هاكرز صينيون يستغلون ثغرات صفرية في Ivanti CSA في هجوم كبير على فرنسا

منزل الأخبار * استغل مجموعة التهديدات الصينية ثغرات يوم الصفر في أجهزة Ivanti Cloud Services Appliance (CSA) لاستهداف القطاعات الحيوية الفرنسية.

• الحملة أثرت على الهيئات الحكومية، والاتصالات، ووسائل الإعلام، والمالية، والنقل بدءًا من سبتمبر 2024.
• استخدم المهاجمون أساليب متقدمة مثل الجذور الخلفية، والشبكات الافتراضية الخاصة التجارية، والأدوات مفتوحة المصدر للوصول الدائم إلى الشبكة.
• الثغرات التي تم استغلالها تشمل CVE-2024-8963 و CVE-2024-9380 و CVE-2024-8190.
• يبدو أن الحملة تشمل عدة جهات تهديد، حيث يسعى البعض لتحقيق مكاسب مالية بينما يوفر آخرون الوصول إلى مجموعات مرتبطة بالدولة. أفادت السلطات الفرنسية بأن مجموعة قرصنة مقرها الصين أطلقت حملة هجمات ضد القطاعات الرئيسية في فرنسا، بما في ذلك الحكومة، والاتصالات، والإعلام، والمالية، والنقل. بدأت الحملة في سبتمبر 2024 وركزت على استغلال العديد من الثغرات الأمنية غير المرقعة - المعروفة باسم الثغرات الصفرية - في Ivanti Cloud Services Appliance (CSA).

• إعلان - أكدت الوكالة الوطنية الفرنسية لأمن نظم المعلومات (ANSSI) أن المجموعة، التي تم تحديدها على أنها هوكين، تشارك في الاتصالات مع مجموعة التهديدات UNC5174، والمعروفة أيضًا باسم Uteus أو Uetus، التي تتعقبها Google Mandiant. وفقًا لـ ANSSI، قام المهاجمون بدمج استخدام ثغرات برمجية غير معروفة، وrootkit مخفي (أداة تخفي وجود المهاجم)، ومجموعة من البرامج مفتوحة المصدر التي طورها بشكل أساسي مبرمجون يتحدثون الصينية.

أفادت ANSSI، "إن بنية هجوم هوكين تتكون من عناصر متنوعة - بما في ذلك الشبكات الافتراضية الخاصة التجارية والخوادم المخصصة." وصفت HarfangLab، وهي شركة فرنسية للأمن السيبراني، نهجًا متعدد الأطراف: حيث تجد جهة ما ثغرات في البرمجيات، وتستخدم مجموعة ثانية هذه الثغرات للوصول إلى الشبكة، وتقوم أطراف ثالثة بتنفيذ هجمات لاحقة. وفقًا لـ ANSSI، "من المحتمل أن يكون المشغلون وراء مجموعات الاقتحام UNC5174 وهوكين يبحثون بشكل أساسي عن وصولات أولية قيمة لبيعها إلى جهة مرتبطة بالدولة تسعى للحصول على معلومات استخباراتية مفيدة."

استهدف المهاجمون ثلاث ثغرات محددة في Ivanti CSA—CVE-2024-8963 وCVE-2024-9380 وCVE-2024-8190. استخدموا طرقًا مختلفة لسرقة بيانات الاعتماد والحفاظ على وصول النظام، مثل تثبيت قذائف ويب PHP، وتعديل السكريبتات الموجودة، أو نشر جذر وحدة النواة. لوحظ استخدام أدوات مثل قذائف الويب Behinder وNEO-reGeorg، وBackdoor GOREVERSE، وProxy suo5.

تشمل الهجمات أيضًا وحدة نواة لينكس تُسمى "sysinitd.ko"، والتي تسمح للمهاجمين باختطاف جميع حركة المرور الواردة وتنفيذ الأوامر بصلاحيات إدارية كاملة. وذكرت بعض التقارير أن بعض المهاجمين قاموا بتصحيح نفس الثغرات بعد استغلالها، على الأرجح لمنع مجموعات أخرى من استخدام نفس الأنظمة.

أثرت الحملة الأوسع على المنظمات في جميع أنحاء جنوب شرق آسيا والحكومات الغربية وقطاعات التعليم والمنظمات غير الحكومية ووسائل الإعلام. في بعض الحالات، استخدم المهاجمون الوصول للتعدين بالعملات المشفرة. اقترحت السلطات الفرنسية أن الفاعلين قد يكونون مجموعة خاصة تبيع الوصول والمعلومات إلى منظمات مرتبطة بالدولة بينما تقوم بتنفيذ عمليات مدفوعة بالربح الخاصة بها.

المقالات السابقة:

• السناتور لومييس يقترح مشروع قانون لاستثناء الضرائب على العملات المشفرة التي تقل عن 300 دولار
• بنك أبوظبي الأول يطلق أول سند رقمي في الشرق الأوسط
• 0xProcessing: المدفوعات المشفرة تثبت أنها أكثر أمانًا بنسبة 91% من أنظمة بطاقات الائتمان
• تحذر OpenAI من رموز Robinhood وسط تقييم بقيمة 300 مليار دولار
• JD.com، مجموعة Ant تدفع من أجل عملة مستقرة باليوان لمنافسة الدولار

• إعلان -