سواستفاده گروه وولت تایفون از آسیب‌پذیری روز صفر ارائه‌دهندگان اینترنت آمریکا

به گزارش کارگروه امنیت خبرگزاری سایبربان، این حملات به منظور نفوذ به ارائه‌دهندگان خدمات اینترنت و شرکت‌های فناوری، از جمله شرکت‌های آمریکایی، صورت گرفته است.

اوایل روز دوشنبه، شرکت ورسا (Versa) اعلام کرد که یک نقص امنیتی بحرانی را با کد CVE-2024-39717 رفع کرده است.

این نقص حداقل یک‌بار توسط یک گروه هکری ناشناس که به یکی از کشورها مربوط است، در حملات واقعی مورد سوءاستفاده قرار گرفته بود.

این آسیب‌پذیری همچنین به کاتالوگ آسیب‌پذیری‌های شناخته شده‌ی مورد بهره‌برداری آژانس امنیت سایبری و زیرساخت‌های آمریکا (CISA) اضافه شد.

این نقص تمام نسخه‌های ورسا دیرکتور (Versa Director) قبل از نسخه 22.1.4 را تحت تأثیر قرار می‌دهد.

ورسا دیرکتور به عنوان یک مرکز فرماندهی مرکزی عمل می‌کند و به متخصصان فناوری اجازه می‌دهد به‌سادگی شبکه‌های خود را در چندین مکان تنظیم، نظارت و مدیریت کنند.

به گفته پژوهشگران شرکت فناوری لومن (Lumen Technologies)، این ویژگی‌ها، سرورهای ورسا را به هدفی جذاب برای عاملان تهدید تبدیل می‌کند که به دنبال گسترش دسترسی خود به مدیریت شبکه‌های سازمانی هستند.

در گزارشی که روز سه‌شنبه منتشر شد، پژوهشگران با ضریب اطمینان متوسط، بهره‌برداری از این آسیب‌پذیری را به گروه هکری وولت تایفون (Volt Typhoon) نسبت دادند.

این گروه قبلاً شرکت‌های انرژی و دفاعی آمریکا را هدف قرار داده بود و در کمپین‌های گذشته خود از نفوذ به روترهای خانگی برای انجام حملات استفاده کرده است.

در آخرین حوادث، وولت تایفون از این نقص در ورسا دیرکتور برای بارگذاری یک وب‌شل پیچیده و سفارشی به نام ورسامم (VersaMem) استفاده کرده است.

این وب‌شل برای رهگیری و جمع‌آوری اعتبارنامه‌ها و همچنین اجرای کد مخرب بر روی سرورهای آسیب‌دیده، بدون شناسایی شدن، به کار گرفته شده است.

گزارش‌ها حاکی از آن است که اهداف کمپین اخیر وولت تایفون شامل چهار قربانی در آمریکا و یک قربانی خارج از آمریکا در بخش‌های ارائه‌دهنده خدمات اینترنت، خدمات مدیریت‌شده و فناوری اطلاعات است.

طبق گزارش شرکت فناوری لومن، نسخه اولیه وب‌شل ورسامم، اولین‌بار در ماه ژوئن از سنگاپور به مخزن ویروس توتال (VirusTotal) آپلود شد، حدود پنج روز قبل از نخستین بهره‌برداری شناسایی‌شده از سرورهای ورسا دیرکتور در آمریکا.

این شرکت افزود:

ما معتقدیم که عاملان تهدید ممکن است قبل از استفاده از وب‌شل در اهداف آمریکایی، آن را بر روی قربانیان خارج از آمریکا در محیط واقعی آزمایش کرده باشند. نسخه کنونی این بدافزار هنوز در ویروس توتال شناسایی نشده است.

پژوهشگران بیان کردند:

با توجه به شدت آسیب‌پذیری، پیچیدگی عاملان تهدید، نقش حیاتی سرورهای ورسا دیرکتور در شبکه و پیامدهای احتمالی یک نفوذ موفق، این کمپین بهره‌برداری را بسیار مهم ارزیابی می‌کنیم.

شرکت فناوری لومن اعلام کرد که یافته‌های خود را با آژانس‌های فدرال آمریکا به اشتراک گذاشته تا نسبت به ریسک‌های نوظهور که می‌تواند دارایی‌های استراتژیک کشور را تحت تأثیر قرار دهد، هشدار دهد.

در سال گذشته، کاخ سفید، وزارت دفاع و چندین آژانس دیگر که در زمینه امنیت سایبری فعالیت می‌کنند، در مورد کمپین وولت تایفون هشدار داده‌اند.

آن‌ها معتقدند که این اقدام، یک اقدام پیشگیرانه از سوی دولت چین برای کسب موقعیت‌های استراتژیک در زیرساخت‌های حیاتی آمریکا است.

به گفته مقامات دولتی، هدف این کمپین کاهش سرعت هرگونه تلاش برای بسیج نظامی احتمالی پس از تهاجم چین به تایوان است.

مقامات آمریکایی همچنان به جستجو و ریشه‌کن کردن نفوذهای ایجاد شده توسط وولت تایفون ادامه می‌دهند.

مدیر آژانس امنیت سایبری و زیرساخت‌های آمریکا، جِن ایسترلی، در اوایل این ماه بود که اظهار کرد که تنش‌های فزاینده بین چین و تایوان باعث شده است که پکن به دنبال راه‌هایی برای انجام حملات مخرب علیه این جزیره و متحدان آن، از جمله آمریکا، باشد.

او عنوان کرد:

این جهانی است که در آن جنگ در آسیا با تهدیدات جدی برای آمریکایی‌ها همراه خواهد بود. انفجار خطوط لوله، آلودگی سیستم‌های آب، از کار انداختن سیستم‌های حمل‌ونقل، و قطع ارتباطات ما، به‌طور خاص برای ایجاد وحشت و هرج‌ومرج اجتماعی و جلوگیری از توانایی ما در بسیج نیروهای نظامی و اراده شهروندان صورت می‌گیرد.