اکسپلویت آسیب‌پذیری زیرودی Pulse Secure توسط APT چینی

حمله زیردوی

بر اساس گزارشات هماهنگی که توسط FireEye و Pulse Secure منتشر شده، دو گروه هکری (حداقل یک گروه APT چینی) یک آسیب‌پذیری زیرودی (Zero-Day) جدید در تجهیزات Pulse Secure VPN را اکسپلویت کرده و از این طریق به شبکه‌ی چندین پیمانکار وزارت دفاع آمریکا و سازمان‌های دولتی در سراسر دنیا نفوذ کرده‌اند. در این بیانیه اعلام شده که یکی از دو گروه هکری، یک گروه جاسوسی سایبری متصل به چین بوده است.

تاریخچه حملات

این حملات، اولین بار اوایل سال جاری میلادی و توسط موسسه امنیت سایبری FireEye کشف شدند؛ زمانی که تیم پاسخ به حادثه Mandiant در حال تحقیق روی چندین نفوذ امنیتی در سازمان‌های نظامی، دولتی و مالی در سراسر جهان بود، این حملات را شناسایی کرد. در تمام این نفوذها، مهاجمان دستگاه‌های Pulse Secure VPN را در شبکه‌ی قربانی هدف قرار داده بودند.

شرکت FireEye

در گزارش FireEye آمده است:

«در بسیاری از موارد، نتوانستیم متوجه شویم عاملان تهدید چگونه توانسته‌اند دسترسی سطح ادمین را به این دستگاه‌ها بگیرند. با این وجود، بر اساس تحلیل‌های انجام‌گرفته توسط شرکت Ivanti، حدس ما این است که برخی از نفوذها به خاطر اکسپلویت آسیب‌پذیری‌های Pulse Secure رخ داده‌اند که قبلا در سال 2019 و 2020 اعلام شده بودند، در حالی که باقی نفوذها به خاطر اکسپلویت آسیب‌پذیری CVE-2021-22893 رخ داده‌اند.»

با ابزارهای سازمانی تست نفوذ، آسیب‌پذیری‌های شبکه خود را پیش از هکرها بیابید:

این حملات در آگوست 2020 آغاز شدند؛ زمانی که گروهی که FireEye نام UNC2630 را به آن‌ها داده است، شروع به هدف قراردادن پیمانکاران وزارت دفاع آمریکا و سازمان‌های اروپایی کردند. عاملان تهدید از باگ‌هایی در Pulse Secure VPN که قبلا در سال 2019 و 2020 وجود آن‌ها اعلام شده بود، و هم‌چنین یک آسیب‌پذیری جدید زیرودی که شناسه CVE-2021-2289 به آن اختصاص داده شده است، در حملات خود استفاده کرده بودند.

شرح حملات

در توصیه‌نامه منتشرشده توسط Pulse Secure آمده است:

«یک آسیب‌پذیری در وی‌پی‌ان Pulse Connect Secure (PCS) کشف شده است که شامل یک آسیب‌پذیری دورزدن فرایند احراز هویت است که می‌تواند یک کاربر غیرمجاز را قادر کند که فایل‌های متفرقه را از راه دور روی درگاه Pulse Connect Secure اجرا کند. نمره CVSS این آسیب‌پذیری درجه حیاتی دارد و خطری جدی برای تاسیسات شما به شمار می‌رود.»

این تامین‌کننده ابزاری را نیز منتشر کرده است که می‌تواند سرورهای Pulse Secure VPN را اسکن کند و علائم آلودگی به CVE-2021-22893 و باقی آسیب‌پذیری‌های قدیمی‌تر را بیابد.

کارشناسان اعلام کرده‌اند که عاملان تهدید از آسیب‌پذیری‌های بالا برای انتقال یکی از بک‌دورها و وب‌شل‌های زیر استفاده کرده‌اند:

  • SLOWPULSE;
  • RADIALPULSE;
  • THINBLOOD;
  • ATRIUM;
  • PACEMAKER;
  • SLIGHTPULSE;
  • PULSECHECK;

گروه موسوم به UNC2630 از جریان‌های داده‌ی مختلف مربوط به فرایند لاگین روی Pulse Secure VPN اطلاعات هویتی را استخراج می‌کرده و سپس با استفاده از اطلاعات حساب‌های معتبر، شروع به حرکت عرضی و گسترش دامنه دسترسی خود در محیط‌های هدف می‌کرده است.

در ادامه گزارش FireEye آمده است:

از اوایل اکتبر 2020، گروه دومی نیز که فایرآی نام UNC2717 را برای آن انتخاب کرده، شروع به اکسپلویت همان آسیب‌پذیری زیرودی برای نصب بدافزارهای زیر روی شبکه‌های آژانس‌های دولتی در اروپا و آمریکا کرد:

  • HARDPULSE;
  • QUIETPULSE;
  • PULSEJUMP

در مارس 2021، FireEye روی یک نفوذ دیگر تحقیق کرد که به گروه UNC2717 نسبت داده می‌شود و از RADIANPULSE، PULSEJUMP و HARDPULSE برای نفوذ به یک سازمان اروپایی استفاده می‌کرده است. این خانواده‌های بدافزار شباهت‌های فراوانی با کدهایی دارند که توسط UNC2630 استفاده شده‌اند.

در زمان نگارش این خبر هنوز مشخص نشده است که این دو گروه با هم ارتباطی دارند یا خیر، ولی کارشناسان حدس می‌زنند پای گروه‌های دیگری هم در میان است.

مراحل حملات

در ادامه گزارش فایرآی آمده است:
«عاملان تهدید برای این که بتوانند حضور خود را روی شبکه‌های آلوده‌شده تداوم ببخشند، از باینری‌ها و اسکریپت‌های معتبر ولی دستکاری‌شده روی دستگاه‌های
VPN استفاده کرده‌اند. آن‌ها این کار را با طی‌کردن مراحل زیر انجام داده‌اند:

  1. تبدیل سرویس‌های مشترک به تروجان با نصب کدهای مخرب، برای لاگ‌گیری از اطلاعات هویتی و دورزدن روندهای احراز هویت، از جمله اطلاعات مورد نیاز برای احراز هویت دومرحله‌ای. ما این کدهای تروجان‌ساز را با نام SLOWPULSE و انواع آن می‌شناسیم.
  2. تزریق وب‌شل‌های RADIALPULSE و PULSECHECK به صفحات ادمین اصلی دستگاه‌های Pulse Secure VPN که از طریق اینترنت قابل دسترسی بوده‌اند.
  3. تغییر حالت فایل‌سیستم از Read-Only به Read-Write برای به وجود آوردن امکان دستکاری فایل‌ها روی فایل‌سیستمی که معمولا Read-Only بوده است.
  4. حفظ دسترسی بعد از تمام به‌روزرسانی‌های کلی VPN که توسط ادمین انجام می‌شده‌اند.
  5. حذف پچ فایل‌های دستکاری‌شده و حذف‌کردن ابزارها و اسکریپت‌ها پس از استفاده، برای جلوگیری از شناسایی‌شدن.
  6. پاک‌کردن فایل‌های لاگ مرتبط بر اساس regular expressionهای تعریف‌شده توسط عامل تهدید و با استفاده از ابزاری به نام THINBLOOD. »

«به خاطر عدم وجود اطلاعات جانبی و مدارک فارنزیک در زمان حاضر، گروه Mandiant نمی‌تواند تمام خانواده‌های کد ذکر‌شده در این گزارش را به UNC2630 یا UNC2717 نسبت دهد. به علاوه، ما متوجه شدیم که این امکان وجود دارد که یک یا چند گروه مرتبط با یکدیگر، مسئول توسعه و انتشار این ابزارهای مختلف بین عاملان APT باشد که روابط کمرنگی با هم دارند.»

فایرآی اعلام کرده که تحلیل‌های انجام‌گرفته روی داده‌های داخلی تایید می‌کنند که UNC2630 یک گروه جاسوسی سایبری وابسته به چین بوده که به باند APT5 نیز مرتبط است. توصیه‌نامه‌ی منتشرشده توسط FireEye حاوی پیشنهادات، روش‌های تشخیصی و روش‌های مقابله با این آسیب‌پذیری‌هاست.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *