حملات سایبری چینی: هدف VMware vSphere

گروه‌های هکری تحت حمایت دولت چین، با استفاده از یک بدافزار نوشته شده با زبان Go، در حال ایجاد در پشتی (Backdoor) در سرورهای VMware vCenter و VMware ESXi هستند. این حملات به مهاجمان اجازه می‌دهد تا حضور طولانی‌مدتی در شبکه‌های قربانیان داشته باشند. سازمان‌های دولتی و تاسیساتی و همچنین بخش IT، هدف اصلی این حملات به شمار می‌روند.

سازمان امنیت سایبری و زیرساخت‌های ایالات متحده (CISA)، آژانس امنیت ملی (NSA) و مرکز امنیت سایبری کانادا (Cyber Centre) به طور مشترک در گزارشی این موضوع را اعلام کردند. این بدافزار که در صنعت امنیت با نام BRICKSTORM شناخته می‌شود، اولین بار توسط محققان Mandiant و گروه اطلاعات تهدید Google در ماه سپتامبر گزارش شد. گوگل در آن زمان اعلام کرد که این در پشتی به طور متوسط ​​به مدت 369 روز شناسایی نشده باقی مانده و در شبکه‌های شرکت‌های خدمات حقوقی ایالات متحده، ارائه دهندگان SaaS، برون‌سپاری فرآیندهای تجاری و شرکت‌های فناوری یافت شده است.

CISA تاکنون هشت نمونه جداگانه از BRICKSTORM را تجزیه و تحلیل کرده است، از جمله نمونه‌ای که از یک سرور VMware vCenter متعلق به سازمانی جمع‌آوری شده که آلودگی آن بیش از یک سال و نیم شناسایی نشده بود. این موضوع به مهاجمان اجازه داد تا به صورت جانبی در شبکه حرکت کنند.

از Web Shell تا کنترل دامنه: ردپای حملات سایبری چینی

در حادثه‌ای که CISA بررسی کرد، مهاجمان ابتدا یک وب سرور در دسترس عموم را به خطر انداختند، اگرچه مشخص نیست که از چه روشی استفاده کردند. پس از آن، یک Web Shell مستقر کردند – اساساً یک اسکریپت وب که به عنوان یک در پشتی عمل می‌کند و مهاجمان را قادر می‌سازد تا از راه دور دستوراتی را روی سرور اجرا کنند.

از طریق وب سرور، مهاجمان توانستند اعتبارنامه‌های یک حساب سرویس را استخراج کنند و از آن برای دسترسی به یک Domain Controller استفاده کنند. از آنجا، آن‌ها پایگاه داده Active Directory را کپی کردند. اعتبارنامه‌های یک حساب سرویس دوم برای دسترسی به یک Domain Controller دیگر در شبکه داخلی و کپی کردن پایگاه داده AD استفاده شد، که شامل اعتبارنامه‌های مورد استفاده توسط یک ارائه‌دهنده خدمات مدیریت شده (MSP) بود. با استفاده از اعتبارنامه‌های MSP، مهاجمان توانستند به یک سرور VMware vCenter دسترسی پیدا کنند و بدافزار BRICKSTORM را در دایرکتوری ‎/etc/sysconfig/‎ مستقر کنند.

طراحی شده برای کار در محیط‌های مجازی‌سازی

تحلیلگران CISA، NSA و مرکز سایبری کانادا خاطرنشان می‌کنند که برخی از نمونه‌های BRICKSTORM از مجازی‌سازی آگاه هستند و یک رابط Virtual Socket (VSOCK) ایجاد می‌کنند که ارتباط بین ماشین‌های مجازی و خروج داده را امکان‌پذیر می‌کند. این بدافزار همچنین هنگام اجرا، محیط را بررسی می‌کند تا اطمینان حاصل شود که به عنوان یک فرآیند فرزند و از یک مسیر خاص در حال اجرا است. این بخشی از مجموعه‌ای از قابلیت‌های خود نظارتی است که با نصب مجدد و اجرای مجدد خود در صورت تشخیص اینکه چیزی به درستی کار نمی‌کند، تداوم خود را تضمین می‌کند.

این بدافزار برای ارتباطات Command-and-Control (C2) خود، عملکرد وب سرور را تقلید می‌کند تا با ترافیک قانونی ترکیب شود. همچنین یک پروکسی SOCKS5 برای مهاجمان فراهم می‌کند تا در طول عملیات حرکت جانبی، ترافیک را تونل کنند.

از نظر ویژگی‌ها، BRICKSTORM به بازیگران تهدید اجازه می‌دهد تا سیستم فایل را مرور کرده و دستورات shell را اجرا کنند، و به آن‌ها کنترل کاملی بر سیستم به خطر افتاده می‌دهد. تحلیلگران CISA گفتند: “هنگامی که اتصال امن به دامنه C2 برقرار شد، Sample 1 از یک بسته Go سفارشی wssoft2 برای مدیریت اتصالات شبکه ورودی و پردازش دستوراتی که دریافت می‌کند استفاده می‌کند. دستورات بر اساس عملکرد مورد نیاز به یکی از سه هندلر هدایت می‌شوند: SOCKS Handler، Web Service Handler و Command Handler.”

راهکارهای مقابله با حملات سایبری چینی به VMware vSphere

توصیه‌های مشترک شامل شاخص‌های خطر برای نمونه‌های تجزیه و تحلیل شده و همچنین قوانین تشخیص YARA و Sigma است. سازمان‌ها همچنین توصیه‌های زیر را ارائه می‌دهند:

سرورهای VMware vSphere را به آخرین نسخه ارتقا دهید.

محیط‌های VMware vSphere خود را با اعمال راهنمایی‌های VMware ایمن کنید.

موجودی تمام دستگاه‌های لبه شبکه را تهیه کنید و هرگونه اتصال شبکه مشکوک که از این دستگاه‌ها منشأ می‌گیرد را نظارت کنید.

اطمینان حاصل کنید که بخش‌بندی مناسب شبکه، ترافیک شبکه را از DMZ به شبکه داخلی محدود می‌کند.

RDP و SMB را از DMZ به شبکه داخلی غیرفعال کنید.

اصل کمترین امتیاز را اعمال کنید و حساب‌های سرویس را فقط به مجوزهای مورد نیاز محدود کنید.

نظارت بر حساب‌های سرویس را افزایش دهید، که بسیار ممتاز هستند و الگوی رفتاری قابل پیش‌بینی دارند (به عنوان مثال، اسکن‌هایی که به طور مداوم در ساعت معینی از روز اجرا می‌شوند).

ارائه‌دهندگان غیرمجاز DNS-over-HTTPS (DoH) و ترافیک شبکه خارجی DoH را مسدود کنید تا ارتباطات نظارت نشده کاهش یابد.

توسعه ظرفیت ویفر ۸ اینچی در آمریکا نشان دهنده اهمیت روزافزون امنیت و پایداری زنجیره تامین در صنعت فناوری است، موضوعی که با این حملات سایبری چینی بیش از پیش اهمیت پیدا می‌کند.

نتیجه‌گیری

حملات سایبری چینی با هدف قرار دادن VMware vSphere، تهدیدی جدی برای سازمان‌ها به شمار می‌رود. با شناسایی دقیق این حملات و پیاده‌سازی راهکارهای امنیتی مناسب، می‌توان از شبکه‌ها و داده‌های حساس محافظت کرد. ارتقاء سیستم‌ها، اعمال تنظیمات امنیتی توصیه شده و نظارت دقیق بر ترافیک شبکه، از جمله اقداماتی هستند که باید در اولویت قرار گیرند. در نهایت، هوشیاری و آگاهی مستمر در برابر تهدیدات سایبری، کلید اصلی مقابله با این حملات است. افزایش قیمت کامپیوتر: دل و لنوو پیشتاز گرانی و سایر مسائل امنیتی، همگی بر اهمیت سرمایه‌گذاری در زیرساخت‌های امنیتی قوی تاکید دارند.

منبع اصلی: networkworld