[ad_1]

ارتش روسیه هکرهای معروف به Sandworm ، مسئول همه چیز ، از گرفتگی در اوکراین گرفته تا NotPetya ، مخرب ترین بدافزار تاریخ ، از اعتبار و اعتبار برخوردار نیستند. با این حال ، آژانس امنیتی فرانسه هشدار می دهد که هکرها با استفاده از ابزارها و تکنیک هایی که وی با Sandworm ارتباط برقرار می کند ، با استفاده از ابزاری برای نظارت بر فناوری اطلاعات به نام Centreon ، اهداف را در آن کشور به سرقت برده اند – و به نظر می رسد که به مدت سه سال بدون شناسایی فرار کرده اند.

روز دوشنبه ، آژانس امنیت اطلاعات ANSSI فرانسه هشدار مشورتی داد که هکرهایی که با Sandworm ، گروهی در آژانس اطلاعاتی نظامی GRU روسیه ارتباط دارند ، چندین سازمان فرانسه را نقض کرده اند. آژانس این قربانیان را “بیشتر” شرکتهای IT و به ویژه شرکتهای میزبانی وب توصیف می کند. نکته قابل توجه ، ANSSI می گوید که این فعالیت نفوذ به اواخر سال 2017 برمی گردد و تا سال 2020 ادامه داشت. به نظر می رسد در این نقض ها ، هکرها سرورهای Centreon را که توسط یک شرکت مستقر در پاریس به همین نام فروخته شده ، به خطر انداخته اند.

اگرچه ANSSI ادعا می کند که نتوانسته است نحوه هک شدن این سرورها را شناسایی کند ، اما دو بدافزار مختلف را بر روی آنها پیدا کرد: یکی درب پشتی در دسترس عموم به نام PAS و دیگری معروف به Exaramel ، که شرکت اسلواکی Cybersecurity ESET متوجه نفوذ قبلی Sandworm شده است. در حالی که گروه های هکر از بدافزار کشورهای دیگر استفاده می کنند – گاهی اوقات به عمد برای فریب محققان – آژانس فرانسوی همچنین می گوید در مدیریت و کنترل سرورهای مورد استفاده در کمپین هک Centreon و حوادث قبلی هک شدن Sandworm هم پوشانی وجود دارد.

اگرچه به هیچ وجه مشخص نیست که هکرهای Sandworm در این کار طولانی مدت هکینگ فرانسه چه یافته اند ، اما هرگونه حمله به Sandworm باعث نگرانی کسانی شده است که نتایج کارهای گذشته این گروه را دیده اند. جو اسلوویک ، محقق شرکت امنیتی DomainTools ، که سالها فعالیتهای کرم ماسه ای را دنبال می کرد ، از جمله حمله به شبکه برق اوکراین ، جایی که نسخه اولیه درب عقب Exaramel Sandworm ظاهر شد ، گفت: “کرم شن درگیر عملیات تخریبی است.” “اگرچه در مورد این کمپین ، که توسط مقامات فرانسوی مستند شده باشد ، نتیجه مشخصی وجود ندارد ، اما واقعیت وقوع آن نگران کننده است ، زیرا هدف نهایی بیشتر عملیات کرم ماسه ای ایجاد یک اثر مخرب قابل توجه است. ما باید توجه داشته باشیم.”

ANSSI قربانیان حمله هک را شناسایی نکرد. اما وب سایت Centreon شامل مشتریان ، از جمله ارائه دهندگان خدمات ارتباط از راه دور Orange و OptiComm ، شرکت مشاور فناوری اطلاعات CGI ، شرکت دفاعی و هوافضا Thales ، شرکت فولاد و معدن ArcelorMittal ، Airbus ، Air France KLM ، شرکت تدارکاتی Nagel Kueh انرژی انرژی EDF و وزارت فرانسه فرانسه است. عدالت مشخص نیست که کدام یک از این مشتریان دارای سرورهای Centreon در اینترنت بوده اند.

در این بیانیه در یک ایمیل آمده است: “در هر صورت ، در این مرحله ثابت نشده است که این آسیب پذیری شناسایی شده مربوط به یک نسخه تجاری ارائه شده توسط Centreon در دوره مورد نظر است” ، و افزود که به طور منظم به روزرسانی های امنیتی را منتشر می کند. “در این مرحله ، چند دقیقه پس از انتشار سند ANSSI ، ما نمی توانیم تعیین کنیم که آیا آسیب پذیری های شناسایی شده توسط ANSSI موضوع یکی از این اصلاحات بوده است.”

برخی از افراد در صنعت امنیت سایبری بلافاصله گزارش ANSSI را تفسیر کردند تا حمله زنجیره تامین نرم افزار دیگری را علیه SolarWinds پیشنهاد دهند. در یک کارزار بزرگ هکری که اواخر سال گذشته رونمایی شد ، هکرهای روسی برنامه نظارت بر فناوری اطلاعات این شرکت را تغییر دادند و به تعداد نامعلومی از شبکه ها که حداقل نیمی از آژانس های فدرال ایالات متحده را درگیر کرده بودند ، نفوذ کرد.

اما گزارش ANSSI به سازش در زنجیره تأمین اشاره ای نکرده است و Slowik از DomainTools گفت که به نظر می رسد مداخله صرفاً با کار با سرورهای اینترنتی با استفاده از نرم افزار Centreon در شبکه های قربانیان انجام شده است. وی با بیان اینکه این امر با اخطار Sandworm دیگری که در ماه مه سال گذشته توسط NSA صادر شد مطابقت دارد: سازمان اطلاعات هشدار داد كه Sandworm در حال هك كردن دستگاه های مجهز به اینترنت با سرویس گیرنده ایمیل Exim است كه روی سرورهای لینوكس اجرا می شود. با توجه به اینكه نرم افزار Centreon روی CentOS اجرا می شود كه مبتنی بر لینوكس نیز می باشد ، هر دو توصیه به رفتار مشابه در همان دوره اشاره دارد. اسلوویک می گوید: “هر دو کمپین به طور موازی ، در یک بازه زمانی مشخص ، برای شناسایی سرورهای خارجی و آسیب پذیر که به طور اتفاقی با لینوکس برای دسترسی یا جابجایی اولیه در شبکه های قربانیان کار می کردند ، استفاده شد.” (برخلاف Sandworm ، که به طور گسترده ای به عنوان بخشی از GRU شناخته می شود ، حملات SolarWinds هنوز به طور قطعی با هیچ آژانس اطلاعاتی مرتبط نیستند ، گرچه شرکت های امنیتی و جامعه اطلاعاتی ایالات متحده این حمله هک را به دولت روسیه نسبت می دهند.)

[ad_2]

منبع: sadeh-news.ir

ایندکسر