هشدار اف‌بی‌آی درباره حمله هکرهای ایرانی

اجمد باطبی

«پلیس فدرال آمریکا FBI» طی هشداری به بخش خصوصی در ایالات متحده، از حملات سایبری گروهی از هکرهای ایرانی به دستگاه‌​های F5 BIG-IP خبر داد.

دستگاه​‌های F5 BIG-IP مجموعه محصولات نرم‌​افزاری و سخت‌​افزاری مربوط به امنیت، کنترل و تحویل شبکه است که توسط شرکت آمریکایی «F5 Networks Inc» تولید و هم‌​اکنون توسط بسیاری از آژانس‌​های دولتی، بانک‌​ها و شرکت‌​های ثروتمند آمریکایی، موسوم به «Fortune 500 firms» استفاده​ می‌​شود که در بین آن‌ها نام «والمارت»، «آمازون»، «اکسون‌​موبیل»، «اپل»، شرکت دارویی «سی‌وی‌اس»، شرکت مخابراتی «ای‌تی‌ان‌تی» و بسیاری دیگر به چشم می‌خورد.

در متن هشدار «اف‌بی‌آی» گفته شده است که حمله‌کنندگان از آسیب‌​پذیری CVE-2020-5902 برای نفوذ بهره می‌​برند که مرداد ماه ۱۳۹۹ به شکل رسمی راه‌حل‌​های ترمیم آن در اختیار مصرف‌کنندگان قرار گرفته است.

آسیب‌​پذیری CVE-2020-5902 که در دسته‌​بندی آسیب​‌پذیری​‌های خطرناک قرار گرفته است، به مهاجمان اجازه می‌​دهد تا از طریق کدهای اجرایی از راه دور، ماینرها، بدافزارهای مربوط به اینترنت اشیاء و اسکریپت​‌های مدیریت سیستم و... را روی دستگاه‌​های چندمنظوره F5 BIG-IP شبکه نصب و اجرا کنند.

این آسیب‌​پذیری که با عنوان Traffic Management User Interface و به اختصار TMUI شناخته می​‌شود، به صورت ارائه درخواست از طریق پروتکل HTTP به رابط کاربری مدیریت ترافیک TMUI آغاز می‌شود و در صورت موفقیت، به دسترسی مهاجم به پیکربندی سیستم منتهی می‌​شود. در صورت موفقیت، مهاجم نه تنها به تنظیمات پیکربندی دسترسی دارد، بلکه امکان حذف و یا ایجاد پرونده‌​ها، فعال و یا غیر فعال کردن سرویس​‌ها، رهگیری اطلاعات، اجرای کد جاوا و بسیاری دیگر از دستورات دل‌خواه را خواهد داشت.

مهاجمان در بیشتر موارد، این آسیب‌​پذیری را از طریق موتور جستجوگر Shodan  پیدا می‌کنند. Shodan موتور جستجوگری است که علاوه بر اطلاعات معمول، مشخصات عمیق​‌تری از مورد جستجوشده، نظیر مشخصات دستگاه​‌ها و نرم​‌افزار​های مورد استفاده و همچنین آسیب‌​پذیری‌​های موجود را به جستجوگر ارائه می​‌کند.

خطر بهره‌​برداری از این آسیب‌​پذیری پیش‌تر نیز توسط نهاد​های دولتی ایالات متحده و متخصصان امنیت فضای مجازی هشدار داده شده بود. ۱۰تیر۱۳۹۹، شرکت F5 Networks Inc وصله امنیتی را معرفی کرد تا این آسیب‌​پذیری را ترمیم کند.

رصد امنیتی نشان می‌​دهد که هکرهای وابسته به جمهوری اسلامی در ایران، از میانه خرداد ماه ۱۳۹۸ مشغول بهره‌​برداری از این آسیب‌​پذیری برای نفوذ به شبکه​‌های خصوصی و دولتی در ایالات متحده بوده‌اند.

وب‌سایت ZDNet، بازتاب‌دهنده اخبار حوزه تکنولوژی و امنیت، به نقل از منابعش گفت که هکر​های وابسته به جمهوری اسلامی، بخشی از گروهی بزرگ‌تر ​هستند که حملات دیگری را موسوم به Fox Kitten یا Parisite ترتیب داده‌اند. یکی از تحلیل‌گران سایبری که پیش‌تر در بخش دولتی ایالات متحده فعال بوده، در گفتگو با ZDNet عملکرد هکرهای وابسته به جمهوری اسلامی را در خصوص بهره‌برداری از آسیب‌​پذیری CVE-2020-5902 به «نوک نیزه» تشبیه کرده و گفته است وظیفه این گروه، به نوعی هموار کردن مسیر و پشتیبانی گروه‌​های هکری دیگری است که ما آن‌ها را پیش‌تر با نام‌های Oilrig یا ATP34، ATP33 یا Shamoon و Chafer شناخته‌ایم. هکر​ها ابتدا از طریق آسیب‌​پذیری موجود، پیش از آن‌که  فرصتی برای ترمیم آن باشد وارد عمل شده و به شرکت‌​های خصوصی و شبکه‌​های دولتی حمله​ می‌​کنند. آن​‌ها پس از تسلط بر یک دستگاه و گرفتن دسترسی و نسخه​ پشتیبان، زمینه را برای ورود گروه‌​های یاد شده فراهم می‌​کنند.

در بخشی از هشدار پلیس فدرال آمریکا آمده است که هکر​های مذکور هدف مشخصی را در مجموعه حمله‌​هایشان دنبال نمی‌​کنند. اف‌بی‌آی به کمپینی به نام Fox Kitten اشاره می‌​کند که توسط گروه​‌های هکری وابسته به جمهوری اسلامی برپا شده و در ماه‌​های اخیر حملات مختلفی را علیه Pulse Secure VPNs وCitrix gateways انجام داده است.

بهمن​ ماه سال ۱۳۹۸، شرکت امنیتی ClearSky و Dragos گزارش ویژه‌​ای را درباره فعالیت‌​های کمپین Fox Kitten منتشر کرد که به دامنه آن در تابستان سال ۲۰۱۹ میلادی پرداخته بود. در این گزارش آمده که Fox Kitten حاصل همکاری چند گروه هکری وابسته به جمهوری اسلامی در ایران است که به نام‌های APT34-OilRig ،APT33-Elfin وAPT39-Chafer شناخته می‌​شود. این گروه‌​های هکری به​‌هم‌پیوسته، از سال ۲۰۱۷ به این سو حملات تهاجمی مختلفی را با استفاده از آسیب‌پذیری​‌های گوناگون، علیه شرکت‌​های مختلفی در جهان، مخصوصا شرکت‌​های اسرائیلی ترتیب داده‌​اند. آن‌ها ابتدا مسیرهای نفوذ را کشف و بعد از نفوذ و سرقت اطلاعات، تلاش می​‌کردند که دسترسی خود را به منابع هک‌شده با شیوه‌​های مختلف، از جمله باز کردن لینک​‌های RDP از طریق SSH و تونل زدن تثبیت کنند. آن‌ها برای پنهان ماندن از رمزنگاری بهره برده و علاوه بر ادامه سرقت اطلاعات، تلاش می‌کردند تا  دیگر شرکت‌​های مرتبط با قربانیان را نیز به صورت زنجیره‌​ای هک کنند.

در بخشی از گزارش ClearSky و Dragos آمده است که هکرهای APT در سه سال گذشته، ده‌​ها شرکت را در سراسر جهان هک کرده‌اند و اطلاعات آن‌ها را به سرقت برده‌اند که مهم‌ترین و موفقیت‌​آمیزترین آن نفوذ از طریق هک VPN بود که موارد زیر از آن جمله‌اند.

Pulse Secure "Connect" enterprise VPN (CVE-2019-11510)

Fortinet VPN servers running FortiOS (CVE-2018-13379)

Palo Alto Networks "Global Protect" VPN servers (CVE-2019-1579)

Citrix "ADC" servers and Citrix network gateways (CVE-2019-19781)

بنا بر این گزارش، حتی پس از شناسایی و ترمیم آسیب​‌پذیری‌ها، به دلیل استفاده هکرها از شیوه‌​های مختلف رمزنگاری، ضمانتی نیست که شبکه کامپیوتری ​قربانیان از حضور مهاجمان پاک شده و یا دسترسی آن‌ها به طور کامل از تمامی بخش‌های شبکه قطع شده باشد.

در موج اول حملات که توسط گروه​‌های هکری ATP33 و ATP39 با هدف جاسوسی انجام شده‌اند، بخش‌های آی‌تی، دفاعی، برق، نفت و گاز و شرکت‌​های هواپیمایی کشور​های مختلف مورد حمله قرار گرفته‌اند. در موج دوم که در ماه اکتبر ۲۰۱۹ و توسط گروه ATP34 و با نام​‌های مستعار OilRig و HelixKitten انجام شده‌اند، شرکت‌​های مختلف دیگری از اسرائیل، آمریکا، عربستان سعودی، لبنان، کویت، امارات، استرالیا، فرانسه، لهستان، آلمان، فنلاند، مجارستان، ایتالیا و اتریش مورد حمله قرار گرفته‌اند که نقشه نشانگر تمرکز و گستردگی این حملات در کشورهای مختلف جهان است. در این نقشه، رنگ قرمز که نشانگر آمریکا، اسرائیل و کشور​های حاشیه خلیج فارس است، اهداف اصلی و رنگ نارنجی اهداف اولویت دوم هکرها را نشان می‌​دهد.

عکس از متن گزارش شرکت ClearSky و Dragos در باره کمپین Fox Kitten

محققان نویسنده این گزارش، دلایل متعددی را برای وابستگی هکر​ها به ایران ارائه کرده‌اند که از آن جمله می‌​توان به استفاده بدافزارهای ساخت ایران در حملات، وجود رد پای گروه‌​های هکری مختلف ایرانی در نفوذ​های صورت‌گرفته و کشف کلمه‌​ها و عبارت‌​های فارسی در بین کدهای مورد استفاده هکرها اشاره کرد. به عنوان نمونه، مقایسه حملات موسوم به Parisite که توسط گروه هکری ATP33 انجام شده، با حمله به شرکت‌​های حوزه برق در آمریکا، موسوم به Qassem Soleimani20 در سال جاری میلادی نقاط مشترک متعددی را نشان می‌دهد که استفاده مهاجمان از بدافزار​های ZeroCleare و Dustman از آن جمله است. این دو بدافزار پیش از این نیز توسط گروه‌​های هکری شناسایی‌شده وابسته به جمهوری اسلامی، از جمله APT34-APT33 نیز استفاده شده بود.

دستورالعملی که برای ترمیم آسیب​‌های ناشی از حمله مبتنی بر CVE-2020-590 به سازمان​‌ها و ارگان‌​های دولتی توصیه‌شده به حدی فراگیر و جدی است که در عمل باید هر سازمانی شبکه​ خود را از نو پیکربندی و راه‌​اندازی کند.