Kartikay Mehrotra (بلومبرگ) -در اواخر سال گذشته ، محققان شرکت امنیت سایبری مستقر در لس آنجلس ، در حال تحقیق در مورد هک یک خرده فروش ایتالیایی ، به تعداد زیادی از داده های سرقت شده برخورد کردند.
پنج گیگابایت داده که طی سه سال و نیم گذشته از وزارتخانه های خارجی و شرکت های انرژی با هک سرورهای داخلی Microsoft Exchange آنها سرقت شده بود ، بر روی یک پلت فرم ذخیره سازی ابری قرار گرفت. در مجموع ، محققان Rescurity اسناد و ایمیل های شش وزارتخانه خارجه و هشت شرکت انرژی در خاورمیانه ، آسیا و اروپای شرقی را پیدا کردند.
بر اساس گزارش Rescurity ، این حملات ، که قبلاً گزارش نشده بود ، به عنوان پیش درآمد یک هک بسیار قابل توجه و گسترده در سرورهای Microsoft Exchange از ژانویه تا مارس سال جاری بود. یک فرد آشنا با تحقیقات در مورد حمله 2021 ، که مجاز به صحبت در ملاء عام نبود و خواست نامش فاش نشود ، ادعایی مشابه را مطرح کرد و گفت که سرقت داده های کشف شده توسط روش امنیت از همان روش ها پیروی کرده است. هک 2021 به دلیل گستردگی خود فوق العاده بود و حدود 60،000 قربانی جهانی را با بدافزار آلوده کرد.
مایکروسافت به سرعت حمله سایبری سال 2021 را به گروهی از هکرهای تحت حمایت دولت چین که Hafnium نام داشتند ، متصل کرد و ایالات متحده ، بریتانیا و متحدان آنها ماه گذشته ادعای مشابهی کردند و آن را به هکرهای وابسته به دولت چین نسبت دادند.
امنیت نمی تواند با اطمینان بگوید که حملات توسط همین گروه انجام شده است. به هر حال ، به گفته جین یو ، مدیر اجرایی شرکت امنیت ، اسناد حاوی اطلاعاتی بود که برای دولت چین جالب توجه بود. فرد آشنا گفت قربانیان انتخاب شده توسط هکرها و نوع اطلاعات جمع آوری شده توسط مهاجمان نیز به یک عملیات چینی اشاره کرده اند.
محققان سایر شرکت های امنیت سایبری ، که خواهان ناشناس ماندن آنها به دلیل عدم بازبینی همه یافته های “امنیت” شده اند ، هشدار دادند که این حملات می تواند توسط تعدادی از کشورهای علاقمند به دیپلماسی خاورمیانه و ارتباطات داخلی شرکت های تأثیرگذار انرژی انجام شود.
صرف نظر از این موضوع ، هر دو کمپین هک نشان می دهند که چگونه اشکالات سرورهای رایانهای رایانهای داخلی مایکروسافت-که توسط مشتریان با استفاده از این سیستمها کنترل می شوند-سالها به عنوان کلید اسکلت هکرها برای باز کردن قفل اطلاعات حساس از شرکتهای دولتی و خصوصی عمل کرده است.
دولت چین ادعاها مبنی بر دست داشتن هکرهای تحت حمایت دولتش در هر یک از این حملات را رد کرد.
وی گفت: “چین قاطعانه با هر گونه حمله یا نفوذ آنلاین مخالف است. این موضع روشن و سازگار ما است. ” “قوانین مربوطه چینی در مورد جمع آوری و رسیدگی به داده ها به وضوح از امنیت داده ها محافظت می کند و به شدت با حملات سایبری و سایر اقدامات جنایتکارانه مخالف است.”
علاوه بر این ، وزارتخانه اعلام کرد که “مشکل فناوری پیچیده” تعیین منبع حملات است و امیدوار است رسانه ها از “گمانه زنی های بی اساس” اجتناب کنند و هنگام تعیین ماهیت رویدادهای فضای مجازی به “شواهد جامع” تکیه کنند. بر اساس بیانیه این وزارتخانه ، چین در حال حاضر یک استاندارد جهانی امنیت داده را پیشنهاد کرده و از “همه طرف ها می خواهد تا با ما برای حفاظت واقعی از امنیت اطلاعات جهانی همکاری کنند.”
جف جونز ، سخنگوی شرکت مایکروسافت در بیانیه ای گفت که “بسیاری از بازیگران دولت ملی” سیستم های ایمیل را برای به دست آوردن اطلاعات محرمانه هدف قرار می دهند و تیم های امنیتی مایکروسافت “به طور مداوم با شرکای امنیتی ما کار می کنند” تا آسیب پذیری های جدیدی را که می تواند مورد استفاده قرار گیرد شناسایی کنند. حملات آینده
جونز گفت ، مایکروسافت از اوایل آوریل 2020 ، گروه Hafnium ، گروهی را که به حمله 2021 متهم کرد ، پیگیری می کند ، از جمله جمع آوری داده ها در مورد عملیات جاسوسی سایبری خود. به گفته جونز ، که اطلاعات کشورها را مشخص نکرده است ، واحد اطلاعات تهدید مایکروسافت از آن زمان چندین کمپین توسط Hafnium را ردیابی کرده است و به کشورهای قربانی این حملات اطلاع داده است. او گفت که هدف هافنیوم جاسوسی با تمرکز بر سرقت اطلاعات است.
در یک سری نقض از سال 2017 تا 2020 ، هکرها اسناد و نامه های وزارتخانه های خارجه در بحرین ، عراق ، ترکیه ، عمان ، مصر و اردن – و ایمیل و داده های هشت شرکت انرژی ، از جمله غول نفت و گاز مالزی Petronas Nasional Bhd را سرقت کردند. و شرکت Hindustan Petroleum Corp. هند ، بر اساس Rescurity و بررسی داده های سرقت شده توسط Bloomberg News.
به نظر می رسد برخی از ایمیل ها و اسناد حاوی اطلاعات حساس هستند: کابل های دیپلماتیک ، داده های مهم شبکه شامل نام کاربری و رمزهای عبور و داده های خصوصی مصرف کننده.
به عنوان مثال ، یک یادداشت از یک وابسته از بحرین 9 دسامبر 2018 را ملاقات کرد که در آن دیپلمات های برجسته آسیایی این کشور با همتایان چینی خود ملاقات کردند ، در زمانی که چین با جلسه احتمالی ویژه شورای حقوق بشر سازمان ملل متحد روبرو بود. رفتار خود را با مسلمانان اویغور بررسی کند. در این دیدار ، لین جیمینگ از چین یادآور شد که دو سال قبل ، کشورش طی یک بررسی رسمی سازمان ملل متحد از حقوق بشر خود بحرین در یک بازبینی رسمی دفاع کرد ، که بر اساس این یادداشت که به وزیر خارجه بحرین و اداره حقوق بشر ارسال شد ، همراه با توصیه به از موضع چین حمایت می کند
بحرین یکی از 37 کشوری بود که در اواسط سال 2019 نامه ای را برای حمایت از سیاست های چین در منطقه سین کیانگ امضا کردند. جلسه ویژه هرگز برگزار نشد.
بر اساس Rescurity و اسناد بازبینی شده توسط بلومبرگ ، اسناد و مدارکی نیز در مورد مشاغل روزمره وجود دارد ، مانند یادداشت های داخلی در مورد تغییرات پرسنلی ، خلاصه اخبار ، درخواست امضا برای وزیر امور خارجه و دعوت از کنفرانس های دیپلماتیک.
مقامات بحرین به پیامی که خواستار اظهار نظر شده پاسخ ندادند. مقامات در عراق تأیید کردند که دولت هدف حملات سایبری قرار گرفته است اما گفتند که این حملات خسارتی نداشته است. نمایندگان ترکیه ، عمان ، مصر و اردن به درخواست اظهار نظر پاسخ ندادند. HPCL پاسخ نداد
به گزارش خبرنگار امنیت ، مهاجمان همچنین مجموعه ای از شرکت های انرژی ، تأسیسات و تحقیقات دولتی را تحت پوشش قرار دادند که مناطق اروپای شرقی تا جنوب شرقی آسیا را در بر می گیرد. به گفته محققان و اسناد ، محققان Rescurity در کنار داده های حساس اداری و مالکیت معنوی ، لیستی از کاربران ، مجوزهای شبکه داخلی آنها و جزئیات رمز عبور را پیدا کردند که همه آنها می توانند توسط هکرها برای گسترش ردپای خود در شبکه های قربانی مورد استفاده قرار گیرد.
در داخل سرورهای Petronas ، هکرها لیستی از نام های کاربری و رمزهای عبور را پیدا کرده اند ، طبق تحقیقات انجام شده و اسناد درون Hindustan Petroleum ، هزاران پرونده کاربر و ایمیل کارکنان را پیدا کرده اند.
دیگر قربانیان شامل شرکت سلول سوختی دوسان در کره بود. م Instituteسسه تحقیقات هسته ای رومانی در پیتستی ؛ شرکت دولتی نفت جمهوری آذربایجان معروف به SOCAR ؛ بر اساس گزارش Rescurity ، شرکت ملی شاربا امارات متحده عربی و شرکت توزیع برق اردن و شرکت ملی برق الکتریکی اردن.
در پاسخ به درخواست بلومبرگ ، دوسان گفت که سرور Exchange آن مورد حمله قرار گرفته است ، اما هکرها از سرقت هرگونه اطلاعاتی جلوگیری کردند. پتروناس به سوالات خاصی در مورد حمله ادعایی پاسخ نداد اما بیانیه ای در مورد “استراتژی قوی و جامع امنیت سایبری” خود ارائه کرد.
سایر شرکت ها و واحد تحقیقات هسته ای رومانی به درخواست اظهار نظر پاسخ ندادند.
حمله 2021 پس از آن صورت گرفت که هکرها مجموعه ای از آسیب پذیری ها را که قبلاً ناشناخته بودند – به نام روزهای صفر – در سیستم ایمیل Microsoft Exchange کشف کردند و سپس از آنها برای سوء استفاده از ده ها هزار قربانی در سطح جهان استفاده کردند. مایکروسافت در وبلاگی اعلام کرد در حالی که گستردگی این حمله بی سابقه بود ، تعداد کمی از مشتریان Exchange که به بدافزار آلوده شده بودند ، مورد حملات تهاجمی تر مانند سرقت اطلاعات یا باج افزار قرار گرفتند.
مشخص نیست که چگونه هکرهای پشت حملات قبلی به وزارتخانه های خارجی و شرکت های انرژی در ابتدا به شبکه ها نفوذ کرده اند.
اما پس از سازش اولیه ، هر دو حمله تقریباً یکسان بودند. هکرها پوسته های وب را روی شبکه های قربانی نصب کردند که به آنها اجازه می داد از راه دور به صفحه ورود داخلی هر سرور دسترسی داشته باشند. سپس مهاجمان از یک نرم افزار منبع باز به نام Mimikatz (و نسخه اصلاح شده Mimikatz) برای سرقت گذرواژه ها و ایجاد ارتباط در داخل شبکه استفاده کردند.
چنین روشهایی منحصر به فرد نیستند. بن رید ، مدیر تحلیل جاسوسی سایبری در شرکت امنیت سایبری Mandiant ، می گوید: در عوض ، چنین روش های حمله عمومی به هکرها اجازه می دهد تا مسیرهای خود را پنهان کنند و به امضای گروه های هکری دولتی از جمله برخی از وابسته به دولت چین تبدیل شده است.