FBI می گوید یک گروه هکر ایرانی به تجهیزات شبکه F5 حمله می کنند

 

به نقل از منابع معتبر: حملات سایبری معروف به “نوک نیزه” مربوط به گروه هکر ملقب به Fox Kitten یا Parisite است، این گروه هکر ایرانی هستند.بر اساس یک هشدار امنیتی که هفته گذشته توسط FBI فرستاده شد : گروهی از هکرهای نخبه که ایرانی می باشند شناسایی شده اند،این گروه به بخش خصوصی و دولتی ایالات متحده حمله می کنند.

در حالی که این هشدار، تحت عنوان هشدار خصوصی صنعت نامیده می شود ، نام هکرها مشخص نمی شود ، اما منابع به ZDNet گفته‌اند که این گروه توسط جامعه‌ی امنیت سایبری بزرگ‌تری تحت عنوان های رمزگذاری شده مانند Fox Kitten یا Parisite ردیابی می شود.

فعالیت های گروه “نوک نیزه” (هکرهای ایرانی)

یک تحلیلگرسابق امنیت سایبری دولتی،که اکنون در یک شرکت امنیتی خصوصی کار می کند می گوید: این گروه هکر یا همان “نوک نیزه”  هکرهای ایرانی هستند که صحبت از حملات سایبری می کنند.

وی افزود : این گروه هکر به سایر گروه‌های هکر ایرانی – مانند shamon) APT33، (Oilrig) APT34 ) یا  Chafer  خط و مشی اولیه را ارئه می دهد.

ساپرا صنعت پیشرو در ارائه ی خدمات و تجهیزات امنیت شبکه 

Fox Kitten برای رسیدن به اهداف خود در ابتدا با حمله به تجهیزات گران قیمت شبکه و همین‌طور با استفاده ازآسیب‌پذیری هایی که اخیراً آشکار شد، پیش از اینکه شرکت‌ها فرصت کافی برای patch کردن دستگاه ها را داشته باشند ،عملیات خود را نهایی می کنند.

از آنجایی که دستگاه‌های مورد هجوم توسط این گروه هکربسیار گران قیمتند، این گروه هک شرکت های بزرگ خصوصی و نیز شبکه های دولتی را در اولویت کار خود قرار می دهند.

هنگامی که هکرها به دستگاهی دسترسی پیدا می کنند،یک web shell یا backdoor نصب می کنند و تجهیزات را از gateway به شبکه هک شده تبدیل می کنند.

 

طبق گزارشات منتشرشده توسط شرکت‌های امنیتی سایبری ClearSky و Dragos در اوایل سال جاری ،هکرهای Fox Kitten از تابستان 2019 ، آسیب پذیری ها را مورد هدف قرار داد، از جمله:

• VPN سازمانی (Pulse Secure “Connect” (CVE-2019-11510 
• سرورهای VPN Fortinet که FortiOS را اجرا می کنند (CVE-2018-13379)
• سرورهای (VPN “Global Protect” Palo Alto Networks (CVE-2019-1579
• سرورهای “ADC” Citrix و دروازه های شبکه (Citrix (CVE-2019-19781

 

FBI حملات جدید با هدف قرار دادن تجهیزات F5 BIG-IP راهشدار می دهد 

اطلاعیه ای طی هفته ی گذشته توسط FBI به بخش های خصوصی ایالات متحده فرستاده شد ، FBI ادعا می کند که این گروه هنوزهم این آسیب پذیری ها را مورد هدف قرار می دهد. هم‌چنین Fox Kitten  توانسته تجهیزات حمله ی خود را ارتقا بدهد تا شامل بهره برداری برای CVE-2020-5902 بشود ، یک آسیب پذیری دیگردر اوایل ماه ژوئیه افشا شده که بر BIG-IP ، که یک تجهیز شبکه ی چند کاربردی بسیار محبوب وساخته ی کمپانی F5 می باشد، تأثیر گزاراست.

 

 

FBI  به نام این گروه اشاره ای نمی کند ، اما درباره ی حملات گذشته آنها علیه VPN های Pulse Secure و Citrix سخن می گوید.

همین‌طور به سازمان ها و شرکت ها هشدار می دهد که به محض اینکه هکر ها به شبکه های آن ها دسترسی پیدا کنند، به احتمال زیاد امکان دسترسی را برای سایر گروه های هکرایرانی نیز فراهم می کنند و یا با استقرار باج افزارها در شبکه هایی که برای جاسوسی مفید نیستند ، درآمد کسب می کنند.

مقامات FBI هم‌چنین هشداردادند که این گروه هرسازمانی را مورد هدف قرار نمی دهد اما هر سازمانی که از دستگاه BIG-IP استفاده می کند احتمالاً هدف حمله قرار خواهد گرفت.

 

در حالی که FBI از شرکتهای آمریکایی خواسته که دستگاههای BIG-IP خود را patch کنند تا از نفوذ موفقیت آمیز هکرهاجلوگیری کند، هم‌چنین مقامات FBI جزئیات مربوط به حمله معمولی Fox Kitten را به اشتراک گذاشتند ، بنابراین سازمان ها می توانند از اقدامات متقابل و قوانین شناسایی استفاده کنند.این جزئیات به آنچه که ClearSky در گزارش خود در فوریه 2020 شرح داده است شباهت دارد.

 

FBI  به نام این گروه اشاره ای نمی کند ، اما درباره ی حملات گذشته آنها علیه VPN های Pulse Secure و Citrix سخن می گوید.همین‌طور به شرکت ها هشدار می دهد که به محض اینکه هکر ها به شبکه های آن ها دسترسی پیدا کنند، به احتمال زیاد امکان دسترسی را برای سایر گروه های هکرایرانی نیز فراهم می کنند و یا با استقرار باج افزارها در شبکه هایی که برای جاسوسی مفید نیستند ، درآمد کسب می کنند.

 

مقامات FBI هم‌چنین هشداردادند که این گروه هرسازمانی را مورد هدف قرار نمی دهد اما هر سازمانی که از دستگاه BIG-IP استفاده می کند احتمالاً هدف حمله قرار خواهد گرفت.در ادامه مطلب بخوانید:ساپرا آکادمی

در حالی که FBI از شرکت‌های آمریکایی خواسته که دستگاههای BIG-IP خود را patch کنند تا از نفوذ موفقیت آمیزهکرها جلوگیری کند ، مقامات FBI هم چنین جزئیات مربوط به حمله معمولی Fox Kitten را به اشتراک گذاشتند ، بنابراین سازمان ها می توانند ازاقدامات متقابل و قوانین شناسایی استفاده کنند.این جزئیات به آنچه که ClearSky در گزارش خود در فوریه 2020 شرح داده است شباهت دارد.

 

 

دو قربانی تایید شده

 منابع به ZDNet گفته اند که حملات Fox Kitten علیه دستگاه های BIG-IP موفقیت آمیز بوده است.حالی‌که هشدارهای FBI این را نمی گوید.

یک محقق امنیتی که در یکی از شرکت های امنیت سایبری ایالات متحده کار می کند به ZDNet گفت که FBI هفته گذشته هشدار PIN را پس از فرستادن ماموران خود برای تحقیق در مورد دو نفوذ  که در آن هکرهای Fox Kitten موفق به هجوم به  شرکت های آمریکایی شده اند ، ارسال کرده است.

به دلیل توافق نامه های عدم افشای اطلاعات ، منابع نمی توانند دو شرکت را شناسایی کنند و همین‌طور اینکه آن‌ها نمی توانند تأیید کنند که این همان “دوحمله ی ” ذکر شده در یک هشدار مشابه است که توسط آژانس امنیت سایبری و زیرساخت وزارت امنیت داخلی (DHS CISA) در 24 ژوئیه ارسال شده است.

 

در هر صورت،گروه های هک شده توسط هکرهای ایرانی تنها تهدیدهایی نیستند که آسیب پذیری BIG-IP را هدف حمله قرار داده اند.پس از علنی شدن جزئیات و مفهوم سو استفاده،گروه های مختلف هکر ظرف دو روزشروع به بهره برداری از این نقص کردند و در هفته های اخیر، بهره برداری از اشکالات BIG-IP حتی بخشی از DDoS botnet مستقر در Mirai نیزمشاهده شده است.