ايتنا - حمله به سرورهای SharePoint مایکروسافت

آژانس‌های امنیت سایبری کانادا و عربستان سعودی درباره حملاتی هشدار داده‌اند که حداقل دو هفته است در جریان بوده‌اند.

به گزارش ایتنا از رایورز به نقل از zdnet، این آژانس‌ها گفته‌اند که گروه‌های هکری با هدف بهره‌برداری از یک آسیب‌پذیری اخیرا پچ شده و دسترسی یافتن به شبکه‌های سازمانی و دولتی در حال حمله به سرویس‌های شرپوینت مایکروسافت هستند.

نقیصه امنیتی مورد بهره‌برداری قرار گرفته در این حملات به عنوان CVE-2019-0604 ردگیری شده که مایکروسافت در آپدیت‌های امنیتی منتشر شده در فوریه، مارس و آوریل امسال برای آن پچ ارائه کرد.

مایکروسافت در آن زمان گفت که: «یک مهاجم که با موفقیت از این آسیب‌پذیری بهره‌برداری کرد توانست کد دلخواهی را در زمینه مخزن اپلیکیشن شرپوینت و حساب مزرعه سرور شرپوینت اجرا کند».

حملات در اواخر آوریل شروع شدند. مرکز امنیت سایبری کانادا نخستین بار در ماه گذشته هشداری ارسال کرد، و سپس مسئولانی از مرکز ملی امنیت سایبری سعودی (NVSC) یک هشدار امنیتی ثانویه را در روزهای اخیر ارسال کردند.

هر در آژانس امنیت سایبری گزارش کردند که دیده‌اند مهاجمان بر سرورهای شرپوینت مسلط شده و ورژنی از پوسته وب China Chopper را در آن قرار دادند که نوعی از بدافزار است که بر روی سرورهایی نصب می‌شود که به هکرها امکان اتصال پیدا کردن به آن صدور فرمان‌های مختلف را می‌دهد.

یک پژوهشگر امنیتی در At&T به ZDNet گفت که جالب است که هر دو دولت کانادا و عربستان سعودی نصب China Chopper را در آغاز این حمله گزارش کردند.

مراجع کانادایی گفتند که «محققان مورد اعتماد سیستم‌های دستکاری شده متعلق به بخش‌های آکادمیک، زیرساختی، صنایع سنگین، تولیدی و تکنولوژی را شناسایی کرده‌اند».

در سوی دیگر، مسئولان سعودی نگفتند که چه مهاجمانی پشت این حمله بوده‌اند، ولی یک نتیجه پس از وقوع حمله را از یکی از شبکه‌های قربانی منتشر کردند، که نشان می‌دهد چگونه مهاجمان از «اسکریپت‌های PowerShell برای دسترسی بیشتر و اجرای عملیات شناسایی داخلی در شبکه استفاده کردند».

آنها همچنین گفتند که این حملات که سازمان‌های سعودی که از سرورهای همکاری تیمی شرپوینت استفاده می‌کردند را هدف قرار داده بودند حدود دو هفته ادامه داشتند، که نشان می‌دهد شروع حملات همزمان با هشداری بوده که از سوی آژانس کانادایی صادر شده بود.

با اینکه ممکن است به نظر برسد که این حملات به شکلی به هم مرتبط بوده‌اند، ولی شواهد کنونی موید این تئوری نیستند.

به سازمانهای مورد حمله قرار گرفته توصیه شده که اگر امکان اعمال پچ‌ها را نداشته باشند سرورهای شرپوینت را پشت یک فایروال قرار دهند که تنها بر روی شبکه‌های داخلی قابل دسترسی است.