نفوذ به شبکه از طریق VPN

Excerpt This Content:

آژانس امنیت زیرساخت و امنیت سایبری آمریکا (CISA) پس از نفوذ یک مهاجم سایبری به یکی از نهادهای فدرال آمریکا اطلاعیه ای صادر کرد. CISA در بیانیه‌ای که منتشر کرد، اعلام کرده است که: «یک مهاجم سایبری با استفاده از اطلاعات لاگین به سرقت رفته، عملیات نفوذ را انجام داده و بدافزارهایی را در شبکه […]

آژانس امنیت زیرساخت و امنیت سایبری آمریکا (CISA) پس از نفوذ یک مهاجم سایبری به یکی از نهادهای فدرال آمریکا اطلاعیه ای صادر کرد. CISA در بیانیه‌ای که منتشر کرد، اعلام کرده است که: «یک مهاجم سایبری با استفاده از اطلاعات لاگین به سرقت رفته، عملیات نفوذ را انجام داده و بدافزارهایی را در شبکه نصب کرده است. یکی از آنها یک بدافزار چندمرحله‌ای است که توانسته سیستم ضدبدافزار این سازمان را دور بزند و سپس از طریق پروکسی Socket Secure (به اختصار SOCKS) و دور زدن فایروال این سازمان، دسترسی دایمی به شبکه پیدا کند».

این مهاجم برای نفوذ به شبکه سازمان فدرال، از اطلاعات لاگین کاربران برای ورود به چند حساب مایکروسافت ۳۶۵ و حساب‌های ادمین استفاده کرده و پس از هک سازمان، شبکه آن را به یک بدافزار پیچیده آلوده نموده است. یک سیستم تشخیص نفوذ که بر شبکه‌های این سازمان نظارت دارد، به CISA درباره احتمال نفوذ به شبکه این نهاد هشدارهای اولیه را داده است. پس از بررسی‌های صورت گرفته توسط CISA و نهادی که این حمله بر ضد آن صورت گرفته، این حمله تأیید شده است.

در تحقیقات به عمل آمده مشخص شد که مهاجم از راه دور وارد حساب کاربری آفیس ۳۶۵ شده، سپس صفحه‌های سایت SharePoint را بررسی کرده و فایل خاصی را دانلود کرده است. پس از آن نیز چندین بار به سرور شبکه خصوصی مجازی (VPN]) سازمان متصل شده است. به گفته CISA، «بلافاصله پس از این دسترسی، مهاجم از دستورات خط فرمان ویندوز برای بررسی شبکه و سیستم ها استفاده کرده است». این مهاجم، داده‌هایی را از طریق ترمینال سرویس ویندوز کپی و از شبکه خارج کرده است. با توجه به جایگذاری در پشتی در شبکه، احتمال می‌رود مهاجم قصد داشته در آینده حملات بیشتری را نیز اجرا کند.

تحلیل‌های CISA مشخص نکرده مهاجم در ابتدا چگونه به اطلاعات لاگین مورد استفاده در این حمله دسترسی پیدا کرده اما یکی از نظریه‌ های احتمالی، استفاده از آسیب پذیری شناخته شده در محصول VPN شرکت Pulse Secure است. به گفته CISA: «ممکن است مهاجم، اطلاعات ورود به سرور VPN را با استفاده از یک آسیب‌پذیری شناخته شده در Pulse Secure که دارای شناسه CVE-2019-11510 است، به دست آورده باشد». البته نمونه‌های دیگری از چنین حملاتی با سوءاستفاده از این آسیب‌پذیری، بر ضد دولت فدرال مشاهده شده است.

این آسیب‌پذیری امکان بازیابی فایل‌ها از جمله فایل‌های حاوی کلمه عبور را از راه دور فراهم می‌کند. Pulse Secure در آوریل ۲۰۱۹ وصله های امنیتی برای چند آسیب‌پذیری از جمله CVE-2019-11510 را منتشر کرده است.

منبع: infosecurity-magazine

ads
  • چنانچه دیدگاهی توهین آمیز باشد و متوجه اشخاص مدیر، نویسندگان و سایر کاربران باشد تایید نخواهد شد.
  • چنانچه دیدگاه شما جنبه ی تبلیغاتی داشته باشد تایید نخواهد شد.
  • چنانچه از لینک سایر وبسایت ها و یا وبسایت خود در دیدگاه استفاده کرده باشید تایید نخواهد شد.
  • چنانچه در دیدگاه خود از شماره تماس، ایمیل و آیدی تلگرام استفاده کرده باشید تایید نخواهد شد.
  • چنانچه دیدگاهی بی ارتباط با موضوع آموزش مطرح شود تایید نخواهد شد.

    مطالب مرتبط

    لینک کوتاه
    0