جوردن رابرتسون و ویلیام ترتون (بلومبرگ) محققان امنیت سایبری گفتند: هکرهای پشت یک حمله باج افزار گسترده از چندین آسیب پذیری ناشناخته قبلاً در نرم افزار مدیریت فناوری اطلاعات ساخته شده توسط Kaseya Ltd. بهره برداری کردند ، این آخرین نشانه مهارت و پرخاشگری گروه وابسته به روسیه است که عامل این حوادث است.
مارکوس موری ، بنیانگذار TrueSec Inc مستقر در استکهلم ، گفت که تحقیقات شرکت وی در مورد چندین قربانی در سوئد نشان داد که هکرها آنها را به طور فرصت طلبانه هدف قرار داده اند. در این موارد ، هکرها با استفاده از یک نقص ناشناخته قبلاً در کد Kaseya مستقر در میامی ، باج افزار را به سرورهایی که از این نرم افزار استفاده می کردند و به اینترنت متصل بودند ، هل دادند.
موسسه هلندی برای افشای آسیب پذیری اعلام کرد که Kaseya را از آسیب پذیری های متعدد در نرم افزار خود که سپس در حملات مورد استفاده قرار گرفت ، آگاه ساخته و همچنین هنگام نصب باج افزار با این شرکت در حال رفع مشکلات بوده است.
این سازمان هلندی نوشت: “كاسیا” تعهدی اصیل برای انجام كار درست نشان داد. این گزارش با اشاره به گروه هک مستقر در روسیه افزود: “متأسفانه ، ما در دو سرعت نهایی توسط REvil مورد ضرب و شتم قرار گرفتیم ، زیرا آنها می توانند از آسیب پذیری ها قبل از اینکه مشتریان حتی وصله کنند” استفاده کنند. REvil متهم شد که در پشت حمله باج افزار 30 می در غول بسته بندی گوشت JBS SA قرار دارد.
این یافته ها ، آخرین حادثه – که شرکت امنیت سایشی Huntress Labs Inc. گفت بیش از 1000 کسب و کار را تحت تأثیر قرار داده است – از سایر حملات اخیر بر روی زنجیره تامین نرم افزار متفاوت است. به عنوان مثال ، حمله ای که ایالات متحده به سرویس اطلاعات خارجی روسیه متهم کرد ، در ماه دسامبر فاش شد ، شامل تغییر در به روزرسانی نرم افزار از دیگر ارائه دهنده نرم افزار مدیریت فناوری اطلاعات ، شرکت SolarWinds مستقر در آستین ، تگزاس بود. در نهایت ، 9 آژانس فدرال و حداقل 100 شرکت در آن نفوذ کردند. از طریق SolarWinds و روشهای دیگر.
مشخص
در مورد حمله اخیر ، فرانک بریدایک ، رئیس تیم پاسخگویی به حوادث رایانه ای موسسه هلندی ، بر مهارت بالای هکرها در بهره برداری از نرم افزار Kaseya تأکید کرد.
وی در مصاحبه ای گفت: “نکته مهم در پشت این مسئله این است که کسی تمایل داشته ، مصمم است و از منابع لازم برای ساخت این زنجیره حمله برخوردار است و ساخت آن یک زنجیره بی اهمیت نیست.” “شما باید بدانید که چه کاری انجام می دهید تا حمله ای مانند این کار را انجام دهید.”
سخنگوی Kaseya ، دانا لیهدولم در نامه الکترونیکی تأیید کرد که این حادثه شامل چندین آسیب پذیری در محصولات این شرکت است و آن را “یک حمله مسلحانه پیشرفته با باج افزار” خواند. لیهدولم با استفاده از اصطلاح صنعتی برای آسیب پذیری در نرم افزاری كه هكرها از آن آگاه هستند اما سازندگان آن كد نیستند ، گفت: “این ساده به عنوان یك سوit استفاده 0 روزه نبود.”
دو متخصص امنیت سایبری که اعلامیه ای را در وب سایت گروه بررسی کردند ، گفت: REvil برای رمزگشای جهانی 70 میلیون دلار بیت کوین درخواست کرده است. دانیل اسمیت ، رئیس تحقیق در شرکت امنیت سایبری Radware ، گفت که وی مشاهده کرده است که REVil در گذشته درخواست 45000 دلار برای هر سیستم آلوده را داشته است.
برت کالو ، تحلیلگر تهدید در شرکت امنیت سایبری Emsisoft که تقاضای دیه را تأیید کرد ، گفت که 70 میلیون دلار “به میزان قابل توجهی کمتر از 45 میلیارد دلاری است که آنها برای باز کردن قفل 1 میلیون سیستم مورد ادعای رمزگذاری شده درخواست می کنند.”
Kaseya گفت محصول VSA خود قربانی “حمله سایبری پیچیده” شده و این موضوع را به FBI اطلاع داده است. Kaseya کمتر از 40 مشتری را که تحت تأثیر این حمله قرار گرفته اند شناسایی کرده و اضافه کرده است که سرویس های مبتنی بر ابر تحت تأثیر قرار نگرفته اند. در بیانیه بعدی روز یکشنبه ، این شرکت گفت که با FireEye Inc و دیگر شرکت های امنیتی برای کمک به مدیریت پساب همکاری می کند.
دشوار نیست
آژانس امنیت سایبری و زیرساخت های ایالات متحده همچنین اعلام کرد که به پاسخگویی در برابر حمله اخیر ادامه می دهد ، که به گفته وی “از آسیب پذیری نرم افزار Kaseya VSA در برابر ارائه دهندگان خدمات مدیریت شده متعدد (MSP ها) و مشتریان آنها” استفاده کرده است.
مشتریان Kaseya شامل شرکت هایی هستند که پشتیبانی از راه دور IT و خدمات امنیت سایبری را برای مشاغل کوچک و متوسط ارائه می دهند.
در آخرین حمله ، هکرها مجبور شدند ماشین ها را به صورت جداگانه هدف قرار دهند. این پیچیده نیست. هکرها و محققان امنیتی به بسیاری از ابزارهای اساسی مشابه برای اسکن اینترنت به دنبال رایانه هایی که در معرض حمله قرار دارند ، دسترسی دارند. اما با آلوده کردن سازمانهای پشتیبانی فناوری اطلاعات ، این نرم افزار مخرب به مشتریان آنها نیز منتقل شد و تأثیر آن را چند برابر کرد.
یکی از قربانیان شناخته شده – زنجیره مواد غذایی سوئدی Coop – روز شنبه گفت که بیشتر از 800 فروشگاه آن نمی توانند باز شوند زیرا این حمله منجر به خاموش شدن پایانه های پرداخت آنها شد. برخی دیگر شامل ارائه دهندگان خدمات مدیریت شده هستند که خدمات IT را به مشاغل دیگر ارائه می دهند ، به این معنی که ممکن است آلودگی آنها به مشتریانشان سرایت کرده باشد.
یکی از MSP های تحت تأثیر Avtex LLC بود که اعلام کرد حمله باج افزار را در صبح جمعه شناسایی کرده است که به نظر می رسد از طریق Kaseya ایجاد شده باشد. Avtex در بیانیه ای گفت: “مهندسان امنیتی Avtex بلافاصله Kaseya را از شدت موضوع آگاه كردند و اقدام به فعال كردن اقدامات پیشگیرانه و پیشگیرانه برای حفاظت از مشتریان و زیرساخت های آن كردند” و افزود كه سیستم های آن كاملاً كارآمد هستند و هیچ مدرکی مشاهده نکرده از هر گونه نقض داده
هدف گذاری هوشمندانه
موری ، از TrueSec سوئد ، از شناسایی هیچ یک از مشتریان شرکت خود خودداری کرد. وی به دلیل نقش اصلی Kaseya در مدیریت امنیت و فناوری اطلاعات گفت كه قربانیان می توانند مدت زمان بهبودی بیشتری نسبت به حوادث معمولی باج افزار داشته باشند.
وی گفت: “ابزاری که این سازمان ها به طور معمول برای وصله گذاری و پشتیبانی و بازیابی فناوری اطلاعات از آن استفاده می کنند ، Kaseya است.” “این کاری بزرگ است که کسی تمام توانایی شما را برای انجام امور نگهداری از شما می گیرد.”
موری افزود: “از نظر جنایی ، هدف درخشان زنجیره تامین این است که ابزاری را که برای بهبود از تهدید لازم است ، از بین ببرد.” “آنها نه تنها سیستم ها را رمزگذاری می کنند بلکه ابزار بازیابی را نیز از معادله خارج می کنند.”
راس مک کرچار ، معاون رئیس جمهور و رئیس امنیت اطلاعات در شرکت امنیت سایبری Sophos ، گفت که این هک “یکی از دورترین حملات باج افزارهای جنایی است که Sophos تاکنون دیده است.”
وی در بیانیه ای گفت: “در این زمان ، شواهد ما نشان می دهد كه بیش از 70 ارائه دهنده خدمات مدیریت شده تحت تأثیر قرار گرفته اند و در نتیجه بیش از 350 سازمان تحت تأثیر قرار گرفته اند.” “ما انتظار داریم دامنه کامل سازمان های قربانی بیش از آنچه توسط هر شرکت امنیتی فردی گزارش می شود ، باشد.”
به گفته آریه گورتسکی ، محقق شرکت امنیت سایبری ESET ، تاکنون قربانیان 17 کشور از جمله انگلیس ، آفریقای جنوبی ، کانادا ، آرژانتین ، مکزیک و اسپانیا شده است.
رئیس جمهور جو بایدن روز شنبه گفت كه او دستور داده است كه “اطلاعات عمیق” از جامعه اطلاعاتی در مورد این حادثه صادر شود ، كه فقط چند هفته پس از التماس بایدن از رئیس جمهور روسیه به ولادیمیر پوتین در اجلاس 16 ژوئن برای جلوگیری از حملات سایبری علیه بایدن آمریكا صورت گرفت. مطمئن نیستید که روسیه پشت این حمله است. رئیس جمهور گفت انتظار دارد در مورد حملات روز یکشنبه اطلاعات بیشتری کسب کند.
وی گفت: “تفکر اولیه این بود که این دولت روسیه نیست ، اما ما هنوز مطمئن نیستیم.”