ادعای مایکروسافت:
ایران از ضعف «Log4j 2» برای حمله به رژیم صهیونیستی استفاده میکند
تاریخ انتشار
يکشنبه ۱۳ شهريور ۱۴۰۱ ساعت ۱۱:۱۲
آیتیمن- مرکز اطلاعات تهدید مایکروسافت (MSTIC) و تیم «365 Defender» آن، در گزارش جدیدی ادعا کردند که گروه هکری «MERCURY» از اجرای کد از راه دور در Log4j 2 (AKA Log4Shell) آپاچی در نمونههای سرور آسیبپذیر «SysAid» سوءاستفاده کرده است.
SysAid، که در سال 2002 در اراضی اشغالی تأسیس شد، به یک ارایه دهنده پیشرو در مدیریت خدمات فناوری اطلاعات و میز کمک تبدیل شد. این شرکت عنوان کرد که بیش از 5000 مشتری و شریک با سازمانها در 140 کشور جهان دارد.
محققان مایکروسافت قبلاً مدعی شده بودند که MERCURY به وزارت اطلاعات و امنیت ایران (MOIS) وابسته است. MERCURY همچنین به عنوان «MuddyWater» شناخته میشود که به گفته فرماندهی سایبری ایالات متحده، یک عنصر تابع در وزارت اطلاعات و امنیت ایران است.
بنابر ادعای محققان غربی، این گروه بیشتر کشورهای دیگر در خاورمیانه و ایالات متحده و هند را هدف قرار میدهد و به دنبال ردیابی ناراضیان رژیم ایران است. اولین بار در سال 2017 شناسایی شد و سالهاست که با اسرائیل میجنگد. حمله اخیر گروه هکری در 23 و 25 ژوئیه 2022 مشاهده شد.
در گزارش مایکروسافت آمده است: در حالیکه MERCURY در گذشته از اکسپلویتهای Log4j 2 استفاده میکرد، تا کنون ندیدهایم که این بازیگر از برنامههای SysAid به عنوان بردار دسترسی اولیه استفاده کند.
MERCURY پس از دسترسی، پایداری را ایجاد، اعتبارنامهها را تخلیه و با استفاده از ابزارهای هک سفارشی و شناخته شده و همچنین ابزارهای داخلی سیستم عامل برای حمله دست روی صفحه کلید خود، در سازمان مورد نظر حرکت میکند.
ماه گذشته، در گزارشی که به جو بایدن، رییس جمهور ایالات متحده ارایه شد، هیات بررسی امنیت سایبری وزارت امنیت داخلی (CSRB) به خطرات مستمر ناشی از آسیبپذیریهای کشفشده در اواخر سال 2021 در کتابخانه نرمافزار منبع باز Log4j پرداخت.
هیات بررسی اظهار داشت: رویداد Log4j تمام نشده است. Log4j یک «آسیبپذیری بومی» است و نمونههای آسیبپذیر Log4j برای سالهای آینده، شاید یک دهه یا بیشتر، در سیستمها باقی خواهند ماند و درواقع این یک خطر قابل توجه است.
هویت شرکتهای اسرائیلی مورد هدف یا میزان خسارت وارده در حال حاضر مشخص نیست. اداره سایبری ملی اسرائیل (INCD) در مورد گزارشها اظهار نظر نکرده و هنوز واکنش عمومی از سوی SysAid دیده نشده است.
کارشناسان معتقدند که اسرائیل در حال حاضر درگیر یک حمله دیپلماتیک برای جلوگیری از احیای توافق هستهای ایران است، که به نظر می رسد در آینده نزدیک رخ دهد یا حداقل شامل چندین تغییر باشد. اما صرف نظر از توافق احتمالی، جنگ سایبری بین 2 طرف در چند سال گذشته به شدت تشدید شده است.
در ماه ژوئن سال جاری، گابی پورتنوی (Gabi Portnoy)، رییس اداره سایبری ملی اسرائیل، با تأکید بر نیاز به گنبد سایبری (cyber dome) برای محافظت از حوزه سایبری اسرائیل، درست مانند سیستم گنبد آهنین (Iron Dome)، که از موشکها و راکتها محافظت میکند، گفت: ایران به همراه حزبالله و حماس به رقیب مسلط ما در حوزه سایبری تبدیل شده است.
اوایل ماه اوت امسال، ماندیانت (Mandiant) ادعا کرد که گروه دیگر مرتبط با ایران به نام «UNC3890»، که کشتیرانی، دولت، انرژی و سازمانهای بهداشت و درمان اسرائیل را از طریق فریبهای مهندسی اجتماعی و یک چاله آبیاری بالقوه هدف قرار داده، ردیابی کرده است. به گفته ماندیانت، این کمپین حداقل از سال 2020 فعالیت دارد، زمانی که شرکت امنیت سایبری از وجود آن مطلع شد، و همچنان به فعالیت خود ادامه میدهد. اوایل ماه نوامبر 2022، اسرائیلیها برای پنجمین بار در 3.5 سال گذشته بار دیگر پای صندوقهای رأی خواهند رفت تا دولت جدید را انتخاب کنند. کارشناسان دفاعی و تحلیلگران سایبری نگران مداخله احتمالی تحت حمایت دولت خارجی از سوی ایران و سایر کشورها از طریق اخبار جعلی، کمپینهای مهندسی اجتماعی و موارد دیگر هستند.
مرجع : سایبربان