به گزارش
گرداب، آژانسهای امنیت سایبری کانادا و عربستان سعودی درباره حملاتی هشدار دادهاند که حداقل دو هفته است در جریان بودهاند.
این آژانسها گفتهاند که گروههای هکری با هدف بهرهبرداری از یک آسیبپذیری اخیرا پچ شده و دسترسی یافتن به شبکههای سازمانی و دولتی در حال حمله به سرویسهای شرپوینت مایکروسافت هستند.
نقیصه امنیتی مورد بهرهبرداری قرار گرفته در این حملات به عنوان CVE-2019-0604 ردگیری شده که مایکروسافت در آپدیتهای امنیتی منتشر شده در فوریه، مارس و آوریل امسال برای آن پچ ارائه کرد.
مایکروسافت در آن زمان گفت که: «یک مهاجم که با موفقیت از این آسیبپذیری بهرهبرداری کرد توانست کد دلخواهی را در زمینه مخزن اپلیکیشن شرپوینت و حساب مزرعه سرور شرپوینت اجرا کند».
حملات در اواخر آوریل شروع شدند. مرکز امنیت سایبری کانادا نخستین بار در ماه گذشته هشداری ارسال کرد، و سپس مسئولانی از مرکز ملی امنیت سایبری سعودی (NVSC) یک هشدار امنیتی ثانویه را در روزهای اخیر ارسال کردند.
هر در آژانس امنیت سایبری گزارش کردند که دیدهاند مهاجمان بر سرورهای شرپوینت مسلط شده و ورژنی از پوسته وب China Chopper را در آن قرار دادند که نوعی از بدافزار است که بر روی سرورهایی نصب میشود که به هکرها امکان اتصال پیدا کردن به آن صدور فرمانهای مختلف را میدهد.
یک پژوهشگر امنیتی در At&T به ZDNet گفت که جالب است که هر دو دولت کانادا و عربستان سعودی نصب China Chopper را در آغاز این حمله گزارش کردند.
مراجع کانادایی گفتند که «محققان مورد اعتماد سیستمهای دستکاری شده متعلق به بخشهای آکادمیک، زیرساختی، صنایع سنگین، تولیدی و تکنولوژی را شناسایی کردهاند».
در سوی دیگر، مسئولان سعودی نگفتند که چه مهاجمانی پشت این حمله بودهاند، ولی یک نتیجه پس از وقوع حمله را از یکی از شبکههای قربانی منتشر کردند، که نشان میدهد چگونه مهاجمان از «اسکریپتهای PowerShell برای دسترسی بیشتر و اجرای عملیات شناسایی داخلی در شبکه استفاده کردند».
آنها همچنین گفتند که این حملات که سازمانهای سعودی که از سرورهای همکاری تیمی شرپوینت استفاده میکردند را هدف قرار داده بودند حدود دو هفته ادامه داشتند، که نشان میدهد شروع حملات همزمان با هشداری بوده که از سوی آژانس کانادایی صادر شده بود.
با اینکه ممکن است به نظر برسد که این حملات به شکلی به هم مرتبط بودهاند، ولی شواهد کنونی موید این تئوری نیستند.
به سازمانهای مورد حمله قرار گرفته توصیه شده که اگر امکان اعمال پچها را نداشته باشند سرورهای شرپوینت را پشت یک فایروال قرار دهند که تنها بر روی شبکههای داخلی قابل دسترسی است.