هشدارهای افتایی
مطابق گزارش اخیر FBI، گروه APT یا هکرهای حامی دولت از نقاط ضعف موجود در VPNهای به‌روز نشده Fortinet  از یک وب سرور متعلق به یکی از شهرداری‌های آمریکا سوءاستفاده کردند.
گروه APT مذکور پس از دسترسی به وب سرور، سرورها و حساب کاربری جدید ایجاد کردند.
طبق گفته FBI، گردانندگان APT در حال ساختن حساب‌های "WADGUtilityAccount" و "elie" در سیستم‌های هک شده از ارگان‌های دولت‌های محلی هستند، تا از آنها برای جمع‌آوری اطلاعات شبکه آسیب‌دیده قربانیان استفاده کنند.
دو سازمان  FBI و CISA  در ماه آوریل نیز در مورد حملات گردانندگان APT  با سوءاستفاده از چندین آسیب‌پذیری در سرورهای Fortinet FortiOS، هشدار داده بودند.
آسیب‌پذیری‌هایی که به طور فعال گروه APT از آنها سوءاستفاده می‌کنند در زیر ذکر شده است:
CVE-2018-13379
CVE-2019-5591
CVE-2020-12812
کارشناسان توضیح داده‌اند که این گروه APT ممکن است از سرورهای در معرض خطر استفاده کنند تا بخش‌های مهم زیرساخت را برای اجرای حملات آینده هدف قرار دهند.

ابزارهای مورداستفاده
گروه APT از هفت ابزار زیر برای اجرای حملات خود استفاده کرده است: 
•    Mimikatz (سرقت نام های کاربری و رمزهای عبور)
•    MinerGate (استخراج رمزنگاری)
•    WinPEAS (افزایش دسترسی)
•    SharpWMI (ابزار مدیریت Windows)
•    فعال‌سازی BitLocker (رمزگذاری داده)
•    WinRAR (آرشیو)
•    FileZilla (انتقال فایل)

گردانندگان APT در هدف قراردادن تجهیزات Fortinet سابقه دارند
هدف هکرهای دولتی یاAPT ها در سال‌های گذشته سرورهای به روز نشده  Fortinet بوده است و حتی در نوامبر 2020 هکرها با سوءاستفاده از آسیب‌پذیری CVE-2018-13379 به بیش از 50 هزار سرور Fortinet VPN زیرساخت‌های حیاتی مانند دولت‌ها و بانک‌ها، نفوذ کردند.

توصیه‌ها
راهکارهای سازمان‌های FBI و CISA برای کاهش اثرات حملات APT 
  •     نصب بی‌درنگ وصله‌های مربوط به CVE های -13379-2018 ، 12812-2020 و 5591-2019 
  •     بازرسی همه domain contrellerها، سرورها، workstationها و دایرکتوری‌های فعال 
  •     برای انجام کارهای برنامه‌ریزی‌نشده، برنامه زمان‌بندی وظایف را بررسی کنید.
  •     بررسی مرتب گزارش‌های آنتی‌ویروس 
  •     به طور منظم از داده‌ها پشتیبان تهیه کنید.
  •     اجرای تقسیم‌بندی شبکه 
  •     آخرین به‌روزرسانی‌ها را نصب کنید.
  •     استفاده از احراز هویت چندعاملی 
  •     از استفاده مجدد از رمزهای عبور قدیمی خودداری و سعی کنید به طور مرتب رمزهای عبور خود را تغییر دهید.
  •     غیر فعال کردن پورت‌های استفاده نشده از راه دور / پروتکل ریموت دسکتاپ (RDP) 
  •     حساب‌های کاربری را با دسترسی‌های  Administrator  بازرسی کنید.
  •     ابزارهای آنتی‌ویروس را نصب و به طور مرتب به‌روز کنید.
  •     همیشه از یک شبکه خصوصی مجازی (VPN) استفاده کنید.
  •     غیر فعال کردن هایپر لینک‌ها در ایمیل‌های دریافتی 

کارشناسان امنیتی مرکز مدیریت راهبردی افتا به منظور جلوگیری از چنین حملات و پالایش سیستم‌ها و شبکه‌های به خطر افتاده، به راهبران سیستم‌های زیرساخت‌ها توصیه اکید می‌کنند که اقدامات پیشتر ذکر شده را، به جدیت دنبال کنند.

منبع:

 

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.