حمله گروه باج‌افزاری به نام Yanluowang به شرکت سیسکو

25 مرداد 1401 حمله گروه باج‌افزاری به نام Yanluowang  به شرکت سیسکو

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ شرکت Cisco Systems جزئیاتی را از هک ماه می توسط گروه باج‌افزاری به نام Yanluowang فاش کرد که به اکانت گوگل دستکاری‌شده‌ی یک کارمند نفوذ کرده بود. این غول شبکه حمله مورد بحث را «دستکاری احتمالی» می‌خواند و در ادامه می‌گوید، «در طول بررسی‌ها مشخص شد اطلاعات محرمانه‌ی کارمند سیسکو بعد از اینکه مهاجم به اکانت گوگل شخصی او دسترسی پیدا کرد–جایی که اطلاعات شخصی در مرورگر قربانی ذخیره شده بود- دستکاری شده است».

اطلاعات و تحقیق بیشتر در مورد این حمله، محققین  Cisco Talos را بر آن داشت تا حمله را به گروه تهدید Yanluowang نسبت دهند؛ گروه باج‌افزاری که هم به گنگ‌ سایبری UNC2447 و هم Lapsus$ مربوط می‌شود. در نهایت Cisco Talos گفت دشمنان نتوانستند با موفقیت بدافزار باج‌افزار خود را بکار ببرند اما در نفوذ به شبکه سیسکو و کاشتن مجموعه‌ای از ابزارهای هک متخاصم و نیز انجام شناسایی شبکه داخلی موفق بودند (گفته می‌شود اگر در بخش نفوذ موفقیت حاصل شود احتمالاً مهاجمین بعد از چند بار تلاش موفق خواهند شد باج‌افزار را در محیط‌های قربانی به کار ببرند).

پیشتازی در MFA برای دسترسی وی‌پی‌ان

نکته اصلی هک این بود که مهاجمین توانستند ابزار وی‌پی‌انِ سیسکوی کارمند مورد هدف را دستکاری کرده و با استفاده از آن نرم‌افزار وی‌پی‌ان، به شبکه سازمانی دسترسی پیدا کنند. Cisco Talos اینطور نوشته است، «دسترسی اولیه به وی‌پی‌ان سیسکو از طریق دستکاری موفق اکانت گوگل شخصی کارمند شرکت سیسکو حاصل شد (چون این دو با یکدیگر همگام‌سازی شده بودند)».

با در اختیار داشتن اطلاعات محرمانه، مجرمان سپس توانستند با تکنیک‌های مختلف احراز هویت چندعاملی را –که به کلاینت وی‌پی‌ان مربوط می‌شد- دور بزنند. از بین تکنیک‌ها می‌توان به فیشینگ صوتی و نوعی حمله به نام «خستگیِ احراز هویت چند عاملی[1]» اشاره کرد. Cisco Talos تکنیک حمله‌ی خستگی MFA را اینطور توصیف می‌کند: «پروسه‌ی ارسال حجم بالایی از درخواست‌های زوری به دستگاه موبایل هدف تا زمانیکه در نهایت قربانی قبول کند؛ یا تصادفی و یا صرفاً در تلاشی برای خاموش کردن سر و صدای این همه نوتیفیکیشن تکراری و پشت هم که برایش می‌آید». حملات جعل MFA روی کارمند سیسکو در نهایت موفق شدند و مهاجمین تونستند نرم‌افزار وی‌پی‌ان را با پوشش کارمند شرکت سیسکو اجرا کنند.

به نقل از محققین، «وقتی مهاجم دسترسی اولیه را بدست آورد یک سری دستگاه‌های جدید برای MFA ثبت کرد و با موفقیت در وی‌پی‌ان سیسکو احراز هویت شد. مهاجم سپس مزایای ادمین خود را زیاد کرد و همین به او اجازه داد تا به چندین سیستم لاگین کند؛ همین باعث شد هشداری برای تیم [2]CSIRT بیاید؛ تیمی که در ادامه به این رخداد واکنش نشان داد». ابزارهای استفاده‌شده توسط مهاجمین عبارتند از  LogMeIn، TeamViewer و نیز ابزارهای امنیتی متخاصم نظیر Cobalt Strike، PowerSploit، Mimikatz و Impacket. درحالیکه احراز هویت چندعاملی موضع امنیتی مهمی برای سازمان‌ها تلقی می‌شود اما هنوز هم براحتی می‌تواند هک شود و این خبر خوبی نیست! ماه گذشته، محققین مایکروسافت یک کمپین فیشینگ عظیم را کشف کردند که می‌تواند اطلاعات محرمانه را حتی اگر کاربر احراز هویت چند عاملی را فعال کرده باشد بدزدد و تا کنون تلاش کرده بیش از 10000 سازمان را دستکاری کند.

واکنش سیسکو به این حمله

طبق گزارشات Cisco Talos، سیسکو در واکنش به این حمله بلافاصله ریست پسورد در کل سازمان انجام داد. «یافته‌های ما و حفاظت‌های امنیتی بعدی ناشی از آن تعاملات مشتری به ما کمک کرد پیشرفت مهاجم را کند و پروژه شرارت‌بار آن را مهار کنیم». این شرکت سپس دو امضای آنتی‌ویروس Win.Exploit.Kolobko-9950675-0   و Win.Backdoor.Kolobko-9950676-0 را به عنوان پیشگیری از هر نفوذ احتمالی ساخت. نام این امضاها Clam است (یا  ClamAV) و در حقیقت تول‌کیتی ضدبدافزار و چند پلت‌فرمه هستند قادر به شناسایی انواعی از بدافزارها و ویروس‌ها. عاملین تهدید معمولاً از تکنیک‌های مهندسی اجتماعی برای به خطر انداختن اهداف استفاده می‌کنند و علیرغم فراوانی چنین حملاتی، سازمان‌ها همچنان با چالش‌هایی برای کاهش این تهدیدها مواجه هستند.

Cisco Talos نوشت، «آموزش کاربر در خنثی کردن چنین حملاتی بسیار مهم است، از جمله اطمینان از اینکه کارمندان از راه‌های قانونیِ تماس تیم پشتیبانی با کاربران اطلاع دارند تا بدین‌ترتیب کارمندان بتوانند تلاش‌های تقلبی برای به دست آوردن اطلاعات حساس را شناسایی کنند».

 

[1] MFA fatigue

[2] Cisco Security Incident Response Team

 

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    7,238,100 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    10,860,600 ریال
    خرید
  • Kaspersky Safe Kids

    اپلیکیشن همه‌کاره برای فرزندپروریِ دیجیتال و سلامت خانواده نرم افزار امنیت کودکان کسپرسکی، نظارت‌های والدین را آسان می‌کند. ردیابی مکان و عادات دستگاه، محدودسازی محتوا، متعادل‌سازی ...

    1,086,060 ریال10,860,600 ریال
    خرید
  • Kaspersky Security Cloud Personal

    تمام اپ‌های امنیتیِ ما در دستانتان. به کل خانواده‌ی اپ‌های ما برای دسکتاپ و موبایل دسترسی پیدا کنید. از آنتی‌ویروس گرفته تا ابزارهای حریم خصوصی و اجرایی، هر کدام را به میل ...

    72,443,100 ریال
    خرید
  • Kaspersky Standard

    سیستم امنیتی بهبودیافته به همراه تقویت‌کننده عمکرد دستگاه طرح امنیتی استاندارد ما، نه تنها سیستم امنیتی قدرتمندی را برای انواع ویروس‌ها، بدفزارها و باج‌افزارها ارائه می‌دهد ...

    10,246,500 ریال20,493,000 ریال
    خرید
  • Kaspersky Plus

    امنیت. کارایی. حریم خصوصی. همه در یک برنامه با کاربری آسان کسپرسکی پلاس با ارائه امنیت سایبری نسل بعد، شما در برابر ویروس‌ها، باج‌افزارها و بدافزارهای جدید محافظت کند - بدون ...

    14,693,550 ریال29,387,100 ریال
    خرید
  • Kaspersky Premium

    حفاظت کامل از دستگاه ها، حریم خصوصی و هویت شما با محصول Kaspersky Premium تمام نیازهای امنیتی خود و خانواده‌تان را پوشش دهید. حفاظت پیشرفته ...

    15,718,200 ریال31,436,400 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    65,201,550 ریال130,403,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    78,242,550 ریال156,485,100 ریال
    خرید
  • Kaspersky Small Office Security

    250,670,100 ریال
    خرید
  • Kaspersky Small Office Security

    91,283,550 ریال182,567,100 ریال
    خرید
  • Kaspersky Small Office Security

    291,966,600 ریال
    خرید
  • Kaspersky Small Office Security

    104,324,550 ریال208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    333,987,600 ریال
    خرید
  • Kaspersky Small Office Security

    117,365,550 ریال234,731,100 ریال
    خرید
  • Kaspersky Small Office Security

    375,284,100 ریال
    خرید
  • Kaspersky Small Office Security

    119,539,050 ریال239,078,100 ریال
    خرید
  • Kaspersky Small Office Security

    382,529,100 ریال
    خرید
  • Kaspersky Small Office Security

    168,442,800 ریال336,885,600 ریال
    خرید
  • Kaspersky Small Office Security

    539,021,100 ریال
    خرید
  • Kaspersky Small Office Security

    217,346,550 ریال434,693,100 ریال
    خرید
  • Kaspersky Small Office Security

    695,513,100 ریال
    خرید
  • Kaspersky Small Office Security

    262,627,800 ریال525,255,600 ریال
    خرید
  • Kaspersky Small Office Security

    840,413,100 ریال
    خرید
  • Kaspersky Small Office Security

    498,090,300 ریال996,180,600 ریال
    خرید
  • Kaspersky Small Office Security

    1,593,893,100 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد