حمله سایبری یکساله علیه کارکنان امنیتی
به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، این کمپین توسط شرکتهای امنیتی چک مارکس (Checkmarx) و آزمایشگاه امنیتی دیتاداگ (Datadog Security Labs) شناسایی شده و هکرها دستگاههای پژوهشگران در حوزههای امنیتی و سایر حوزههای فنی را آلوده کردهاند.
این گزارش میافزاید که هویت این هکرها هنوز مشخص نشده است، اگرچه پژوهشگران دیتاداگ، نام آنها را ام یو تی-1244 (MUT-1244)گذاشتهاند.
ام یو تی مخفف "تهدید ناشناس مرموز" است.
طبق گزارش، این هکرها یک دربپشتی (backdoor) حرفهای نصب میکنند که به دقت حضور خود را پنهان میکند.
آنها همچنین از کمپینهای فیشینگ هدفمند (spear phishing) استفاده کردهاند که هزاران پژوهشگر منتشرکننده مقالات در پلتفرمarXiv را هدف قرار داده است.
به گفته این گزارش، هکرها به نظر میرسد اهداف متعددی را دنبال میکنند.
یکی از این اهداف، جمعآوری کلیدهای خصوصی اس اس اچ (SSH)، کلیدهای دسترسی خدمات شبکه آمازون (Amazon Web Services)، تاریخچه دستورات (command histories) و سایر اطلاعات حساس از دستگاههای آلوده است.
در زمان انتشار گزارش توسط آرس تکنیکا (Ars Technica)، دهها دستگاه همچنان آلوده بودند.
یکی از حسابهای دراپ باکس (Dropbox) که توسط هکرها استفاده شده بود، شامل ۳۹۰ هزار اطلاعات ورود مربوط به وبسایتهای ووردپرس (WordPress)بود.
همچنین بدافزار مرتبط با این حملات، نرمافزار استخراج ارز دیجیتال (cryptomining) را نصب کرده بود که تا ماه گذشته بر روی حداقل ۶۸ دستگاه شناسایی شد.
این حملات بخشی از موجی از رویدادهای مشابه در شرکتهای مختلف طی سال جاری است.
به عنوان مثال، هفته گذشته شرکتPYMNTS گزارشی درباره حمله باجافزاری به ابزارهای انتقال فایل سازمانی کلئو (Cleo) شامل لکسیکام (LexiCom)، وی ال ترنسفر (VLTransfer) و هارمونی (Harmony) منتشر کرد که نیاز فوری به ایمنسازی زیرساختهای تجاری مهم را که دادههای حساس را مدیریت میکنند، برجسته میسازد.
این گزارش میگوید:
زیرساختهای تجاری حیاتی، بهویژه بخشهایی از آن که در معرض اینترنت قرار دارند، اهداف جذابی برای مهاجمان هستند. این موضوع پیشگیری و ایجاد یک دفاع چندلایه را حیاتی میکند. با درک آسیبپذیریهای ابزارهای نرمافزاری سازمانی و اجرای اقدامات امنیتی، کسبوکارها از دادههای خود محافظت کرده و ریسکهای مرتبط با نفوذ به دادهها را کاهش میدهند.
در حادثه کلئو، چند عامل نقش داشته است.
نخست اینکه ابزارهای انتقال فایل سازمانی معمولاً مجوزها و دسترسی گستردهای دارند که شبکهها را نیز شامل میشود.
علاوه بر این، این سیستمها معمولاً حجم زیادی از دادههای حساس را مدیریت میکنند که آنها را به اهداف اصلی برای اخاذی تبدیل میکند.
در نهایت، بسیاری از سازمانها به زیرساختهای انتقال فایل قدیمی متکی هستند که ممکن است بهروزرسانیهای امنیتی منظم دریافت نکنند.