هشدار مایکروسافت در خصوص بهره‌​برداری هکر​های ایرانی از یک نوع آسیب‌پذیری در محصولاتش

احمد باطبی

شرکت چندملیتی «مایکروسافت»، از بزرگترین تولیدکنندگان نرم‌افزار و سخت‌افزار کامپیوتری، اعلام کرده است که هکرهای وابسته به جمهوری اسلامی به تازگی شروع به بهره‌برداری از آسیب‌پذیری «CVE-2020-1472»، موسوم به «Zerologon» کرده اند. 

«CVE-2020-1472» نام ثبتی نوعی آسیب‌پذیری در محصولات مایکروسافت است که در اصطلاح به آن آسیب‌پذیری «Zerologon» گفته می‌شود. هکرها از فرایند «Netlogon» برای بهرهبرداری از آسیبپذیری «CVE-2020-1472» استفاده میکنند تا از مرحله احراز هویت سیستم عبور کنند و به سرور «DC» شبکه، موسوم به سرور کنترلکننده دامنه، دسترسی پیدا کنند. اگر مهاجمان بتوانند از این آسیب‌پذیری استفاده کنند، تقریبا دسترسی صددرصدی به شبکه هدف خواهند داشت. Netlogon نیز فرایند احراز هویت سرورهای فعال در یک دامنه است که به شکل یک سرویس، به طور مداوم در پسزمینه در جریان است.

اگر چه ماه آگوست امسال شرکت مایکروسافت راه حلی را در بسته‌های به‌روزرسانی خود برای Zerologon ارائه کرده است، اما توضیحات دقیق Zerologon عملا در ماه سپتامبر منتشر شد. همین سردرگمی مدیران امنیتی باعث شد که این آسیب‌پذیری مرتبط با فرایند تایید اعتبار Netlogon و گرفتن دسترسی از سرورهای موسوم به کنترلکننده دامنه DC، به عنوان یکی از خطرناک‌ترین ضعف‌های امنیتی سال ۲۰۲۰، قربانیان فراوانی را در تور مجرمان سایبری گرفتار کند. خطر این آسیب‌پذیری به حدی بود که دولت فدرال آمریکا به صورت رسمی از سازمان‌های زیرمجموعه خود خواست در فرصتی سهروزه، ضمن اولویتبندی آسیبپذیر‌ی‌ها، تمامی دستگاه‌های دارای این آسیب‌پذیری را از شبکه جدا تا در محیط ایزوله اقدام به نصب وصله‌های امنیتی کنند.

در این نوع آسیب‌پذیری، مهاجمان از طریق پروتکل راه دور «MS-NRPC» به کانال آسیب‌پذیر Netlogon متصل می‌شوند و از سرور کنترل کننده دامنه دسترسی می‌گیرند. این نوع از سرور در بسیاری از شرکت‌ها مورد استفاده قرار می‌گیرد و دسترسی مهاجمان به آن، به معنای دسترسی کامل آن‌ها به کل شبکه سازمان است. اگر چه برای بهرهبرداری موفق از این آسیب‌پذیری، فرد یا افراد مهاجم می‌بایست به داخل شبکه هدف دسترسی داشته باشند، اما اگر سرور آسیبپذیر به صورت آنلاین در دسترس باشد، امکان بهرهبرداری از آسیب‌پذیری از خارج از شبکه نیز فراهم خواهد شد. 

مرکز اطلاعات تهدید مایکروسافت «MSTIC» که این حملات را شناسایی کرده، گفته است که گروه هکری «Mercury» وابسته به حکومت ایران، دست کم دو هفته مشغول بهره‌برداری از این آسیب‌پذیری بود. گمان می‌رود که این گروه کار خود را یک هفته پس از عمومی شدن این آسیبپذیری آغاز کرده باشد و با نصب و بهروزرسانیهای امنیتی فرایند عملکرد گروه کندتر شده و یا متوقف شده باشد. 

شرکت مایکروسافت در گزارش دفاع دیجیتال ماه سپتامبر خود نوشت ۱۰ درصد از مجموع حملات سال ۲۰۲۰ به سازمان‌ها و هفت درصد از مجموع حملات این سال به شرکت‌های فناوری توسط گروه Mercury انجام شده‌اند که گاهی نیز به نام‌های «MuddyWatter» ،«SeedWorm aka» ،«Temp.Zagros» شناخته می‌شود.

Mercury اولین بار در سال ۲۰۱۷ و با سلسله حملاتی به چند کشور عربی، از جمله عربستان سعودی، شناخته شد. این گروه طی سال‌ها به دفعات از آسیب‌پذیری‌های مرتبط با محصولات مایکروسافت در حملات خود استفاده کرده که معروفترین آن، بهرهبرداری از آسیب‌پذیری موسوم به «CVE-2017-0199» در نرم‌افزار آفیس است. 

شرکت امنیتی «سایمانتک» در گزارش سال ۲۰۱۸ خود از قربانی شدن ۱۳۱ فرد و ۳۰ شرکت در نقاط مختلف جهان در بازه زمانی نوامبر تا دسامبر ۲۰۱۸ توسط گروه  «MuddyWatter» خبر داد. همچنین شرکت امنیتی «کسپرسکی» و شرکت «فایرآی»، از جمله بزرگ‌ترین شرکت‌های حوزه امنیت سایبری نیز در گزارش‌های جداگانه به ده‌ها سازمان دولتی، نظامی و خصوصی در نقاط مختلف آسیا، اروپا و آمریکای شمالی اشاره کردهاند که در سال ۲۰۱۸ توسط این گروه هدف قرار گرفته‌اند.

شرکت اسرائیلی «ClearSky» نیز در سال ۲۰۱۹ گزارشی را در خصوص حملات گروه MuddyWatter به سازمان‌های دولتی و غیرانتفاعی، با استفاده از آسیب‌پذیری «CVE-2017-0199» منتشر کرده است. در این گزارش اسنادی ارائه شده‌ است که نشان می‌دهد این گروه به چه شکل از این آسیبپذیری CVE-2017-0199 بهره برده است تا فایل‌های آلوده به کدهای مخرب «ماکرو» را با هدف گرفتن دسترسی از نوع «C2» به شبکه کامپیوتری اهدافی در خاورمیانه و آسیای مرکزی تزریق کند؛ سازمان‌ها و ادارات دولتی، مخابراتی، نظامی و دانشگاهی در ترکیه، لبنان و عمان و همچنین احزاب سیاسی کُرد از جمله این اهداف بوده‌اند.

کارشناسان ClearSky معتقدند که گروه MuddyWatter احتمالا به عنوان گروه هکری دوم در مجموعه شرکت پوششی وابسته به وزارت اطلاعات ایران، «رایانش هوشمند رانا» موسوم به «موسسه رانا»، مشغول کارند. به اعتقاد این کارشناسان، این شرکت با تفکیک فرایند شناسایی و مهندسی اجتماعی و همچنین هک و نفوذ، به نوعی تقسیم کار کرده و مسئولیت هر کدام از این فرایندها را به دو گروه تحت پوشش خود واگذار کرده است.

اما نویسندگان گزارش دفاع دیجیتال در شرکت مایکروسافت ماه سپتامبر۲۰۲۰ در نظری متفاوت، گروه هکری Mercury یا MuddyWatter را یکی از پیمانکاران تحت فرمان «سپاه پاسداران انقلاب اسلامی» معرفی کردهاند که تا کنون بسیاری از سازمان‌ها و نهادهای فعال در حوزه فعالیت‌های بشردوستانه و پناهندگان را قربانی خود کرده است. 

اما موضوعی که تحلیل این شرکت‌های امنیتی را در خصوص ماهیت و وابستگی گروه هکری MuddyWatter با پرسش و ابهام روبه‌رو می‌کند این است که ۱۷ سپتامبر سال جاری، وزارت خزانهداری ایالات متحده شرکت رایانش هوشمند رانا و ۴۵ تن از کارکنان آن را به اتهام حملات سایبری، تجاوز به حریم خصوصی، سرکوب شهروندان ایرانی و سرقت اطلاعات و سرمایه‌های معنوی شرکت‌ها و دولت‌های خارجی، در لیست تحریم‌های خود قرار داد. آمریکا همچنین وزارت اطلاعات جمهوری اسلامی را به پشتیبانی از اقدامات مجرمانه گروه هکری تحت پوشش موسسه رانا، موسوم به گروه «تهدید پیشرفته مستمر ۳۹ (APT39)»، متهم کرد.  

حال طرح تئوری همکاری گروه MuddyWatter با موسسه رانا از سوی شرکت  ClearSky و فعالیت آن‌ها زیر نظر سپاه پاسداران انقلاب اسلامی از سوی کارشناسان شرکت مایکروسافت در حالی مطرح می‌شود که نام گروه MuddyWatter به عنوان یکی از سه منبع اصلی افشاگر اطلاعات در خصوص فعالیت‌های شرکت پوششی رایانش هوشمند رانا و گروه هکری «تهدید پیشرفته مستمر ۳۹» یا «APT39» مطرح است. 

استناد ایالات متحده برای تحریم موسسه رانا و کارکنان آن، گزارش پلیس فدرال آمریکا «افبیآی» و سازمان‌های همکار و شرکت‌های شناختهشده فعال در صنعت سایبری است. بخش عمده‌ای از اطلاعات مورد استفاده در این گزارش‌ها در خصوص فعالیت‌های رایانش هوشمند رانا و «APT39»، اطلاعات موثق و راستیآزماییشده‌ای بود که در یک سال گذشته از سوی سه کانال تلگرامی افشاگر، به نام‌های «لب دوختگان»، کانال «نشت‌دهندگان سبز» متعلق به گروه MuddyWatter و کانال «جعبه سیاه» در دسترس عموم قرار گرفته بود.

در اردیبهشت ماه سال گذشته، گروه هکری MuddyWatter در دو کانال تلگرامی و دو پورت خود در وب تاریک مدعی شد اطلاعاتی از موسسه رانا و گروه هکری زیر نظر آن، تهدید پیشرفته مستمر ۳۹، در اختیار دارد که حاضر است آن را به علاقه‌مندان بفروشد. این گروه تصاویری مرتبط با اطلاعات مورد ادعای خود در وب‌سایت‌هایش در وب تاریک و کانال‌های تلگرامی نیز منتشر کرده بود که در گزارش‌های رسمی شرکت‌های بزرگی همچون ClearSky نیز به آن استناد شده بود.

تحلیل شرکت ClearSky در خصوص همکاری گروه هکری MuddyWatter با شرکت رایانش هوشمند رانا با تحلیل شرکت مایکروسافت مبنی بر وابستگی این گروه به سپاه پاسداران انقلاب اسلامی، در کنار افشاگری منتسب به این گروه در خصوص گروه تهدید پیشرفته مستمر ۳۹ و موسسه رانا، همگی نشان از این حقیقت دارند که شناخت جامعه سایبری جهان از این گروه هکری ایرانی هنوز در مراحل ابتدایی قرار دارد و تا شناسایی بازیگران پشتپرده این گروه و وابستگی آن‌ها، راهی طولانی در پیش است.