ایران از ضعف «Log4j 2» برای حمله به رژیم صهیونیستی استفاده می‌کند

آی‌تی‌من- مرکز اطلاعات تهدید مایکروسافت (MSTIC) و تیم «365 Defender» آن، در گزارش جدیدی ادعا کردند که گروه هکری «MERCURY» از اجرای کد از راه دور در Log4j 2 (AKA Log4Shell) آپاچی در نمونه‌های سرور آسیب‌پذیر «SysAid» سوءاستفاده کرده است.

SysAid، که در سال 2002 در اراضی اشغالی تأسیس شد، به یک ارایه دهنده پیشرو در مدیریت خدمات فناوری اطلاعات و میز کمک تبدیل شد. این شرکت عنوان کرد که بیش از 5000 مشتری و شریک با سازمان‌ها در 140 کشور جهان دارد.

محققان مایکروسافت قبلاً مدعی شده بودند که MERCURY به وزارت اطلاعات و امنیت ایران (MOIS) وابسته است. MERCURY همچنین به عنوان «MuddyWater» شناخته می‌شود که به گفته فرماندهی سایبری ایالات متحده، یک عنصر تابع در وزارت اطلاعات و امنیت ایران است.

بنابر ادعای محققان غربی، این گروه بیشتر کشورهای دیگر در خاورمیانه و ایالات متحده و هند را هدف قرار می‌دهد و به دنبال ردیابی ناراضیان رژیم ایران است. اولین بار در سال 2017 شناسایی شد و سال‌هاست که با اسرائیل می‌جنگد. حمله اخیر گروه هکری در 23 و 25 ژوئیه 2022 مشاهده شد.

در گزارش مایکروسافت آمده است: در حالی‌که MERCURY در گذشته از اکسپلویت‌های Log4j 2 استفاده می‌کرد، تا کنون ندیده‌ایم که این بازیگر از برنامه‌های SysAid به عنوان بردار دسترسی اولیه استفاده کند.

MERCURY پس از دسترسی، پایداری را ایجاد، اعتبارنامه‌ها را تخلیه و با استفاده از ابزارهای هک سفارشی و شناخته شده و همچنین ابزارهای داخلی سیستم عامل برای حمله دست روی صفحه کلید خود، در سازمان مورد نظر حرکت می‌کند.

ماه گذشته، در گزارشی که به جو بایدن، رییس جمهور ایالات متحده ارایه شد، هیات بررسی امنیت سایبری وزارت امنیت داخلی (CSRB) به خطرات مستمر ناشی از آسیب‌پذیری‌های کشف‌شده در اواخر سال 2021 در کتابخانه نرم‌افزار منبع باز Log4j پرداخت.

هیات بررسی اظهار داشت: رویداد Log4j تمام نشده است. Log4j یک «آسیب‌پذیری بومی» است و نمونه‌های آسیب‌پذیر Log4j برای سال‌های آینده، شاید یک دهه یا بیشتر، در سیستم‌ها باقی خواهند ماند و درواقع این یک خطر قابل توجه است.

هویت شرکت‌های اسرائیلی مورد هدف یا میزان خسارت وارده در حال حاضر مشخص نیست. اداره سایبری ملی اسرائیل (INCD) در مورد گزارش‌ها اظهار نظر نکرده و هنوز واکنش عمومی از سوی SysAid دیده نشده است.

کارشناسان معتقدند که اسرائیل در حال حاضر درگیر یک حمله دیپلماتیک برای جلوگیری از احیای توافق هسته‌ای ایران است، که به نظر می رسد در آینده نزدیک رخ دهد یا حداقل شامل چندین تغییر باشد. اما صرف نظر از توافق احتمالی، جنگ سایبری بین 2 طرف در چند سال گذشته به شدت تشدید شده است.

در ماه ژوئن سال جاری، گابی پورتنوی (Gabi Portnoy)، رییس اداره سایبری ملی اسرائیل، با تأکید بر نیاز به گنبد سایبری (cyber dome) برای محافظت از حوزه سایبری اسرائیل، درست مانند سیستم گنبد آهنین (Iron Dome)، که از موشک‌ها و راکت‌ها محافظت می‌کند، گفت: ایران به همراه حزب‌الله و حماس به رقیب مسلط ما در حوزه سایبری تبدیل شده است.

اوایل ماه اوت امسال، ماندیانت (Mandiant) ادعا کرد که گروه دیگر مرتبط با ایران به نام «UNC3890»، که کشتیرانی، دولت، انرژی و سازمان‌های بهداشت و درمان اسرائیل را از طریق فریب‌های مهندسی اجتماعی و یک چاله آبیاری بالقوه هدف قرار داده، ردیابی کرده است. به گفته ماندیانت، این کمپین حداقل از سال 2020 فعالیت دارد، زمانی که شرکت امنیت سایبری از وجود آن مطلع شد، و همچنان به فعالیت خود ادامه می‌دهد. اوایل ماه نوامبر 2022، اسرائیلی‌ها برای پنجمین بار در 3.5 سال گذشته بار دیگر پای صندوق‌های رأی خواهند رفت تا دولت جدید را انتخاب کنند. کارشناسان دفاعی و تحلیلگران سایبری نگران مداخله احتمالی تحت حمایت دولت خارجی از سوی ایران و سایر کشورها از طریق اخبار جعلی، کمپین‌های مهندسی اجتماعی و موارد دیگر هستند.