FBI می گوید یک گروه هکر ایرانی به تجهیزات شبکه F5 حمله می کنند
به نقل از منابع معتبر: حملات سایبری معروف به “نوک نیزه” مربوط به گروه هکر ملقب به Fox Kitten یا Parisite است، این گروه هکر ایرانی هستند.بر اساس یک هشدار امنیتی که هفته گذشته توسط FBI فرستاده شد : گروهی از هکرهای نخبه که ایرانی می باشند شناسایی شده اند،این گروه به بخش خصوصی و دولتی ایالات متحده حمله می کنند.
در حالی که این هشدار، تحت عنوان هشدار خصوصی صنعت نامیده می شود ، نام هکرها مشخص نمی شود ، اما منابع به ZDNet گفتهاند که این گروه توسط جامعهی امنیت سایبری بزرگتری تحت عنوان های رمزگذاری شده مانند Fox Kitten یا Parisite ردیابی می شود.
فعالیت های گروه “نوک نیزه” (هکرهای ایرانی)
یک تحلیلگرسابق امنیت سایبری دولتی،که اکنون در یک شرکت امنیتی خصوصی کار می کند می گوید: این گروه هکر یا همان “نوک نیزه” هکرهای ایرانی هستند که صحبت از حملات سایبری می کنند.
وی افزود : این گروه هکر به سایر گروههای هکر ایرانی – مانند shamon) APT33، (Oilrig) APT34 ) یا Chafer خط و مشی اولیه را ارئه می دهد.
ساپرا صنعت پیشرو در ارائه ی خدمات و تجهیزات امنیت شبکه
Fox Kitten برای رسیدن به اهداف خود در ابتدا با حمله به تجهیزات گران قیمت شبکه و همینطور با استفاده ازآسیبپذیری هایی که اخیراً آشکار شد، پیش از اینکه شرکتها فرصت کافی برای patch کردن دستگاه ها را داشته باشند ،عملیات خود را نهایی می کنند.
از آنجایی که دستگاههای مورد هجوم توسط این گروه هکربسیار گران قیمتند، این گروه هک شرکت های بزرگ خصوصی و نیز شبکه های دولتی را در اولویت کار خود قرار می دهند.
هنگامی که هکرها به دستگاهی دسترسی پیدا می کنند،یک web shell یا backdoor نصب می کنند و تجهیزات را از gateway به شبکه هک شده تبدیل می کنند.
طبق گزارشات منتشرشده توسط شرکتهای امنیتی سایبری ClearSky و Dragos در اوایل سال جاری ،هکرهای Fox Kitten از تابستان 2019 ، آسیب پذیری ها را مورد هدف قرار داد، از جمله:
- VPN سازمانی (Pulse Secure “Connect” (CVE-2019-11510
- سرورهای VPN Fortinet که FortiOS را اجرا می کنند (CVE-2018-13379)
- سرورهای (VPN “Global Protect” Palo Alto Networks (CVE-2019-1579
- سرورهای “ADC” Citrix و دروازه های شبکه (Citrix (CVE-2019-19781
FBI حملات جدید با هدف قرار دادن تجهیزات F5 BIG-IP راهشدار می دهد
اطلاعیه ای طی هفته ی گذشته توسط FBI به بخش های خصوصی ایالات متحده فرستاده شد ، FBI ادعا می کند که این گروه هنوزهم این آسیب پذیری ها را مورد هدف قرار می دهد. همچنین Fox Kitten توانسته تجهیزات حمله ی خود را ارتقا بدهد تا شامل بهره برداری برای CVE-2020-5902 بشود ، یک آسیب پذیری دیگردر اوایل ماه ژوئیه افشا شده که بر BIG-IP ، که یک تجهیز شبکه ی چند کاربردی بسیار محبوب وساخته ی کمپانی F5 می باشد، تأثیر گزاراست.
FBI به نام این گروه اشاره ای نمی کند ، اما درباره ی حملات گذشته آنها علیه VPN های Pulse Secure و Citrix سخن می گوید.
همینطور به سازمان ها و شرکت ها هشدار می دهد که به محض اینکه هکر ها به شبکه های آن ها دسترسی پیدا کنند، به احتمال زیاد امکان دسترسی را برای سایر گروه های هکرایرانی نیز فراهم می کنند و یا با استقرار باج افزارها در شبکه هایی که برای جاسوسی مفید نیستند ، درآمد کسب می کنند.
مقامات FBI همچنین هشداردادند که این گروه هرسازمانی را مورد هدف قرار نمی دهد اما هر سازمانی که از دستگاه BIG-IP استفاده می کند احتمالاً هدف حمله قرار خواهد گرفت.
در حالی که FBI از شرکتهای آمریکایی خواسته که دستگاههای BIG-IP خود را patch کنند تا از نفوذ موفقیت آمیز هکرهاجلوگیری کند، همچنین مقامات FBI جزئیات مربوط به حمله معمولی Fox Kitten را به اشتراک گذاشتند ، بنابراین سازمان ها می توانند از اقدامات متقابل و قوانین شناسایی استفاده کنند.این جزئیات به آنچه که ClearSky در گزارش خود در فوریه 2020 شرح داده است شباهت دارد.
FBI به نام این گروه اشاره ای نمی کند ، اما درباره ی حملات گذشته آنها علیه VPN های Pulse Secure و Citrix سخن می گوید.همینطور به شرکت ها هشدار می دهد که به محض اینکه هکر ها به شبکه های آن ها دسترسی پیدا کنند، به احتمال زیاد امکان دسترسی را برای سایر گروه های هکرایرانی نیز فراهم می کنند و یا با استقرار باج افزارها در شبکه هایی که برای جاسوسی مفید نیستند ، درآمد کسب می کنند.
مقامات FBI همچنین هشداردادند که این گروه هرسازمانی را مورد هدف قرار نمی دهد اما هر سازمانی که از دستگاه BIG-IP استفاده می کند احتمالاً هدف حمله قرار خواهد گرفت.در ادامه مطلب بخوانید:ساپرا آکادمی
در حالی که FBI از شرکتهای آمریکایی خواسته که دستگاههای BIG-IP خود را patch کنند تا از نفوذ موفقیت آمیزهکرها جلوگیری کند ، مقامات FBI هم چنین جزئیات مربوط به حمله معمولی Fox Kitten را به اشتراک گذاشتند ، بنابراین سازمان ها می توانند ازاقدامات متقابل و قوانین شناسایی استفاده کنند.این جزئیات به آنچه که ClearSky در گزارش خود در فوریه 2020 شرح داده است شباهت دارد.
دو قربانی تایید شده
منابع به ZDNet گفته اند که حملات Fox Kitten علیه دستگاه های BIG-IP موفقیت آمیز بوده است.حالیکه هشدارهای FBI این را نمی گوید.
یک محقق امنیتی که در یکی از شرکت های امنیت سایبری ایالات متحده کار می کند به ZDNet گفت که FBI هفته گذشته هشدار PIN را پس از فرستادن ماموران خود برای تحقیق در مورد دو نفوذ که در آن هکرهای Fox Kitten موفق به هجوم به شرکت های آمریکایی شده اند ، ارسال کرده است.
به دلیل توافق نامه های عدم افشای اطلاعات ، منابع نمی توانند دو شرکت را شناسایی کنند و همینطور اینکه آنها نمی توانند تأیید کنند که این همان “دوحمله ی ” ذکر شده در یک هشدار مشابه است که توسط آژانس امنیت سایبری و زیرساخت وزارت امنیت داخلی (DHS CISA) در 24 ژوئیه ارسال شده است.
در هر صورت،گروه های هک شده توسط هکرهای ایرانی تنها تهدیدهایی نیستند که آسیب پذیری BIG-IP را هدف حمله قرار داده اند.پس از علنی شدن جزئیات و مفهوم سو استفاده،گروه های مختلف هکر ظرف دو روزشروع به بهره برداری از این نقص کردند و در هفته های اخیر، بهره برداری از اشکالات BIG-IP حتی بخشی از DDoS botnet مستقر در Mirai نیزمشاهده شده است.