سه آژانس امنیتی آمریکا گزارش مشترکی را برای افشا و جلب‌توجه به پنج آسیب‌پذیری در تجهیزات سازمانی منتشر کرده‌اند که هکرهای دولت روسیه برای نفوذ شبکه‌های شرکتی و دولتی در حال استفاده از آنها هستند.
به گزارش مرکز مدیریت راهبردی افتا: آژانس امنیت سایبری و زیرساخت (CISA) ، اداره تحقیقات فدرال (FBI) و آژانس امنیت ملی (NSA) آمریکا به‌جای هویت واقعی هکرهای روسی از SVR  نام بردند به آن دلیل که این گزارش مشترک هم‌زمان با مجموعه گسترده تحریم‌های اقتصادی علیه دولت روسیه باشد.
در این تحریم‌ها، دولت بایدن رسماً SVR ( سرویس اطلاعات خارجی روسیه) و واحدهای هکری آن را به سازماندهی حمله زنجیره تأمین SolarWinds متهم کرد.
گزارش مشترک امنیتی برای افشای تاکتیک‌های اضافی بود که SVR امروز نیز برای حمله به شبکه‌های خصوصی و عمومی آمریکا  و متحدانش استفاده می‌کند.
CISA ، FBI و NSA گفتند که SVR به طور مکرر شبکه‌هایی را برای سیستم‌هایی که برای آسیب‌پذیری‌های شناخته شده است را اسکن می‌کند و در تلاش برای به‌دست‌آوردن اطلاعات احراز هویت برای دسترسی بیشتر هستند.
آسیب‌پذیری‌های هدفمند شامل موارد زیر هستند:

۱- CVE-۲۰۱۸-۱۳۳۷۹ – Fortinet’s FortiOS
۲- CVE-۲۰۱۹-۹۶۷۰ – Zimbra
۳- CVE-۲۰۱۹-۱۱۵۱۰ – VPN Pulse Secure
۴- CVE-۲۰۱۹-۱۹۷۸۱ – Citrix ADC
۵- CVE-۲۰۲۰-۴۰۰۶ – VMware Workspace ONE Access

تمام این پنج آسیب‌پذیری کاملاً شناخته شده است واز آنها قبلاً در حملات مهاجمان دولت ملی و گروه‌های جرایم اینترنتی استفاده شده است.
به‌عنوان‌مثال، طبق هشدار امنیتی مشترک آمریکا و انگلیس که در ژوئیه سال ۲۰۲۰ منتشر شد، SVR  از چهار آسیب‌پذیری اول لیست بالا برای هدف قراردادن و نفوذ شبکه‌های شرکت‌های فعال در ساخت واکسن COVID-۱۹ استفاده کرده بود.
NSA همچنین در دسامبر سال ۲۰۲۰ یک راهنمای امنیتی منتشر کرد که به شرکت‌های آمریکایی هشدار می‌داد که هکرهای روسی از، آسیب‌پذیری VMWare بعنوان پنجمین باگ سوءاستفاده می‌کنند.
پیش‌ازاین،  NSA همچنین در اکتبر ۲۰۱۹ به شرکت‌ها و سازمان‌های دولتی ایالات متحده هشدار داده بود که مهاجمان دولت روسیه از باگ‌های  Fortinet و Pulse Secure VPN برای نفوذ به شبکه استفاده می‌کنند.
آسیب‌پذیری citrix همچنین در لیست NSA از باگ‌های مهم مورد سوءاستفاده دولت‌های ملی برای وب شل قرار گرفت.
NSA در بیانیه مطبوعاتی گفت: “کاهش اثر این آسیب‌پذیری‌ها بسیار مهم است، زیرا ایالات متحده و شبکه‌های متحدان آن به طور مداوم توسط مهاجمان سایبری تحت حمایت دولت روسیه اسکن، هدف‌گیری و مورد بهره‌برداری قرار می‌گیرند.”
این سه آژانس به‌منظور خرابکاری در عملیات هک کردن خارجی، معمولاً طی دو – سه سال گذشته گزارش‌های مشابه منتشر کرده‌اند. 
در زیر لیستی از آسیب‌پذیری‌های مشترک که به طور فعال توسط مهاجمان SVR مورد سوءاستفاده قرار می‌گیرد آورده شده است.

پنج آسیب‌پذیری نرم‌افزارمورد سوء استفاده هکرهای SVR 

بر اساس این هشدار،NSA ، CISA و FBI به شدت متولیان امنیت سایبری را توصیه می‌کنند تا شبکه‌های خود را از نظر شاخص سازش مربوط به هر پنج آسیب‌پذیری و تکنیک‌های تفصیلی در گزارش بررسی کرده و اقدامات فوری را انجام دهند. 

راهکارهای عمومی جهت جلوگیری از حملات
۱.    سیستم‌ها و محصولات را به‌روز نگه دارید و دراسرع‌وقت به‌روزرسانی کنید. چراکه بسیاری از مهاجمان از آسیب‌پذیری‌های متعدد استفاده می‌کنند.
۲.    پیش‌بینی این‌که قبل از وصله دستگاه، خطر ناشی از داده‌های به سرقت رفته یا اصلاح شده (از جمله اطلاعات کاربری، حساب‌ها و نرم‌افزارها) با اقدامات وصله گذاری یا اصلاح ساده برطرف نخواهد شد. 
۳.    قابلیت‌های مدیریت خارجی را غیرفعال کنید و یک مدیریت شبکه out-of-band راه‌اندازی کنید.
۴.    پروتکل‌های منسوخ یا استفاده نشده را در لبه شبکه مسدود کنید و آنها را در تنظیمات دستگاه غیرفعال کنید.
۵.    جهت کاهش دسترسی به شبکه داخلی، سرویس‌های سمت اینترنت را در یک شبکه  DMZ ایزوله کنید. 
۶.    لاگ قوی در سرویس‌های سمت اینترنت پیاده‌سازی کنید و توابع احراز هویت را فعال کنید. به طور مداوم علائم نفوذ یا سوءاستفاده از اعتبارنامه، به‌ویژه در محیط‌های ابر را بررسی کنید.
۷.    تصور کنید که نفوذ اتفاق می‌افتد. برای فعالیت‌های پاسخگویی به حوادث آماده شوید، فقط در مورد کانال‌های out-of-band ارتباط برقرار کنید.
تکنیک‌های استفاده شده توسط مهاجمان SVR 
بهره‌برداری از برنامه‌های عمومی
مهاجمان ممکن است سعی کنند از یک نقطه‌ضعف در یک رایانه یا برنامه سمت اینترنت با استفاده از نرم‌افزار، داده‌ها یا دستورات استفاده کنند تا رفتار ناخواسته یا پیش‌بینی‌نشده‌ای ایجاد کنند.
استفاده از خدمات از راه دور خارجی
 ممکن است مهاجمان از سرویس‌های از راه دور خارجی که برای دسترسی اولیه در شبکه استفاده می‌کنند، کمک بگیرند.
سرویس‌های از راه دور مانند VPN ها، Citrix  و سایر مکانیزم‌های دسترسی به‌ویژه PRD که به کاربران امکان می‌دهند از مکان‌های خارجی (اینترنت) به منابع شبکه سازمانی داخلی متصل شوند.
نفوذ به زنجیره‌های تأمین
مهاجمان ممکن است محصولات یا مکانیسم‌های تحویل محصول را قبل از دریافت توسط مصرف‌کننده نهایی برای نفوذ با داده یا سیستم دست‌کاری کنند.
استفاده از حساب‌های معتبر 
مهاجمان ممکن است اعتبار حساب‌های موجود را به‌عنوان وسیله‌ای برای دستیابی یا افزایش مجوزها به دست آورند و سوءاستفاده کنند.
بهره‌برداری از نرم‌افزار برای دسترسی به اعتبارنامه
ممکن است مهاجمان در تلاش برای جمع‌آوری اعتبارنامه، از آسیب‌پذیری‌های نرم‌افزار سوءاستفاده کنند.
جعل مدارک وب
توکن‌های SAML اگر یک گواهینامه معتبر امضای SAML داشته باشد، یک مهاجم می‌تواند توکن‌های SAML را با هرگونه مجوز و طول عمری جعل کند.

نشانه های آلودگی(IOC)  و رول های شناسایی

منابع

https://therecord.media/cisa-fbi-nsa-reveal-five-enterprise-bugs-exploited-by-russias-apt۲۹-group

https://www.hipaajournal.com/nsa-cisa-fbi-patch-now-to-stop-russian-government-hackers-exploiting-these-۵-vulnerabilities/

https://media.defense.gov/۲۰۲۱/Apr/۱۵/۲۰۰۲۶۲۱۲۴۰/-۱/-۱/۰/CSA_SVR _TARGETS_US_ALLIES_UOO۱۳۲۳۴۰۲۱.PDF/CSA _SVR_TARGETS_US_ALLIES_UOO۱۳۲۳۴۰۲۱.PDF

https://vulners.com/malwarebytes/MALWAREBYTES:۸۰B۲۱E۹۳۴B۱C۴۳C۷۰۷۱F۰۳۹FE۹۵۱۲۲۰۸?utm_source=rss&utm_medium=rss&utm_campaign=rss

https://media.defense.gov/۲۰۲۰/Jul/۱۶/۲۰۰۲۴۵۷۶۳۹/-۱/-۱/۰/NCSC_APT۲۹_ADVISORY-QUAD-OFFICIAL-۲۰۲۰۰۷۰۹-۱۸۱۰.PDF

https://media.defense.gov/۲۰۱۹/Oct/۰۷/۲۰۰۲۱۹۱۶۰۱/-۱/-۱/۰/Mitigating%۲۰Recent%۲۰VPN%۲۰Vulnerabilities%۲۰-%۲۰Copy.pdf

https://media.defense.gov/۲۰۲۰/Jun/۰۹/۲۰۰۲۳۱۳۰۸۱/-۱/-۱/۰/CSI-DETECT-AND-PREVENT-WEB-SHELL-MALWARE-۲۰۲۰۰۴۲۲.PDF

https://media.defense.gov/۲۰۲۰/Dec/۰۷/۲۰۰۲۵۴۷۰۷۱/-۱/-۱/۰/CSA_VMWARE%۲۰ACCESS_U_OO_۱۹۵۰۷۶_۲۰.PDF

https://media.defense.gov/۲۰۲۰/Sep/۱۷/۲۰۰۲۴۹۹۶۱۶/-۱/-۱/۰/PERFORMING_OUT_OF_BAND_NETWORK _MANAGEMENT۲۰۲۰۰۹۱۱.PDF