حملاتی گسترده که با شیوع ویروس کرونا در ارتباط است
کمپانی امنیتی چینی Qihoo 360 که این حملات سایبری را شناسایی کرده، مدعی است هکرها از یک آسیب پذیری روز صفر در سرورهای Sangfor SSL VPN بهره برده اند که در ایجاد دسترسی از راه دور به شبکه های سازمانی و حکومتی کاربرد دارد.
Qihoo تا کنون بیش از ۲۰۰ سرور VPN هک شده در این کمپین را شناسایی کرده که ۱۷۴ دستگاه از آنها در شبکه های دولتی در پکن، شانگهای و همچنین نهادهای دیپلماتیک چین در ایران، ایتالیا، بریتانیا، پاکستان، قرقیزستان، اندونزی، تایلند، امارات، تاجیکستان، کره شمالی، اسراییل، ترکیه، مالزی، اتیوپی، افغانستان، هند، عربستان بکار می روند.
طی این حملات هکرها فایل SangforUD.exe را که کارمندان برای اتصال به سرورهای Sangfor VPN بکار می برند، با یک نسخه مخرب جایگزین کرده اند. این نسخه با نصب یک تروجان بک دور در سیستم کارکنان، امکان دسترسی هکر به فایل های آنها را فراهم می ساخت. به گفته Qihoo هدف از اینکار دستیابی به اطلاعاتی در مورد نحوه کنترل ویروس کرونا در چین بوده است.
به گفته کمپانی سازنده این آسیب پذیری تنها در سرورهای با فرمور M6.3R1 و M6.1 شناسایی شده و پچ های امنیتی آنها امروز ارائه خواهد شد. این شرکت همچنین اسکریپتی را برای شناسای نفوذ هکرها به سرورهای VPN و حذف فایل های نصب شده توسط آنها منتشر خواهد کرد.
از نظر کمپانی چینی گروه هک DarkHotel پشت این حملات قرار دارند که در شبه جزیره کره واقع شده اند اما هنوز مشخص نیست به سئول وابسته اند یا برای پیونگ یانگ کار می کنند. این گروه از سال ۲۰۰۷ فعال بوده و عملیات های دولتی پیچیده ای را طراحی و پیاده سازی می کنند.
به گفته گوگل گروه هک DarkHotel طی سال گذشته ۵ حمله مبتنی بر آسیب پذیری روز صفر صورت داده و از این نظر هیچ هکر دولتی دیگری به پای آنها نمی رسد. در حالی که تنها چند ماه از سال ۲۰۲۰ سپری شده این گروه از طریق آسیب پذیری زیرو دی در فایرفاکس و اینترنت اکسپلورر سازمان های دولتی چین و ژاپن را هدف گرفته اند.
منبع:دیجیاتو
