هشدار فرماندهی سایبری آمریکا نسبت به آسیب پذیری اوت لوک

به گزارش کارگروه حملات سایبری سایبربان؛ فرماندهی سایبری آمریکا به تازگی از طریق حساب توییتر رسمی خود هشدار داد که گروهی از هکرها در حال سوءاستفاده از آسیب‌پذیری اوت لوک (Outlook) هستند. این کار به منظور قرار دادن بدافزار در شبکه‌های دولتی صورت می‌گیرد.

نقص یاد شده یک باگ امنیتی به حساب می‌آید که مایکروسافت در اکتبر 2017، وصله‌ای را برای آن منتشر کرد. این آسیب‌پذیری توسط پژوهشگران شرکت سنس پست (SensePost) کشف شده است و به مهاجمان اجازه می‌دهد بخش سندباکس اوت لوک را نادیده گرفته و کدهای مخرب خود را به سیستم‌عامل وارد کنند.

آسیب‌پذیری مذکور در سال 2017 شناسایی شد. با وجود این مقامات آمریکایی ادعا می‌کنند که گروه هکری APT33 با نام دیگر الفین (Elfin) که وابسته به دولت ایران هستند، از سال 2018، شروع به سوءاستفاده از آن کرده‌اند. این گروه در گذشته به توسعه بدافزار شمعون (Shamoon) که به شرکت آرامکو عربستان حمله کرده بود نیز متهم شده است.

متخصصان آمریکایی مدعی شده‌اند که هکرهای APT33 از آسیب‌پذیری مذکور به منظور ایجاد درب‌های پشتی روی سرورهای وب بهره می‌گیرند.

در گزارش فایرآی آمده است:

زمانی که دشمن اعتبارنامه قانونی را به دست می‌آورد، می‌تواند به صورت عمومی به Outlook Web Access و آفیس 365 که به واسطه احراز هویت چندمرحله‌ای محافظت نمی‌شوند، دسترسی پیدا کند. مهاجم این اعتبار را کسب کرده و با ابزاری مانند رولر (Ruler)، به سوءاستفاده از آسیب‌پذیری و تغییر ویژگی‌های قانونی می‌پردازد.

حمله سایبری با استفاده از آسیب‌پذیری یاد شده تقریباً به صورت هم‌زمان با فعالیت تازه بدافزار شمعون شناسایی شد. اگرچه تا پیش از این رویداد، فایر آی هیچ‌گونه مدرکی برای ارتباط میان شمعون و APT33 در دست نداشت.

برندون لونه (Brandon Levene)، محقق کرونیکلز، بازوی امنیت سایبری گوگل اعلام کرد، فرماندهی سایبری آمریکا، نمونه‌هایی از بدافزار مورد استفاده را که به فعالیت شمعون مرتبط هستند منتشر کرده است.

لونه توضیح داد: 3 عدد از 5 نمونه یاد شده، ابزارهایی برای دست‌کاری سرورهای وب آلوده هستند. 2 نمونه‌ی دیگر نیز دانلودرهایی هستند که از طریق پاور شل (PowerShell)، بدافزار «پاپی رت» (PUPY RAT) را روی سیستم‌های آلوده بارگذاری می‌کنند.

کارشناس مذکور ادعا کرد اگر توضیحات آسیب‌پذیری «CVE-2017-11774» و نمونه‌های یاد شده صحیح باشند، شیوه‌ی آلوده سازی سامانه‌ها توسط APT33 مشخص می‌گردد.

زمانی که حمله شمعون رخ‌داده بود، محقق یاد شده گفته بود که به احتمال زیاد اسپیر فیشینگ (spear-phishing) نیز اتفاق افتاده است؛ اما جزئیات زیادی از نوع حمله یا شواهدی در رابطه با سیستم‌های آلوده توسط فایرآی ارائه نشد.

توییت منتشر شده توسط فرماندهی سایبری آمریکا نسبت به هکرهایی با انگیزه‌ی مالی هشدار نمی‌دهد؛ بلکه تنها روی دشمنان ملی تمرکز کرده است. نمونه بدافزارهای به اشتراک گذاشته شده توسط این سازمان، نشان می‌دهد که حملات جدید با بدافزارهای قبلی APT33 مرتبط هستند. مقامات این نهاد ادعا می‌کنند که هکرها نرم‌افزارهای مخرب جدیدی را علیه نهادهای آمریکایی توسعه داده و به کار گرفته‌اند.

در حالی که فرماندهی سایبری نامی از APT33 نیاورده است؛ اما شرکت سیمنتک گزارشی را در رابطه با این گروه و فعالیت‌هایش در ماه‌های گذشته منتشر کرده است. همچنین سیسا (CISA)، آژانس امنیت سایبری وزارت امنیت داخلی آمریکا، مدتی قبل ادعای مشابهی را نسبت به مهاجمان ایرانی صادر کرده بود. به ویژه ذکر شده بود که آن‌ها از بدافزارهای آسیب رساننده به فضای ذخیره‌سازی (disk-wiping malware)، مشابه با شمعون، بهره می‌گیرند که سلاح سایبری اصلی APT33 به شمار می‌رود.

فرماندهی سایبری آمریکا علاوه بر تحلیل بدافزاری که به شبکه‌های دولتی این کشور نفوذ کرده‌اند، مسئول حملات سایبری تهاجمی اخیر نیز شناخته می‌شود. بر اساس گزارش چندین منبع ناشناس، این سازمان ادعا می‌کند که به سامانه‌های موشکی و رایانه‌های نظامی ایران نفوذ کرده و آن‌ها را از کار انداخته است.

عده‌ای از کارشناسان ادعا می‌کنند هکرهای ایرانی در حال حمله به شبکه‌های دولت آمریکا هستند. از طرفی آمریکا نیز حملات سایبری به ایران را آغاز کرده است؛ بنابراین می‌توان این گونه برداشت کرد که هر دو کشور در میانه‌ی یک نبرد پنهان و غیررسمی سایبری قرار دارند.

محقق کرونیکلز توضیح داد، این اولین بار است که فرماندهی سایبری آمریکا از طریق حساب توییتری خود، بدافزاری غیر روسی را به اشتراک می‌گذارد.