وزارت امنیت آمریکا: از سال ۲۰۲۱ جلوی بیش از ۵۰۰ هک باجافزاری را گرفتهاست
بخشی از وزارت امنیت آمریکا که از سال ۲۰۲۱ فعالیت خود را با تمرکز روی…
۱۴ مهر ۱۴۰۳
۲۱ مرداد ۱۴۰۱
زمان مطالعه : ۴ دقیقه
تاریخ بهروزرسانی: ۲۲ مرداد ۱۴۰۱
سیسکو، غول شبکه در روز یازدهم آگوست، تأیید کرد که هک شده است. این اقرار همزمان با انتشار فهرستی ناقص از فایلهایی بود که هکرها ادعای ربودنشان را دارند.
در همان روزی که گروه باجافزار یانلووانگ (Yanluowang) فهرستی ناقص از فایلهایی را که مدعی است، از سیسکو به سرقت برده منتشر کرد، گروه اطلاعات تالوس از سیسکو اعلام کرد که شرکت در واقع هک شده است.
در این تأییدیه که از طریق پست بلاگی تالوس منتشر شد، اشاره میشود که سیسکو برای اولین بار در ۲۴ مه از درز احتمالی دادهها آگاه شد. گروه واکنش به حادثه سایبری سیسکو بعداً تحقیقاتی انجام داد و نفوذ در شبکه را تأیید کرد.
سیسکو میگوید دسترسی اولیه به شبکه از طریق فیشینگ از حساب گوگل شخصی یکی از کارمندان انجام گرفته است. این نفوذ در نهایت به افشای اطلاعات کاربری و دسترسی به ویپیان سیسکو منجر شد.
مسئولان تأیید کردهاند بازیگر تهدیدگری که نفوذ اولیه را انجام داده با گروه روسی موسوم به UNC2557 و همچنین گروه باجافزار یانلووانگ ارتباط دارد. این شخص تهدیدگر از شبکه اخراج شد و با وجود تلاشهای متعدد در هفتههای بعد برای نفوذ نتوانست دوباره وارد شود. همچنین، تاکتیکها، فنون و رویههای این رویداد شباهت زیادی به روشهای گروه Lapsus$ دارند. بسیاری از اعضای این گروه اوایل امسال دستگیر شدند.
لوئیس فِرِت که متخصص هوش تهدید (Threat Intelligence) در سرچلایت سکیوریتی است، میگوید: «اینکه یانلووانگ در توصیف این حادثه اغراق کرده باشد به دیدگاه بستگی دارد. تحلیل دایرکتوری درزیافته و بیانیه سیسکو نشان میدهد دادههای درزیافته از نظر اندازه و محتوا، حساسیت یا اهمیت زیادی ندارند».
فرت اضافه میکند، «البته همانطور که در تعدادی از حملههای قبلی از جانب بازیگرهایی مانند Lapsus$ مشاهده کردیم، گاهی صرفاً نفوذ در شبکه شرکتی میتواند شهرت و اعتبار زیرزمینی لازم را برای بازیگر تهدیدگر فراهم کند. بازیگر تهدیدگر از این منابع و شهرت در حملههای آتی استفاده میکند که ممکن است از نظر مادی مخربتر باشند».
همانطور که سیسکو در گزارش اولیهاش از این حادثه تأیید کرد، تاکتیکها، فنون و رویههای بهکاررفته نشان میدهند فردی که نفوذ اولیه را انجام داده و از گروه روسی UNC2447 میآید با گروه Lapsus$ که متحد شناختهشده این گروه است، پیوند دارد.
فرت میگوید «صفحههای اعلان فعالیتهای اینترنتی (IABs) گاهی نقش پیمانکار را برای بازیگران تهدیدگر مختلف ایفا میکنند. بسیاری از هکرها دسترسی به شبکههای شرکتی را روی فرومهای هکری مشهور در دارک وب به بالاترین قیمت میفروشند».
او نتیجه میگیرد که «این حمله را حتماً باید بخشی از روند بزرگتری تلقی کرد که در آن بازیگران تهدیدگر باجافزار از روشهای رمزنگاری و اخاذی ساده فراتر میروند و متنوعتر میشوند. یانلووانگ قبلاً ادعا کرده بود که به شبکه والمارت نفوذ کرده اما این شرکت اعلام کرد هیچ باجافزاری روی سیستمهایش وجود ندارند».
KELA، متخصص اطلاعات تهدید، همین هفته تأیید کرد که «چند بازیگر بدنام باجافزار و درز داده در سهماهه دوم سال ۲۰۲۲ شناسایی شدند. REvil (Sodinokibi)، Stoormous و Lapsus$ دوباره فعال شدهاند».
ازطرفدیگر، Cyjax، شرکت دیگر اطلاعات تهدید، عملیات یانلووانگ را «حملات بسیار هدفمند»ی توصیف میکند که «با تمام قدرت تلاش میکنند تا سود را از طریق اخاذی به حداکثر برسانند». «حملات شامل درز اطلاعات از طریق حملات DDoS و سرقت دادهها میشوند اما به این موارد محدود نیستند».
نکته مهم این است که سیسکو میگوید هیچ باجافزاری در حملهای که آن را شناسایی کرده وجود ندارد. CSIRT گفته، «سیسکو اثری از این باجافزار روی کسبوکار ما پیدا نکرد. محصولات و سرویسها، دادههای حساس مشتری و اطلاعات حساس کارکنان، دارایی فکری و عملیات زنجیره تأمین آسیب ندیدهاند. بازیگران بد در ۱۰ اوت فهرستی از فایلهای بهدستآمده از این حادثه امنیتی را در دارک وب منتشر کردند».
سیسکو رمز عبور کل شرکت را بعد از این حادثه تغییر داد. این شرکت به دلیل انتشار شفاف و کامل جزئیات فنی حادثه هک باید مورد تحسین قرار بگیرد.
منبع: forbes