حمله هکرها به سیستم‌های دولتی آمریکا با سواستفاده از VPN و باگ‌های ویندوز

آژانس امنیت زیرساخت و سایبری آمریکا (CISA) و FBI از نفوذ هکرها به سیستم‌های دولتی این کشور با سواستفاده از VPN و باگ‌های ویندوز خبر دادند.

به گزارش ZDNet، هکرها سیستم‌های ایالتی و فدرال و همچنین سیستم‌های دولت‌های محلی و قبیله‌ای (SLTT) ایالات متحده را هدف قرار داده‌اند. در گزارش آمده که برخی حملات منجر به دسترسی غیرمجاز به سیستم‌های پشتیبانی انتخابات شده، ولی تاکنون سندی دال بر دستکاری داده‌های انتخاباتی به دست نیامده است.

هکرها در این حمله از دو آسیب‌پذیری امنیتی استفاده کرده‌اند. آسیب‌پذیری CVE-2018-13379 در VPN سیستم عامل FortiOS وجود دارد. از این VPN سرور برای دسترسی به شبکه‌های سازمانی از راه دور استفاده می‌شود. آسیب‌پذیری CVE-2018-13379 سال گذشته میلادی کشف شد و به هکرها اجازه آپلود فایل‌های مخرب روی سیستم‌های بروز نشده و کنترل VPN سرورهای شرکت Fortinet را می‌دهد.

آسیب‌پذیری CVE-2020-1472 نیز که با نام Zerologon نیز شناخته می‌شود، در پروتکل Netlogon ویندوز کشف شده است. هکرها به کمک این آسیب‌پذیری می‌توانند کنترل دامین کنترلرها (Domain Controllers) را در دست بگیرند.

FBI و CISA می‌گویند هکرها با سواستفاده از دو آسیب‌پذیری یاد شده به سرورهای Fortinet نفوذ کرده و سپس از طریق Zerologon کنترل شبکه‌های درونی را در دست می‌گیرند. به گفته این دو آژانس هکرها سپس با استفاده از ابزارهای دسترسی از راه دور معتبر مثل VPN و پروتکل دسترسی از راه دور به دسکتاپ (RDP) با نام کاربری و رمزعبور سرقت شده به محیط کامپیوتر دسترسی پیدا می‌کنند.

FBI و CISA جزئیات هکرها را فاش نکردند و تنها به ذکر عبارت تهدیدهای پیشرفته و مستمر (ATP) بسنده کردند. محققان و سازمان‌های امنیتی از این عبارت برای توصیف گروه‌های هک وابسته به دولت‌ها استفاده می‌کنند. هفته گذشته مایکروسافت مدعی دخالت هکرهای ایرانی در انتخابات آمریکا از طریق باگ Zerologon شد. این ادعا توسط مسئولین کشورمان تکذیب شده است.

آژانس‌های یاد شده به شرکت‌های خصوصی و دولتی آمریکا توصیه کرده‌اند تا هر چه سریع‌تر با نصب بروزرسانی‌های امنیتی روی سیستم‌های خود، آسیب‌پذیری های CVE-2018-13379 و CVE-2020-1472 را برطرف کنند.