نهادهای امنیتی آمریکا در اطلاعیهای مشترک مدعی شدند هکرهای ایرانی توانستند یک آژانس آمریکایی را هک کنند.
آیتیمن- پایگاه نکست گاو (nextgov) مدعی شد هکرهای ایرانی موفق شدند از یک آسیبپذیری اصلاحنشده Log4Shell (که آژانس امنیت سایبری و امنیت زیرساختها از آژانسهای آمریکایی خواسته تا پایان سال 2021 به آن رسیدگی کنند) برای نفوذ به شبکه یک آژانس ناشناس استفاده کنند.
بر اساس اطلاعیه امنیت سایبری مشترکی که توسط آژانس امنیت سایبری و امنیت زیرساخت و پلیس فدرال در روز چهارشنبه منتشر شد، هکرهای ایرانی توانستند از یک آسیبپذیری اصلاحنشده در شبکه یک آژانس فدرال برای هک کردن اعتبار کاربران و نصب نرمافزار استخراج ارز دیجیتال استفاده کنند.
طبق ادعای این دو نهاد امنیتی “یک سازمان اجرایی غیرنظامی بینام آمریکایی”در فوریه 2022 هک شده است.
این نهادها این حمله هکری را به هیچ گروه خاصی نسبت ندادهاند جز اینکه ادعا شده توسط هکرهای ایرانی انجام شده است؛ اما در این اطلاعیه آمده هکرها توانستند از آسیبپذیری Log4Shell (یک نقص نرمافزاری در Log4j، یک کتابخانه منبع باز محبوب) موجود در یک سرور وصلهنشده VMware Horizon استفاده کنند.
آژانس امنیت سایبری و امنیت زیرساختهای آمریکا (سیسا) گفت که اولین بار در ماه آوریل زمانی که تجزیهوتحلیل شبکه آژانس مربوطه را با استفاده از EINSTEIN (یک سیستم تشخیص نفوذ گسترده) انجام داد، از این نفوذ آگاه شد و ترافیک دوطرفه بین شبکه و یک آدرس IP مخرب شناختهشده مرتبط با سوءاستفاده از آسیبپذیری Log4Shell را شناسایی کرد.
سیسا در ادامه افزود، از اواسط ژوئن تا اواسط ژوئیه 2022 یک عملیات واکنش به حادثه را در آژانس یادشده انجام داده است، آنهم زمانی که فعالیت تهدید مداوم پیشرفته مشکوک را مشاهده کرد.
در ادامه اطلاعیه مشترک آمده، هکرها نرمافزار استخراج رمز ارز XMRig را در شبکه این آژانس نصب کردهاند و همچنین پراکسی معکوس Ngrok را در چندین میزبان برای حفظ پایداری کار گذاشتهاند.
هکرها همچنین برنامه منبع باز Mimikatz را برای سرقت اعتبارنامه و ایجاد یک حساب مدیریت دامنه نصب کردند. تنها چند ماه پس از صدور دستورالعمل اضطراری سیسا در دسامبر 2021 که سازمانهای فدرال را ملزم میکرد تا شبکههای خود را ازنظر آسیبپذیری Log4Shell ارزیابی کنند و سیستمها را فوراً اصلاح کنند، این تیر غیب به قلب آمریکاییها نشست.