استفاده از ضعف امنيتی Zero-Day سيستم عامل ويندوز توسط گروه مهاجمين سايبری 'Hurricane Panda'

استفاده از ضعف امنيتی Zero-Day سيستم عامل ويندوز توسط گروه مهاجمين سايبری 'Hurricane Panda'
يكی از مشكلات امنيتی حل شده توسط شركت مايكروسافت در هفته جاري

يك گروه از مهاجمين سايبری چينی كه از ضعف امنيتی zero-day ويندوز برای نفوذ به شركت‌های با زيربنای فناوری استفاده می‌كردند، دستگير شدند.

در سال جاری محققان شركت Crowd Strike اعلام داشتند كه گروه سايبری 'Hurricane Panda' را در حال سوء استفاده از آسيب پذيری (CVE-2014-4113) شناسايی كرده‌اند. اين ضعف امنيتی در روز سه شنبه توسط مايكروسافت اصلاح شده. اين آسيب يكی از 3 ضعف امنيتی مرتبط با تعيين سطح دسترسی می‌باشد كه نفوذگران در تشكيلاتشان از آن برای مقاصد خود بهره برداری می‌كنند.

محققان شركت Crowd Strike اولين بار اين حمله را در بهار هنگامی كه اين گروه در شبكه قربانی در حال فعاليت بود،كشف كردند. پس از جلوگيری از نفوذ، مهاجمين شروع به تلاش دوباره برای به دست آوردن دسترسی در شبكه قربانی نمودند.

مدير فنی شركت CrowdStrike اعلام كرد: "تلاش اين گروه با به خطر انداختن سرورهای وب و استقرار webshell و سپس انتقال جانبی وگسترش سطح دسترسی‌ها با استفاده از ابزار افزايش سطح دسترسی محلی انجام می‌شود."

ابزار راه دور دسترسی مورد استفاده در اين روند، PlugX بوده كه از تكنيك بارگذاری جانبی DLL استفاده می‌كند، كه اخيراً در بين چينی‌ها مرسوم شده است. او همچنين عنوان می‌كند كه احتمال می‌رود برجسته ترين تكنيك آنها استفاده از سرويس‌های DNS آزادی است كه توسط Hurricane Electric برای بازگرداندن آدرس IP تحت كنترل نفوذگر برای جستجوی نامهای Domain شخص سوم استفاده می‌شود. Hurricane Panda مشهور است كه از Webshell ای به نام ChinaChopper برای بسياری از فعاليت‌های خود استفاده می‌كند. زمانيكه اين webshell بارگذاری می‌شود، شخص می‌تواند به افزايش سطح دسترسی مبادرت ورزد و سپس از چندين ابزار كشف كلمه عبور برای دست يابی غير مجاز به شناسه‌های كاربری با هدف دسترسی به موضوعات مورد نياز استفاده نمايد.

بنا به اظهارات كارشناس امنيت Alperovitch، ضعف امنيتی فوق توسط شركت FireEye نيز گزارش شده است و می‌تواند تمامی ويندوزهای 64 بيتی شامل ويندوزهای 7 و ويندوزهای سرور 2008 R2 را تحت تاثير خود قرار دهد. در صورت استفاده از نگارش سيستم عامل های ويندوز 8 و بالاتر با پردازنده‌های خانواده Intel Ivy Bridge و نسل‌های بعد ازآن، ويژگی SMEP هر گونه تلاش برای سوء استفاده از اين ضعف را با دريافت صفحه blue screen متوقف می‌سازد.

كد اين بد افزار بسيار خوب و كارا نوشته شده و 100% قابل اطمينان می‌باشد. مهاجمين بيشترين تلاش را برای كاهش شانس شناسايی بد افزار به كار برده‌اند. بگونه ای كه فايل اجرايی win64.exe فقط در زمان نياز واقعی در طول عمليات نفوذ اجرا و بلافاصله پس از آن حذف می‌گردد. بر اساس بررسی‌های انجام شده در می 2014 نشان می‌دهد كه آسيب پذيری فوق به مدت حداقل 5 ماه به صورت فعال مورد بهره برداری قرار گرفته است.

مشكل افزايش سطح دسترسی تنها ضعف اصلاح شده توسط مايكروسافت در اين هفته نبوده است. گزارشات حاكی از آنست كه مهاجمين از ضعف های امنيتی CVE-2014-4148 كه همانند CVE-2014-4113 توسط MS14-058 آدرس دهی می‌شود استفاده كرده‌اند. هر دوی اين آسيب پذيری‌ها مربوط به ويندوز كرنل می‌باشند.

محققان در شركت iSight Partners حملات جاسوسی سايبری به سازمان NATO، سازمان‌های دولتی اكراين، شركت‌های ارتباطی اروپايی، شركت‌های اتمی و غيره را مربوط به ضعف امنيتی CVE-2014-4114 [MS14-060] دانسته‌اند. گروه پشت پرده اين حملات به Sandworm نامگذاری شده است كه اعتقاد بر اينست كه از 2009 مشغول به فعاليت بوده است.

همچنين مايكروسافت، آسيب پذيری مربوط به مرورگر IE (CVE-2014-4123) را كه مورد هدف محدودی از نفوذ گران برای توسعه سطح دسترسی می‌باشد، شناسايی كرده است. اين حفره امنيتی توسط وصله بروز رسانی MS14-056 مرتفع گرديده است.

منبع: www.darkreading.com/attacks-breaches/hurricane-panda-cyberspies-used-windows-zero-day-for-months-/d/d-id/1316672

تاريخ: دوشنبه 28 مهر 1393  ساعت: 17:30

پشتيباني مشتريان

دريافت نرم‌افزار

نظرسنجي

از چه ديواره آتشي استفاده مي‌كنيد؟
Cisco PIX

Netscreen

Watchguard

Packet Alarm