هکرهای ایرانی در نقش واسطه برای فروش دسترسی به زیرساختهای حیاتی جهانی
اخبار داغ فناوری اطلاعات و امنیت شبکه
هکرهای ایرانی در حال نقض سازمانهای زیرساختی حیاتی برای جمعآوری اعتبارنامه و دادههای شبکه هستند که میتوانند در انجمنهای مجرمان سایبری فروخته شوند تا حملات سایبری سایر عوامل تهدید را فعال کنند.
سازمانهای دولتی در ایالات متحده، کانادا و استرالیا ادعا کردهاند که هکرهای ایرانی به عنوان واسطههای دسترسی اولیه عمل میکنند و از تکنیکهای brute-force برای دسترسی به بخشهای سازمانهای بهداشت و سلامت عمومی (HPH)، دولت، فناوری اطلاعات، مهندسی و انرژی استفاده میکنند.
کارگزار دسترسی ایرانی
در ادعاهایی که توسط آژانس دفاع سایبری آمریکا (CISA) منتشر شده است، آخرین فعالیتها و روشهایی را که هکرهای ایرانی برای به خطر انداختن شبکهها و جمعآوری دادههایی که نقاط دسترسی بیشتری را فراهم میکردند، شرح داده شده است.
این هشدار توسط دفتر تحقیقات فدرال (FBI)، CISA، آژانس امنیت ملی (NSA)، سازمان امنیت ارتباطات کانادا (CSE)، پلیس فدرال استرالیا (AFP) و اداره سیگنالهای مرکز امنیتی سایبری استرالیا (ASD's ACSC) تهیه شده است.
طبق ادعاهای این مشاوره امنیتی: «از اکتبر ٢٠٢٣، مهاجمان ایرانی از عملیات و حملات brute-force مانند اسپری رمز عبور، و احراز هویت چندعاملی (MFA) با اصطلاح "push bombing" برای به خطر انداختن حسابهای کاربری و دسترسی به سازمانها استفاده کرده اند».
پس از مرحله شناسایی، هدف عوامل تهدید دستیابی مداوم و پیوسته به شبکه هدف، اغلب با استفاده از تکنیکهای brute force است.
فعالیتهای پیگیری شامل جمعآوری اعتبارنامه بیشتر، افزایش اختیارات، و یادگیری در مورد سیستمها و شبکه نقضشده است که به آنها این امکان را میدهد تا به صورت جانبی حرکت کنند و سایر نقاط دسترسی و بهرهبرداری را شناسایی نمایند.
سازمانهای دولتی همه روشهای مورد استفاده در چنین حملاتی را کشف نکردهاند، اما مشخص کردهاند که برخی از هکرها از اسپری رمز عبور برای دسترسی به حسابهای کاربری و حسابهای گروهی معتبر استفاده میکنند.
روش دیگری که مشاهده شد، خطای MFA یا Push Bombing بود که در آن مجرمان سایبری تلفن همراه هدف را با درخواستهای دسترسی بمباران میکنند تا کاربر را تا زمانی که تلاش ورود به سیستم را تایید کنند، تصادفی یا فقط برای متوقف کردن اعلانها، تحتفشار قرار دهند.
بر اساس ادعاهای این مشاوره، هکرهای ایرانی برای دسترسی اولیه به محیطهای Microsoft 365، Azure و Citrix از روشهایی استفاده کردند که هنوز مشخص نشده است.
هنگامی که به یک حساب دسترسی پیدا میکنند، عوامل تهدید معمولا سعی میکنند دستگاههای خود را در سیستم MFA سازمان ثبت کنند.
این گزارش میگوید: «در دو حمله تایید شده، مهاجمان از ثبتنام آزاد کاربر در معرض خطر برای MFA استفاده کردند تا دستگاه خود مهاجم را برای دسترسی به محیط ثبت کند. در یک نفوذ موفق و تایید شده دیگر، مهاجمان از ابزار بازنشانی رمز عبور سلف سرویس (SSPR) مرتبط با سرویس فدراسیون اکتیو دایرکتوری عمومی (ADFS) برای بازنشانی حسابهای دارای گذرواژههای منقضی شده استفاده کردند و سپس MFA را از طریق Okta برای حسابهای در معرض خطر بدون فعال کردن MFA ثبت کردند».
حرکت در شبکه از طریق پروتکل دسکتاپ از راه دور (RDP) انجام میشود، که گاهی اوقات باینریهای لازم را با استفاده از PowerShell که از طریق Microsoft Word باز میشود، مستقر میکند.
مشخص نیست که چگونه هکرهای ایرانی اعتبارنامههای اضافی را جمعآوری میکنند، اما اعتقاد بر این است که این مرحله با کمک ابزارهای منبع باز برای سرقت تیکتهای Kerberos یا بازیابی حسابهای Active Directory انجام میشود.
برای افزایش اختیارات در سیستم، سازمانهای دولتی گفتند که هکرها سعی کردهاند جعل هویت کنترلکننده دامنه را «احتمالا با سواستفاده از آسیبپذیری افزایش اختیار Netlogon مایکروسافت (که همچنین با عنوان «Zerologon» شناخته میشود) جعل کنند (CVE-2020-1472)».
در حملات مورد تجزیهوتحلیل، عامل تهدید به ابزارهای موجود در سیستم (living off the land) برای جمعآوری جزئیات در مورد کنترلکنندههای دامنه، دامنههای مورد اعتماد، فهرستهای ادمینها، مدیران سازمانی، رایانههای موجود در شبکه، توضیحات آنها و سیستمهای عامل تکیه کرده است.
در مشاوره امنیتی جداگانهای در ماه آگوست، دولت ایالات متحده نسبت به یک عامل تهدید مستقر در ایران، که گمان میرود تحت حمایت دولت باشد و در دستیابی به دسترسی اولیه به شبکههای متعلق به سازمانهای مختلف در ایالات متحده نقش داشته باشد، ادعاهایی را مطرح نمود.
عامل تهدید از نام مستعار Br0k3r و نام کاربری 'xplfinder' در کانالهای ارتباطی استفاده میکرد. این گزارش خاطرنشان میکند که آنها «اختیارات کنترل کامل دامنه و همچنین اعتبارنامه مدیریت دامنه را برای شبکههای متعدد در سراسر جهان فراهم کردند».
عامل سایبری Br0k3r که با نامهای Pioneer Kitten، Fox Kitten، UNC757، Parisite، RUBIDIUM، و Lemon Sandstorm نیز شناخته میشود، با مجموعههای استفاده کننده از باجافزار برای دریافت درصدی از باج از سازمانهای در معرض خطر (مانند مدارس، موسسات مالی، دولتها و شهرداریها، امکانات بهداشتی و درمانی) همکاری کرده است.
شناسایی تلاشهایی در راستای حملات brute-force
این مشاوره مشترک به سازمانها توصیه میکند گزارشهای احراز هویت را برای ورود ناموفق در حسابهای معتبر بررسی کنند و جستجو را به چندین حساب گسترش دهند.
اگر یک عامل تهدید از اعتبارنامههای به خطر افتاده در زیرساختهای مجازی استفاده کند، سازمانها باید به دنبال به اصطلاح «ورود غیرممکن» با نامهای کاربری، عوامل کاربر یا آدرسهای IP تغییر یافته باشند که با موقعیت جغرافیایی معمول کاربر مطابقت ندارد.
یکی دیگر از نشانههای تلاش بالقوه برای نفوذ، استفاده از IP یکسان برای چندین حساب یا استفاده از IP از مکانهای مختلف با تناوبی است که به کاربر اجازه نمیدهد مسافت زیادی را طی کند.
علاوه بر این، آژانسها توصیه میکنند:
• به دنبال ثبت MFA با MFA در مناطق غیرمنتظره یا از دستگاههای ناآشنا باشید.
• به دنبال فرآیندها و آرگومانهای خط فرمان اجرای برنامهای که ممکن است نشاندهنده تخلیه اعتبارنامه و به ویژه تلاش برای دسترسی یا کپی کردن فایل ntds.dit از یک کنترل کننده دامنه باشد، بگردید.
• بررسی استفاده مشکوک از حساب ادمین پس از بازنشانی گذرواژهها یا اعمال تخفیفهای حساب کاربری را در دستور کار داشته باشید.
• بررسی فعالیت غیرعادی در حسابهای معمولا غیرفعال را انجم دهید.
• اسکن رشتههای عامل کاربر غیرمعمول، مانند رشتههایی که معمولا با فعالیت عادی کاربر مرتبط نیستند، که ممکن است فعالیت ربات را نشان دهد، انجام دهید.
مشاوره مشترک همچنین مجموعهای از اقدامات در راستای کاهش خطرات را ارائه میدهد که وضعیت امنیتی سازمان را در برابر تاکتیکها، تکنیکها و رویهها (TTP) مشاهده شده با فعالیت هکرهای ایرانی، بهبود میبخشد.
مجموعهای از شاخصهای کاهش خطر شامل هش برای فایلهای مخرب، آدرسهای IP و دستگاههای مورد استفاده در حملات در مشاوره ذکر شده است.
برچسب ها: CVE-2020-1472, Netlogon, احراز هویت چندعاملی, push bombing, xplfinder, Br0k3r, UNC757, Parisite, Rubidium, Fox Kitten, Lemon Sandstorm, Pioneer Kitten, Password Spray, ZeroLogon, Multi Function Authentication, Kerberos, Okta, باجافزار, Azure, Microsoft 365, Citrix, Iran, اعتبارنامه, Credentials, PowerShell, Hacker, cybersecurity, ایران, ransomware , جاسوسی سایبری, امنیت سایبری, جنگ سایبری, Cyber Attacks, حمله سایبری, news