ایلینویز و میسوری، آخرین ایالتها برای بررسی حوادث موو ایت

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، دفتر مدیریت، خدمات اطلاعات و بخش فناوری میسوری (OA-ITSD) عصر سه‌شنبه اعلام کرده است که در حال بررسی مواردی است که ممکن است توسط هکرها در جریان یک حمله سایبری به سیستم موو ایت (MOVEit) که برای انتقال فایل‌ها و اطلاعات بین آژانس‌ها استفاده می‌کنند، بدست آمده باشد.
این آژانس در بیانیه ای اعلام می کند:

ایالت میسوری به سرعت هرگونه ارتباط با سیستم موو ایت را شناسایی کرده و دفتر اداری فوراً تحقیقات کاملی را برای تعیین میزان حمله سایبری و هر آژانس و فروشنده ای که به صورت بالقوه تحت تأثیر قرار گرفته است، آغاز کرده است.
این تحقیقات همچنان ادامه دارد. پس از شناسایی نهادها، افراد یا سیستم هایی که ممکن است تحت تأثیر قرار گرفته باشند، در اسرع وقت اطلاع رسانی عمومی صورت خواهد گرفت.

آنها خاطرنشان می کنند که این حمله بخشی از یک کمپین بزرگتر از گروه باج افزاری کلاپ (Clop) است که به وبسایت بلیپینگ کامپیوتر (BleepingComputer) گفته بود که آنها داده های صدها سازمان را از طریق این آسیب پذیری، سرقت کرده اند که توسط محققان امنیت سایبری تحت عنوان CVE-2023-34362 ردیابی شده است.
این گروه بعداً پیامی عمومی منتشر کرده و ادعا می کند که تمام داده‌های گرفته شده از سازمان‌های دولتی، شهرها یا ادارات پلیس را حذف کرده‌ است.
اما از زمانی که آسیب‌پذیری ظاهر شده است، چندین دولت و شرکت‌های بزرگ در سراسر جهان تأیید کرده اند که به اطلاعات سیستم‌هایشان دسترسی پیدا شده است.
اواخر هفته گذشته، تنظیم‌کننده‌های دپارتمان نوآوری و فناوری ایلینویز (DoIT) نیز گفته اند که در حال بررسی تأثیر سرقت اطلاعات مربوط به موو ایت هستند.
آنها هشدار می دهند که دپارتمان نوآوری و فناوری ایلینویز بر این باور است که تعداد زیادی از افراد ممکن است تحت تاثیر قرار گرفته باشند.
سانجی گوپتا، سرپرست وزارت امور خارجه و مدیر امور خارجه، می گوید:

تیم‌های زیرساخت و امنیت دپارتمان نوآوری و فناوری ایلینویز برای پاسخ به حمله‌ای که شبکه ایلینویز را تحت تأثیر قرار می‌داد، به سرعت اقدام کرده، مهاجم را ظرف سه ساعت بیرون کرده و تأیید کرده اند که این آسیب‌پذیری دیگر نمی‌تواند در سیستم ما مورد سوء استفاده قرار گیرد.
ما در حال کار با تمام مقامات مربوطه هستیم و به‌روزرسانی‌های منظم را در اختیار مردم ایلینویز قرار خواهیم داد.

دپارتمان نوآوری و فناوری ایلینویز می گوید تمام سیستم های مرتبط با موو ایت را در 31 مه قطع کرده و یک تیم واکنش به حادثه را برای انجام تجزیه و تحلیل از آنچه رخ داده است استخدام کرده است.
آنها می گویند که با کمک "اثر انگشت" مهاجم شناسایی شده توسط آژانس امنیت سایبری و امنیت زیرساخت و اف بی آی، مقامات ایلینویز توانسته اند نقشه برداری از میزان حمله را آغاز کنند.
این آژانس به درخواست ها برای اظهار نظر پاسخی نداد، اما گفته است که در حال هماهنگی با چندین آژانس آسیب دیده است و در نهایت پس از تایید تعداد قربانیان، اطلاعیه عمومی درباره این حادثه صادر خواهد کرد.
این ایالت یک مرکز تماس برای قربانیانی که سوال دارند راه اندازی خواهد کرد.
دولت نوا اسکوشیا و دانشگاه روچستر اولین قربانیانی بودند که در آمریکای شمالی شناسایی شدند، در حالی که سازمان‌هایی مانند تنظیم‌کننده ارتباطات بریتانیا آفکام، بی‌بی‌سی، بریتیش ایرویز، شرکت هواپیمایی ایرلندی ایر لینگوس (Aer Lingus) و بوتس (Boots) به طور مشابه سرقت اطلاعات را اعلام کرده اند.
وزارت آموزش مینه سوتا از سرقت گسترده اطلاعات صدها هزار دانش آموز خبر داده است.
شرکت امنیتی سنسیس (Censys) می گوید که سازمان‌های در معرض اینترنت را که از نرم افزار انتقال فایل موو ایت استفاده می‌کنند مورد بررسی قرار داده و دریافته است که 31 درصد از میزبان‌هایی که موو ایت را اجرا می‌کنند در صنعت خدمات مالی، 16 درصد در بخش مراقبت‌های بهداشتی، 9 درصد در فناوری اطلاعات و 8 درصد در دولت و ارتش هستند.
نزدیک به 30 درصد از شرکت هایی که آنها بررسی کرده اند، بیش از 10 هزار کارمند دارند، که نشان می دهد این خدمات در سازمان های بزرگ مختلفی استفاده می شود که اکثریت قریب به اتفاق آنها در ایالات متحده مستقر هستند.
زک هانلی، مهندس ارشد حمله در شرکت امنیت سایبری هوریزون3 ای آی (Horizon3.ai) می گوید که اثبات کد مفهومی برای بهره‌برداری از این آسیب‌پذیری به هکرها، مطابق اعتبار متن شفاف برای حساب ادمین سیستم (sysadmin)، اعتبار پایگاه داده و اعتبار سرویس ارائه می‌دهد.
او می گوید که همه اهداف بزرگ حین حرکت جانبی بدست می آیند.
شرکت سازنده محصول انتقال فایل موو ایت، روز جمعه دومین آسیب پذیری را در نرم افزار خود اعلام کرد.
آسیب پذیری های کشف شده در نرم افزار موو ایت تا 31 می و 9 ژوئن اصلاح شده اند.