استفاده از ضعف امنيتي Zero-Day سيستم عامل ويندوز توسط گروه مهاجمين سايبري 'Hurricane Panda'
يكي از مشكلات امنيتي حل شده توسط شركت مايكروسافت در هفته جاري
يك گروه از مهاجمين سايبري چيني كه از ضعف امنيتي zero-day ويندوز براي نفوذ به شركتهاي با زيربناي فناوري استفاده ميكردند، دستگير شدند.
در سال جاري محققان شركت Crowd Strike اعلام داشتند كه گروه سايبري 'Hurricane Panda' را در حال سوء استفاده از آسيب پذيري (CVE-2014-4113) شناسايي كردهاند. اين ضعف امنيتي در روز سه شنبه توسط مايكروسافت اصلاح شده. اين آسيب يكي از 3 ضعف امنيتي مرتبط با تعيين سطح دسترسي ميباشد كه نفوذگران در تشكيلاتشان از آن براي مقاصد خود بهره برداري ميكنند.
محققان شركت Crowd Strike اولين بار اين حمله را در بهار هنگامي كه اين گروه در شبكه قرباني در حال فعاليت بود،كشف كردند. پس از جلوگيري از نفوذ، مهاجمين شروع به تلاش دوباره براي به دست آوردن دسترسي در شبكه قرباني نمودند.
مدير فني شركت CrowdStrike اعلام كرد: "تلاش اين گروه با به خطر انداختن سرورهاي وب و استقرار webshell و سپس انتقال جانبي وگسترش سطح دسترسيها با استفاده از ابزار افزايش سطح دسترسي محلي انجام ميشود."
ابزار راه دور دسترسي مورد استفاده در اين روند، PlugX بوده كه از تكنيك بارگذاري جانبي DLL استفاده ميكند، كه اخيراً در بين چينيها مرسوم شده است. او همچنين عنوان ميكند كه احتمال ميرود برجسته ترين تكنيك آنها استفاده از سرويسهاي DNS آزادي است كه توسط Hurricane Electric براي بازگرداندن آدرس IP تحت كنترل نفوذگر براي جستجوي نامهاي Domain شخص سوم استفاده ميشود. Hurricane Panda مشهور است كه از Webshell اي به نام ChinaChopper براي بسياري از فعاليتهاي خود استفاده ميكند. زمانيكه اين webshell بارگذاري ميشود، شخص ميتواند به افزايش سطح دسترسي مبادرت ورزد و سپس از چندين ابزار كشف كلمه عبور براي دست يابي غير مجاز به شناسههاي كاربري با هدف دسترسي به موضوعات مورد نياز استفاده نمايد.
بنا به اظهارات كارشناس امنيت Alperovitch، ضعف امنيتي فوق توسط شركت FireEye نيز گزارش شده است و ميتواند تمامي ويندوزهاي 64 بيتي شامل ويندوزهاي 7 و ويندوزهاي سرور 2008 R2 را تحت تاثير خود قرار دهد. در صورت استفاده از نگارش سيستم عامل هاي ويندوز 8 و بالاتر با پردازندههاي خانواده Intel Ivy Bridge و نسلهاي بعد ازآن، ويژگي SMEP هر گونه تلاش براي سوء استفاده از اين ضعف را با دريافت صفحه blue screen متوقف ميسازد.
كد اين بد افزار بسيار خوب و كارا نوشته شده و 100% قابل اطمينان ميباشد. مهاجمين بيشترين تلاش را براي كاهش شانس شناسايي بد افزار به كار بردهاند. بگونه اي كه فايل اجرايي win64.exe فقط در زمان نياز واقعي در طول عمليات نفوذ اجرا و بلافاصله پس از آن حذف ميگردد. بر اساس بررسيهاي انجام شده در مي 2014 نشان ميدهد كه آسيب پذيري فوق به مدت حداقل 5 ماه به صورت فعال مورد بهره برداري قرار گرفته است.
مشكل افزايش سطح دسترسي تنها ضعف اصلاح شده توسط مايكروسافت در اين هفته نبوده است. گزارشات حاكي از آنست كه مهاجمين از ضعف هاي امنيتي CVE-2014-4148 كه همانند CVE-2014-4113 توسط MS14-058 آدرس دهي ميشود استفاده كردهاند. هر دوي اين آسيب پذيريها مربوط به ويندوز كرنل ميباشند.
محققان در شركت iSight Partners حملات جاسوسي سايبري به سازمان NATO، سازمانهاي دولتي اكراين، شركتهاي ارتباطي اروپايي، شركتهاي اتمي و غيره را مربوط به ضعف امنيتي CVE-2014-4114 [MS14-060] دانستهاند. گروه پشت پرده اين حملات به Sandworm نامگذاري شده است كه اعتقاد بر اينست كه از 2009 مشغول به فعاليت بوده است.
همچنين مايكروسافت، آسيب پذيري مربوط به مرورگر IE (CVE-2014-4123) را كه مورد هدف محدودي از نفوذ گران براي توسعه سطح دسترسي ميباشد، شناسايي كرده است. اين حفره امنيتي توسط وصله بروز رساني MS14-056 مرتفع گرديده است.