مطابق گزارش اخیر FBI، گروه APT یا هکرهای حامی دولت از نقاط ضعف موجود در VPNهای بهروز نشده Fortinet از یک وب سرور متعلق به یکی از شهرداریهای آمریکا سوءاستفاده کردند.
گروه APT مذکور پس از دسترسی به وب سرور، سرورها و حساب کاربری جدید ایجاد کردند.
طبق گفته FBI، گردانندگان APT در حال ساختن حسابهای “WADGUtilityAccount” و “elie” در سیستمهای هک شده از ارگانهای دولتهای محلی هستند، تا از آنها برای جمعآوری اطلاعات شبکه آسیبدیده قربانیان استفاده کنند.
دو سازمان FBI و CISA در ماه آوریل نیز در مورد حملات گردانندگان APT با سوءاستفاده از چندین آسیبپذیری در سرورهای Fortinet FortiOS، هشدار داده بودند.
آسیبپذیریهایی که به طور فعال گروه APT از آنها سوءاستفاده میکنند در زیر ذکر شده است:CVE-۲۰۱۸-۱۳۳۷۹CVE-۲۰۱۹-۵۵۹۱CVE-۲۰۲۰-۱۲۸۱۲کارشناسان توضیح دادهاند که این گروه APT ممکن است از سرورهای در معرض خطر استفاده کنند تا بخشهای مهم زیرساخت را برای اجرای حملات آینده هدف قرار دهند.
ابزارهای مورداستفاده
گروه APT از هفت ابزار زیر برای اجرای حملات خود استفاده کرده است:
• Mimikatz (سرقت نام های کاربری و رمزهای عبور)
• MinerGate (استخراج رمزنگاری)
• WinPEAS (افزایش دسترسی)
• SharpWMI (ابزار مدیریت Windows)
• فعالسازی BitLocker (رمزگذاری داده)
• WinRAR (آرشیو)
• FileZilla (انتقال فایل)
گردانندگان APT در هدف قراردادن تجهیزات Fortinet سابقه دارند
هدف هکرهای دولتی یاAPT ها در سالهای گذشته سرورهای به روز نشده Fortinet بوده است و حتی در نوامبر ۲۰۲۰ هکرها با سوءاستفاده از آسیبپذیری CVE-۲۰۱۸-۱۳۳۷۹ به بیش از ۵۰ هزار سرور Fortinet VPN زیرساختهای حیاتی مانند دولتها و بانکها، نفوذ کردند.
توصیهها
راهکارهای سازمانهای FBI و CISA برای کاهش اثرات حملات APT
کارشناسان امنیتی مرکز مدیریت راهبردی افتا به منظور جلوگیری از چنین حملات و پالایش سیستمها و شبکههای به خطر افتاده، به راهبران سیستمهای زیرساختها توصیه اکید میکنند که اقدامات پیشتر ذکر شده را، به جدیت دنبال کنند.
منبع:
https://gbhackers.com/hackers-exploited-fortinet-vulnerabilities/
دیدگاه شما