Zang News

هشدار استرالیا درباره حملات سایبری هکرهای مرتبط با روسیه

اداره سیگنال‌های استرالیا (ASD) همراه با نزدیک به ۲۰ سازمان امنیتی بین‌المللی درباره حملات سایبری هکرهای مرتبط با روسیه علیه زیرساخت‌های حیاتی هشدار داد. این نهاد اعلام کرد گروه‌های وابسته به سرویس امنیت فدرال روسیه (FSB) تجهیزات شبکه‌ای با امنیت ضعیف، به‌ویژه روترها، را هدف قرار می‌دهند و با روش‌های... (برای ادامه اسکرول کنید)
هشدار استرالیا درباره حملات سایبری هکرهای مرتبط با روسیه

هشدار تازه درباره هدف‌گیری صنایع حیاتی با روترهای ناایمن

نهادهای امنیت سایبری استرالیا¹ همراه با نزدیک به دو دوجین سازمان شریک، درباره فعالیت هکرهای مرتبط با روسیه² هشدار مشترک صادر کرده‌اند؛ فعالیتی که به گفته آن‌ها، صنایع حیاتی استرالیا¹ را با سوءاستفاده از روترهای ضعیف‌محافظت‌شده و دیگر تجهیزات شبکه هدف می‌گیرد.

مدیریت سیگنال‌های استرالیا (ASD)³ اعلام کرده مهاجمان، دستگاه‌های شبکه‌ای با تنظیمات نامناسب یا امنیت پایین را به‌عنوان مسیر ورود انتخاب می‌کنند و این تهدید به بخش‌هایی مانند دفاع، ارتباطات، انرژی، خدمات مالی، دولت و سلامت مربوط می‌شود. در این هشدار آمده برخی نهادهای دولتی ایالتی و محلی نیز در معرض آسیب‌پذیری بیشتری قرار دارند.

روش کار مهاجمان از نگاه نهادهای امنیتی

طبق جزئیات هشدار، مهاجمان با ابزارهای ساده و در مقیاس بالا اینترنت را برای پیدا کردن دستگاه‌های در معرض دید جست‌وجو می‌کنند؛ از جمله روترهایی که هنوز از رمزهای عبور پیش‌فرض یا قابل‌حدس استفاده می‌کنند، یا نرم‌افزار قدیمی دارند و وصله‌های امنیتی را دریافت نکرده‌اند. هدف آن‌ها می‌تواند دسترسی اولیه به شبکه و سپس سرقت اطلاعاتی مانند نام‌های کاربری و گذرواژه‌ها باشد.

در گزارش‌های مرتبط که توسط نهادهای همکار منتشر شده، به استفاده از تنظیمات ضعیف در پروتکل‌هایی مثل SNMP و همچنین کپی‌برداری از فایل‌های پیکربندی و انتقال آن‌ها به سرورهای تحت کنترل مهاجم اشاره شده است. همچنین در هشدارهای همسو، بر این موضوع تاکید شده که حملات صرفاً در حد سناریو نیست و با الگوهای بهره‌برداری فعال از زیرساخت‌های واقعی همخوانی دارد.

هشدار مشترک با شریک‌های بین‌المللی

این هشدار در هماهنگی با نهادهایی از جمله ایالات متحده آمریکا⁴، بریتانیا⁵، نیوزیلند⁶، کانادا⁷ و چند کشور اروپایی منتشر شده است. در برخی گزارش‌ها، ارتباط این فعالیت‌ها با ساختارهای اطلاعاتی روسیه از جمله سرویس امنیت فدرال روسیه (FSB)⁸ و واحدهایی مانند «Center 16» مطرح شده است.

در متن‌های هشداردهنده همچنین به مجموعه‌ای از نام‌ها/برچسب‌هایی اشاره شده که در گزارش‌دهی تهدید برای گروه‌های منتسب به این نوع فعالیت‌ها استفاده می‌شود؛ از جمله Berserk Bear⁹، Energetic Bear¹⁰، Crouching Yeti¹¹، Dragonfly¹²، Ghost Blizzard¹³ و Static Tundra¹⁴.

اقدام‌های پیشنهادی برای کاهش ریسک

نهادهای امنیتی از سازمان‌ها خواسته‌اند روی «ایمن‌سازی فوری تجهیزات لبه شبکه» تمرکز کنند. راهکارهای پیشنهادی که در هشدارها تکرار شده شامل این موارد است: به‌روزرسانی نرم‌افزار و فِرم‌وِر، استفاده از گذرواژه‌های قوی و یکتا و حذف رمزهای پیش‌فرض، محدود کردن دسترسی مدیریتی، قرار دادن روترها پشت فایروال و حذف دسترسی غیرضروری از اینترنت، مسدودسازی ترافیک غیرلازم TFTP و SNMP در فایروال‌ها، ارتقا به SNMPv3 و غیرفعال‌سازی Cisco Smart Install¹⁵ و همچنین جایگزینی سخت‌افزارهای پایان‌عمر است.

مرکز ملی امنیت سایبری بریتانیا (NCSC)¹⁶ هم در هشدارهای خود روی تقویت احراز هویت و سخت‌گیرانه‌تر کردن کنترل‌های دسترسی مدیریتی در بخش‌های حیاتی تاکید کرده است.

زمینه مرتبط در استرالیا

در گزارش ABC News¹⁷ از قول آلستر مک‌گیبون¹⁸، رئیس پیشین Australian Cyber Security Centre (ACSC)¹⁹ آمده است که این روش به‌رغم سادگی می‌تواند موثر باشد: مهاجمان «درِ» سازمان‌ها را در اینترنت امتحان می‌کنند تا ببینند دستگاهی با تنظیمات کارخانه‌ای یا آسیب‌پذیری قدیمی باز مانده یا نه.

همچنین به داده‌های ASD³ اشاره شده که نشان می‌دهد گزارش‌های مرتبط با جرایم سایبری در استرالیا¹ به شکل مداوم ثبت می‌شود و همین موضوع باعث شده توصیه‌هایی مثل خاموش‌کردن سامانه‌هایی که ضرورتی برای آنلاین بودن ندارند، در هشدارهای اخیر دوباره مطرح شود.

پاورقی نام‌ها (اصل انگلیسی):
¹ Australia
² Russia
³ Australian Signals Directorate (ASD)
⁴ United States of America (US)
⁵ United Kingdom (UK)
⁶ New Zealand
⁷ Canada
⁸ Federal Security Service (FSB)
⁹ Berserk Bear
¹⁰ Energetic Bear
¹¹ Crouching Yeti
¹² Dragonfly
¹³ Ghost Blizzard
¹⁴ Static Tundra
¹⁵ Cisco Smart Install
¹⁶ National Cyber Security Centre (NCSC)
¹⁷ ABC News
¹⁸ Alastair MacGibbon
¹⁹ Australian Cyber Security Centre (ACSC)

Source: abc.net.au, nextgov.com, devsecopsdadattack.com, cyberpress.org, infosecurity-magazine.com, lemonde.fr, thecipher.au, auscert.org.au, bleepingcomputer.com, yle.fi, elvis.hk, meduza.io, cyberwarrior76.substack.com, 2-remove-virus.com, itpro.com, ncsc.gov.uk, euronews.com, radar.offseq.com

Share: