طبق گزارش اداره اطلاعات و امنیت نظامی هلند (MIVD)، گروهی از جاسوسان سایبری چینی با نفوذ به یک شبکه داخلی در وزارت دفاع این کشور که سال گذشته رخ داد، بدافزاری را بر روی دستگاه های آسیب پذیر مستقر کردند. با این حال، به لطف بخش بندی شبکه، خسارت ناشی از این نقض امنیتی محدود ماند.
MIVD و سازمان اطلاعات و امنیت عمومی (AIVD) در گزارش مشترکی اعلام کردند: تاثیرات نفوذ محدود بود، زیرا شبکه آسیب دیده از شبکه های گسترده تر وزارت دفاع جدا شده بود. این شبکه که کمتر از 50 کاربر داشت، برای تحقیق و توسعه (R&D) پروژه های طبقه بندی نشده و همکاری با دو موسسه تحقیقاتی شخص ثالث مورد استفاده قرار می گرفت. این سازمان ها از این حادثه مطلع شده اند.
بدافزار جاسوسی حتی پس از به روز رسانی سیستم عامل، به فعالیت خود ادامه می دهد
در جریان تحقیقات بعدی، نوع جدیدی از بدافزار به نام Coathanger که تروجان دسترسی از راه دور (RAT) است و برای آلوده کردن تجهیزات امنیتی شبکه Fortigate طراحی شده، در شبکه هک شده کشف شد. دو سازمان هلندی هشدار دادند: “قابل توجه است که ابزار کواثِنگر ماندگار است و با تزریق یک نسخه پشتیبان از خود به فرآیندی که مسئول راه اندازی مجدد سیستم است، بعد از هر راه اندازی مجدد بازیابی می شود. علاوه بر این، این باگ حتی پس از به روز رسانی سیستم عامل نیز باقی می ماند. بنابراین،حتی دستگاه های FortiGate کاملاً وصله شده، در صورت به خطر افتادن قبل از اعمال آخرین وصله، ممکن است آلوده شوند.” این بدافزار به طور پنهانی و مداوم عمل می کند و با قطع تماس های سیستم برای جلوگیری از فاش شدن حضور خود را پنهان می کند. همچنین از طریق راه اندازی مجدد سیستم و به روز رسانی سیستم عامل ادامه می یابد.
اگرچه حملات به گروه تهدید خاصی نسبت داده نشده است، MIVD این حادثه را با اطمینان بالایی به یک گروه هکری تحت حمایت دولت چین مرتبط کرده است و افزود که این فعالیت مخرب بخشی از الگوی گسترده تر جاسوسی سیاسی چین علیه هلند و متحدانش است.
فایروال های FortiGate تحت حمله
هکرهای چینی بدافزار Coathanger را برای مقاصد جاسوسی سایبری بر روی فایروال های آسیب پذیر FortiGate مستقر کردند که با سوء استفاده از آسیب پذیری CVE-2022-42475 SSL-VPN FortiOS به خطر انداخته بودند. همانطور که Fortinet در ژانویه 2023 فاش کرد، CVE-2022-42475 نیز به عنوان یک باگ روز صفر در حملاتی که سازمان های دولتی و اهداف مرتبط را هدف قرار می داد، مورد سوء استفاده قرار گرفت. این حملات همچنین شباهت های زیادی با یک کمپین هک چینی دیگر دارد که دستگاه های پچ نشده SonicWall Secure Mobile Access (SMA) را با بدافزار جاسوسی سایبری که برای بقا در به روز رسانی های سیستم عامل طراحی شده بود، هدف قرار داد.
برای جلوگیری از اقدامات مشابه، از سازمان ها خواسته می شود به محض در دسترس قرار گرفتن، به سرعت وصله های امنیتی را از فروشندگان برای همه دستگاه های لبه متصل به اینترنت اعمال کنند.
کایسا اوللونگرن، وزیر دفاع هلند، گفت: (برای اولین بار، MIVD تصمیم گرفته است گزارش فنی در مورد روش های کاری هکرهای چینی را منتشر کند. نسبت دادن چنین فعالیت های جاسوسی به چین مهم است. به این ترتیب، ما انعطاف پذیری بین المللی را در برابر این نوع جاسوسی سایبری افزایش می دهیم.)
بیشتر بخوانید:
- جاسوسی سایبری چین؛ تهدیدی برای زیرساختهای حیاتی آمریکا
- حمله سایبری به فعالان و روزنامهنگاران اردنی با نرمافزار جاسوسی پگاسوس
- تروجان Mispadu با سوء استفاده از حفره امنیتی ویندوز، کاربران مکزیکی را هدف قرار می دهد
امتیاز شما به این مطلب