به گزارش کارگروه بینالملل سایبربان؛ آژانسهای ایالات متحده یک بیانیه امنیت سایبری منتشر کردند که به سازمانهای زیرساختی حیاتی درباره هکرهایی که در بخش خصوصی با نامهای «Pioneer Kitten»، «UNC757»، «Parisite»، «Rubidium» و «Lemon Sandstorm» شناسایی شدهاند، هشدار دادند. بنابر ادعای کارشناسان غربی، هکرها از خود با عنوان «Br0k3r» یاد و از سال 2024، آنها از نام مستعار «xplfinder» در ارتباطات خود استفاده کردند؛ آنا ریبیرو (Anna Ribeiro)، روزنامهنگار فعال در زمینههای امنیتی، ذخیرهسازی دادهها، مجازیسازی و اینترنت اشیا، در این خصوص مقالهای نوشته که به شرح زیر است :
«گروههای هکری سازمانها را در بخشهای آموزشی، مالی، مراقبتهای بهداشتی و دفاعی و همچنین نهادهای دولتی محلی در ایالات متحده و سایر کشورها از جمله اسرائیل، آذربایجان و امارات متحده عربی مورد هدف قرار دادهاند و از آنها بهرهبرداری کردهاند.
طبق گزارش آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) با همکاری اداره تحقیقات فدرال (FBI) و مرکز جرایم سایبری وزارت دفاع (DC3)، افبیآی در تحقیقات خود در ماه اوت امسال عنوان کرد که گروههای هکری مانند Pioneer Kitten با دولت ایران (GOI) و یک شرکت فناوری اطلاعات (IT) ایرانی مرتبط هستند و عملیاتهای سایبری مخرب آنها با هدف استقرار باجافزار برای به دست آوردن و توسعه دسترسی به شبکه است. این عملیاتها به عوامل سایبری مخرب در همکاری بیشتر با عوامل وابسته برای ادامه استقرار باجافزار کمک میکند.
این گروه از نام شرکت ایرانی دانش نوین سهند (شماره شناسایی 14007585836) احتمالاً به عنوان نهاد فناوری اطلاعات پوششی برای فعالیتهای مخرب سایبری گروه استفاده میکند.
این مشاوره شباهتهای قبلی را با یک عامل تهدید مستقر در ایران نشان میدهد که از آسیبپذیریهای ویپیان منتشر شده در 15 سپتامبر 2020 سوء استفاده میکند و شاخصهای شناخته شده سازش (IOC) و تاکتیکها، تکنیکها و رویهها (TTP) را ارائه میکند. اطلاعات و راهنماییهای موجود در مشاوره از فعالیتهای تحقیقاتی افبیآی و تجزیه و تحلیل فنی فعالیتهای نفوذی این گروه علیه سازمانهای ایالات متحده و تعامل با نهادهای متعددی که تحت تأثیر این فعالیتهای مخرب قرار گرفتهاند، به دست آمده است.
تجزیه و تحلیل و تحقیقات افبیآی نشان داد که فعالیت این گروه با یک گروه هکری تحت حمایت ایران مطابقت دارد. افبیآی قبلاً عنوان کرده بود که این عوامل تلاش میکنند تا از دسترسی خود به سازمانهای قربانی در بازارهای سایبری درآمد کسب کنند. درصد قابل توجهی از فعالیتهای سایبری این گروه متمرکز بر ایالات متحده در پیشبرد دستیابی و حفظ دسترسی فنی به شبکههای قربانی برای فعال کردن حملات باجافزاری در آینده است.
در بیانیه مذکور آمده است که هکرها امتیازات کنترل دامنه کامل و همچنین اعتبارنامه مدیریت دامنه را به شبکههای متعدد در سراسر جهان ارائه میدهند. اخیراً، افبیآی این عوام را شناسایی کرده که مستقیماً با شرکتهای وابسته به باجافزار برای فعال کردن عملیات رمزگذاری در ازای درصدی از پرداختهای باج همکاری میکنند. این بازیگران با شرکتهای وابسته به باجافزار «NoEscape»، «Ransomhouse» و «ALPHV» (معروف به BlackCat) همکاری کردهاند.
دخالت بازیگران سایبری ایرانی در این حملات باجافزاری فراتر از ارائه دسترسی است. آنها برای قفل کردن شبکههای قربانی و استراتژیسازی رویکردهایی برای اخاذی از قربانیان، با شرکتهای وابسته به باجافزار کار میکنند. افبیآی معتقد است که این عوامل مکان مستقر در ایران را برای مخاطبین وابسته به باجافزار خود فاش نمیکنند و عمداً از نظر ملیت و منشاء مبهم هستند.
علاوه بر این، افبیآی عنوان کرد که این گروه هکری کمپینهای هک و افشا را مانند کمپین اواخر سال 2020 که به نام «Pay2Key» شناخته میشود، انجام داده است. بازیگران یک سایت را اداره میکردند که از طریق مرورگر «Tor» قابل دسترسی بود و در زیرساخت ابری میزبانی میشد که در سازمانی ثبت شده و قبلاً توسط عوامل مخرب به خطر افتاده بود. هکرها سرور را با استفاده از دسترسی قبلی خود به این قربانی ایجاد کردند.
به دنبال مصالحه و متعاقباً کسب غیرمجاز دادههای قربانیان، هکرها اخبار مربوط به مصالحه خود را از جمله در رسانههای اجتماعی، برچسبگذاری حسابهای قربانیان و سازمانهای رسانهای و افشای اطلاعات قربانیان در سایت [dot] onion خود منتشر کردند. در حالیکه این تکنیک به طور سنتی برای تحت تأثیر قرار دادن قربانیان در پرداخت باج مورد استفاده قرار میگرفت، افبیآی معتقد نیست که هدف Pay2Key دریافت باج بوده باشد. در عوض، افبیآی Pay2Key را به عنوان یک عملیات اطلاعاتی با هدف تضعیف امنیت زیرساختهای سایبری مبتنی بر اسرائیل ارزیابی میکند.
در بیانیه آژانسهای آمریکایی آمده است :
«تجاوزات اولیه بازیگران سایبری ایرانی بر بهرهبرداری از خدمات خارجی از راه دور در داراییهای اینترنتی برای دسترسی اولیه به شبکههای قربانی متکی است. از ماه ژوئیه امسال، هکرها آدرسهای آیپی میزبان دروازههای امنیتی چک پوینت (Check Point) را اسکن و دستگاههایی را که به طور بالقوه در برابر «CVE-2024-24919» آسیبپذیر هستند، بررسی کردند. از آوریل 2024، این بازیگران اسکن انبوه آدرسهای آیپی را که میزبان دستگاههای «PAN-OS» شبکههای پالو آلتو (Palo Alto) و «GlobalProtect VPN» هستند، انجام دادهاند.»
این آژانسها معتقدند که هکرها احتمالاً در حال شناسایی و جستجو برای دستگاههای آسیبپذیر CVE-2024-3400 هستند. از نظر تاریخی، این گروه با استفاده از CVE-2019-19781 و CVE-2023-3519 مربوط به «Citrix Netscaler» و CVE-2022-1388 مربوط به دستگاههای BIG-IP F5، از سازمانها بهرهبرداری کرده است.
در این توصیهنامه توضیح داده شده که هکرها با استفاده از موتور جستجوی شودان (Shodan) برای شناسایی و شمارش آدرسهای آیپی که میزبان دستگاههای آسیبپذیر به یک CVE خاص هستند، مشاهده شدهاند. دسترسی اولیه هکرها معمولاً از طریق بهرهبرداری از یک دستگاه شبکه عمومی، مانند Citrix Netscaler (CVE-2019-19781 و CVE-2023-3519)، F5 BIG-IP (CVE-2022-1388)، Pulse Secure/ Ivanti VPN (CVE-2024-21887) و اخیراً فایروالهای PanOS (CVE-2024-3400) به دست میآید.
هکرها از اعتبارنامههای به خطر افتاده به دست آمده از سوءاستفاده از دستگاههای شبکه مانند Citrix Netscaler برای دسترسی به برنامههای کاربردی دیگر از جمله Citrix XenDesktop استفاده مجدد کردند. آنها همچنین سعی میکنند اعتبار اداری مدیران شبکه را برای ورود به کنترلکنندههای دامنه و سایر زیرساختهای شبکههای قربانی، استفاده از اعتبار مدیر برای غیرفعال کردن آنتیویروس و نرمافزارهای امنیتی و پائین آوردن خطمشیهای پاورشِل (PowerShell) به سطحی کمتر امن تغییر دهند.
بهعلاوه، هکرها رجیستری سیستم و تنظیمات فایروال شبکه را روی سرورهای در معرض خطر صادر، نامهای کاربری حساب را از کنترلکننده دامنه قربانی استخراج و همچنین به فایلهای پیکربندی و گزارشها احتمالاً برای جمعآوری اطلاعات شبکه و حساب کاربری برای استفاده در تلاشهای بهرهبرداری بیشتر، دسترسی پیدا کردند.
پس از نفوذ به شبکههای قربانی، بازیگران در ازای دریافت درصدی از باج با دسترسی به شبکههای قربانی، قفل کردن شبکههای قربانی و استراتژی اخاذی، با شرکتهای وابسته به باجافزار از جمله «NoEscape»، «Ransomhouse» و ALPHV (معروف به BlackCat) همکاری کردند. هکرها همچنین مجموعهای از فعالیتهای مخرب انجام میدهند و دادههای حساس قربانیان را به سرقت میبرند که احتمالاً در حمایت از دولت ایران است.
افبیآی و سیسا به همه سازمانها توصیه کردند که اقدامات کاهشی را برای بهبود وضعیت امنیت سایبری خود براساس فعالیت گروه سایبری ایرانی انجام دهند. افبیآی هشدار داد که هدف قرار دادن این گروه اساساً طبق شناسایی دستگاههای آسیبپذیر در برابر CVEهای شناسایی شده است. به این ترتیب، هر سازمان آمریکایی که نرمافزاری با این آسیبپذیریها مستقر میکند، ممکن است برای بهرهبرداری بیشتر مورد هدف قرار گیرد و باید از این دستورالعمل برای دفاع در برابر بهرهبرداری توسط این گروه پیروی کند.
این کاهشها با اهداف عملکرد امنیت سایبری بینبخشی (CPGs) که توسط سیسا و مؤسسه ملی استاندارد و فناوری (NIST) ایجاد شدهاند، همسو هستند. سیسا و مؤسسه ملی استاندارد و فناوری اهداف عملکرد امنیت سایبری را براساس چارچوبها و راهنماییهای امنیت سایبری موجود برای محافظت در برابر تهدیدات رایج و تأثیرگذار و تکنیکها، تاکتیکها و رویهها قرار دادهاند.
افبیآی و سیسا براین باورند که سازمانهای زیرساخت حیاتی باید گزارشهای موجود برای آدرسهای آیپی را با هدف نشانههایی از ترافیک با شبکه سازمان در بازههای زمانی ارائه شده بررسی و پچها و/یا اقدامات کاهشی را برای CVE-2024-3400، CVE-2022-1388، CVE-2019-19781، و CVE-2023-3519 اعمال کنند. آنها همچنین پیشنهاد کردند که سیستمها را برای شناسههای منحصربهفرد و تکنیکها، تاکتیکها و رویههای مورد استفاده هکرها هنگام کار روی شبکههای آسیبدیده، از جمله ایجاد نامهای کاربری خاص، استفاده از «NGROK» و لیگولو (Ligolo) و استقرار پوستههای وب در فهرستهای خاص بررسی کنید.
جدای از اعمال اقدامات کاهشی، این دو سازمان آمریکایی توصیه کردند که برنامه امنیتی سازمان را در برابر رفتارهای تهدید ترسیم شده در چارچوب «MITER ATT&CK» آزمایش و اعتبار سنجی کنید. آنها همچنین آزمایش موجودی کنترلهای امنیتی موجود را برای ارزیابی عملکرد آنها در برابر تکنیکهای ATT&CK پیشنهاد میکنند.»
