مایکروسافت مدعی شد؛

نفوذ هکر‌های ایرانی به نرم‌افزار پیپرکات

نفوذ هکر‌های ایرانی به نرم‌افزار پیپرکات
تاریخ انتشار : ۰۴ تير ۱۴۰۲

وب‌سایت هک‌رید در گزارشی به قلم دیبا احمد به نقل از هشدار مایکروسافت مدعی است دو گروه هکری ایرانی به نرم‌افزار پیپرکات نفوذ کرده‌اند.

به گزارش گرداب، دو گروهی که از نقص این برنامه سواستفاده می‌کنند، مانگو سنداستورم (Mango Sandstorm) و مینت سنداستورم (Mint Sandstorm) نام دارند. هر دو گروه نیز با دولت ایران و سازمان‌های اطلاعاتی ارتباط دارند.

نقص پیپرکات (PaperCut)، نقصی در نرم‌افزار مدیریت چاپ است و کارش این است که به عوامل ناشناس اجازه بدهد کد دلخواه خود را اجرا کنند، امتیازات سیستم را به دست آورده و اطلاعات شخصی و حساس ذخیره شده در سرور‌های شرکت را تصاحب کنند.
تیم اطلاعاتی خطر‌های مایکروسافت گزارش داده که دو گروه هکر تحت حمایت دولت ایران همین حالا در حال سوءاستفاده از نقصی که در نرم‌افزار مدیریت پسورد (پیپرکات) کشف شده هستند. بسیاری از آژانس‌های دولتی، موسسات آموزشی و سازمان‌های بزرگ در سراسر جهان، از جمله کاربران اصلی پیپرکات هستند.

سوءاستفاده هکر‌ها از نقص کشف شده در پیپرکات

براساس گزارش‌های مایکروسافت، منگو سنداستورم (یا همان مرکوری) و مینت سنداستورم (یا همان فسفر) دارند از نقض پیپرکات (با نام CVE-۲۰۲۳-۲۷۳۵۰ و با امتیاز CVSS ۹.۸) استفاده می‌کنند تا بتوانند برای حملات خود به همه چیز دسترسی اولیه داشته باشند.
این نشان می‌دهد که مینت سنداستورم همواره در تلاش است تا از نقص‌های پی‌اوسی (PoC) به نفع خود استفاده کند، آن هم در حالی که آمار فعالیت‌های سوءاستفاده‌ی منگو سنداستورم بسیار پایین است. هدف این تهدیدکنندگان شرکت‌هایی است که از نسخه‌های بدون پچ نرم‌افزار چاپ استفاده می‌کنند.

به گفته‌ی مایکروسافت، یک سری شواهدی وجود دارد که نشان می‌دهد همین حالا دارد از سرور‌های ارسال نشده سوءاستفاده می‌شود.
روز جمعه، مایکروسافت اعلام کرد که دو تهدیدکننده‌ی دولتی-ملی به نام‌های مینت سنداستورم و منگو سنداستورم به شرکت‌هایی حمله کرده‌اند که نسخه‌های پچ نشده‌ی نرم‌افزار پیپرکات را اجرا می‌کنند. خیلی از سازمان‌های دولتی، دانشگاه‌ها و شرکت‌های بزرگ در سراسر جهان از این نسخه‌ها استفاده می‌کنند.

این قضیه چه زمانی کشف شد؟

این نقص را اولین بار بنیاد ترند مایکرو زیرو دی (Trend Micro Zero Day Initiative) در ۸ مارس کشف کرد. این شرکت سریعاً یکی از به‌روزرسانی‌های برنامه را برای مشاور خود ارسال کرد و از سازمان‌هایی که از پیپرکات استفاده می‌کردند تقاضا کرد تا پچ جدیدش را نصب کنند. از زمان انتشار این درخواست، بسیاری از گروه‌های باج‌افزاری از جمله لاک‌بیت (LockBit) و کلاپ (Clop) نیز شروع به سوءاستفاده از آن کردند.

اوج این حملات دقیقا بعد از این که مایکروسافت خبر داد که گروه جرائم سایبری لِیس تمپست (Lace Tempest) سعی دارد از نقص این برنامه برای سوءاستفاده و توزیع باج‌افزار لاک‌بیت و کلاپ استفاده کند، شروع شد. این نقص در تاسیسات ان‌جی (NG) و ام‌اف (MF) پیپرکات شناسایی شد. ترند مایکرو می‌گوید جزئیات بیشتر درباره‌ی این نقص در تاریخ ۱۰ مِی منتشر خواهد شد.

در نهایت، خطرات این نقص چیست؟

یک عامل غیرمعتبر می‌تواند به راحتی برای اجرای کد دلخواه خود از این نقص سوءاستفاده کند، چون به راحتی می‌شود امتیازات سیستم را به دست آورد. هکر‌ها می‌توانند از راه دور به سیستم‌های قربانیان خود دسترسی پیدا کنند و اطلاعات شخصی و حساس‌شان از جمله نام کاربری، نام و نام خانوادگی، شماره کارت پرداخت مرتبط با حساب و آدرس ایمیل که معمولا هم در سرور‌های شرکت ذخیره شده‌اند را به دست آورند.
آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) ماه گذشته این نقص را به فهرست نقص‌های سوءاستفاده شده‌ی خود اضافه کرد و به آژانس‌های غیرنظامی فدرال تا ۱۲ مه سال ۲۰۲۳ برای نصب پچ جدید مهلت داد.