 با استفاده از یک مجموعه نسبتاً محدود زیرساخت تا کنون ادامه داشته است. این شرکت می‌گوید که مهاجم در درجه اول محیط‌های خدمات اطلاعات اینترنتی را به خطر انداخته و از دسترسی آنها برای استقرار کد جاوا اسکریپت اسکیمینگ کارت اعتباری در وب‌سایت‌های آسیب‌دیده استفاده می‌کند.
آژانس امنیت سایبری و امنیت زیرساخت خاطرنشان می کند که عوامل از بدافزار برای حذف فایل‌هایی استفاده کرده اند که انجام تجزیه و تحلیل پلیسی پس از این واقعیت را دشوار خواهد ‌کرد. اما آنها تأیید می کنند که هیچ مدرکی دال بر افزایش امتیازات یا حرکت جانبی هکرها در شبکه وجود ندارد.
آژانس امنیت سایبری و امنیت زیرساخت به درخواست‌ها برای اظهارنظر درباره سرقت داده‌ها در جریان این حادثه پاسخی نداد. به گفته این آژانس، گروه تحلیل تهدیدات گوگل (TAG) به آژانس ها در ارائه برخی از گزارش ها کمک کرده است.
آژانس امنیت سایبری و امنیت زیرساخت، اف بی آی و مرکز به اشتراک گذاری و تجزیه و تحلیل اطلاعات چند ایالتی، توصیه می کنند که سازمان ها از قابلیت جمع آوری و نظارت متمرکز گزارش ها و همچنین پیاده سازی یا افزایش ثبت و نگهداری داده های پلیسی استفاده کنند. سیاست‌های نگهداری طولانی‌تر در دسترس بودن داده‌ها را برای تجزیه و تحلیل بهبود خواهد ‌بخشید و به شناسایی کامل دامنه حادثه کمک خواهد کرد.