هکرهای چینی و هک وی ام ویر (نرم افزار VMware ESXi)
هک وی ام ویر به تازگی در دستورکار هکرهای چینی قرار گرفته است. شرکت ویامویر بهتازگی یک وصله امنیتی را برای آسیبپذیری روز صفر نرمافزار VMware ESXi منتشر کرده است. جاسوسهای چینی با بهرهبرداری از این آسیبپذیری و پیادهسازی یک در پشتی (Backdoor)، به ماشینهای مجازی ویندوز و لینوکس دسترسی پیدا کرده و برای سرقت اطلاعات، تلاش کردهاند. با ما برای خواندن مطالب بیشتر درباره این اقدام هکرهای چینی در هنر و توسعه ارتباطات شایگان، همراه باشید.
ماجرا از کجا شروع شد؟
شرکت آمریکایی مندیانت (Mandiant) که در زمینه امنیت سایبری فعالیت میکند، موفق به شناسایی این حملات شده است. منشأ این حملات، به گروه هکری چینی که از آنها با نام UNC3886 یاد میشود، نسبت داده شده است.
این گروه هکری توانسته هک وی ام ویر را با بهکارگیری بدافزارهای VirtualPie و VirtualPita انجام دهد. به کمک این بدافزارها، هکر میتواند مکانیزمهای احراز هویت نرمافزار ویامویر را دور بزند. با استفاده از آسیبپذیری موجود در نرمافزار، امکان نفوذ به ماشینهای مجازی نصب شده روی هاستهای آسیبپذیر ESX، برای هکرهای چینی فراهم شده است. پس از نفوذ، امکان بهرهبرداری هکرها از دسترسیهای روت (Root) هم فراهم میشده است.
شرکت ویامویر درباره این نفوذ گفته است که: «آسیبپذیری موجود در هاست ESXi، امکان نقض مکانیزم احراز هویت را فراهم میکرده و یکپارچگی عملکرد ماشین مجازی و محرمانگی اطلاعات ذخیره شده روی آن را به خطر میانداخته است».
- بیشتر بخوانید: نصب و راه اندازی VMware ESXi
بدافزارها چگونه روی سیستم های آسیب پذیر نصب می شدند؟
هکرها با استفاده از بستههای نرمافزاری VIB (vSphere Installation Bundle)، اقدام به نصب در پشتی بر روی هاستهای آسیبپذیر ESXi میکردند. این بستههای نرمافزاری، برای کمک به ادمین سیستم در نصب فایلهای image طراحی شده است. در جریان تحقیقات شرکت مندیانت درباره هک وی ام ویر، ردپای استفاده از بدافزار دیگری به نام VirtualGate هم دیده شد.
این بدافزار دو ویژگی دارد. اولین ویژگی آن، Memory Only بودن است. یعنی این که در سطح حافظه اجرا میشود، و کدهای مخرب آن، بر روی دیسک اجرا نمیشوند. همچنین این بدافزار، یک Dropper است. یعنی کدهای مخرب، از ابتدا در این بدافزار وجود ندارند و پس از نصب بدافزار، کدهای مخرب از جای دیگری دانلود و در نهایت، بر روی سیستم اجرا میشوند.
بدافزار VirtualGate، این امکان را میدهد تا هکر بتواند از راه دور، فایلهای DLL حاوی کدهای مخرب را در فرآیندهای در حال اجرای ماشین مجازی، جایگذاری کند. هکر میتواند به کمک این بدافزار، به کانال ارتباطی بین هاست و ماشین مجازی نفوذ کند و این دسترسی را تا زمانی که در پشتی بر روی هاست آسیبدیده باز است، حفظ کند.
هکرهای چینی دانش بالایی درباره نحوه عملکرد محصولات آمریکایی دارند!
انجام این حملات، نشاندهنده تسلط فنی گروه هکری چینی UNC3886 بر روی ESXi و پلتفرم مجازیسازی ویامویر است. در واقع، هک وی ام ویر نشان میدهد که این گروه هکری، دانش عمیقی از نحوه عملکرد محصولات ویامویر دارد. این گروه هکری، به حمله به پلتفرمهایی که از سیستمهای تشخیص حمله یا نفوذ استفاده نمیکنند، همچنان ادامه میدهد.
تحقیقات شرکت مندیانت نشان داده است که هک VMware تنها هدف این گروه هکری نبوده است. شواهد نشان میدهد که در ماه مارس سال ۲۰۲۳، این گروه هکری با استفاده از یک تکنیک مشابه، به دستگاههای فایروال فورتیگیت (FortiGate)، نفوذ کرده است. این نفوذ با استفاده از پیادهسازی در پشتی به کمک بدافزارهای Castletap و Thincrust انجام شده است.
هکرها توانستهاند با هک فایروال، به سیستمهای مدیریتی و تحلیل شبکه فایروال نفوذ کنند. پس از آن، امکان حضور ثابت هکر در این سیستمها فراهم شده است. آنها از بدافزارهای VirtualPie و VirtualPita برای مخفی ماندن در شبکه فایروال و شناسایی نشدن، استفاده کردهاند. هدف چینیها از نفوذ به فایروالهای فورتیگیت، نفوذ به شبکه سازمانهای دولتی عنوان شده است.
شرکت فورتینت (Fortinet) درباره این نفوذ اعلام کرده است که: «دسترسی به فایروالها، نیاز به درک عمیق از سیستمعامل FortiOS و سختافزار تحت مدیریت آن داشته است. جایگذاری دقیق کدهای مخرب، نشاندهنده این است که بخشهای مختلفی از سیستمعامل فورتی او اس، توسط هکرها مهندسی معکوس شده است».
- شاید این مقاله برای شما مفید باشد: ویسفر چیست؟ آشنایی با اجزای VMware vSphere
گروه هکری UNC3886، بیشتر چه سازمان هایی را هدف قرار می دهند؟
تحقیقات درباره هک VMware و سایر پلتفرمهای مشهور، نشان داده است که گروه چینی UNC3886، حمله به سازمانهای نظامی، دولتی، ارتباطی و فناوریمحور آمریکا و همپیمانانش را در دستورکار خود قرار داده است. آنها علاقه خاصی به انجام حملات روز صفر و نفوذ به سیستمهایی که قابلیتهای تشخیص نقص و مقابله با حمله در آنها موجود نیست، دارند.
زنگ خطر برای شرکت های آمریکایی به صدا درآمده است!
هک وی ام ویر باعث شده که شرکت مندیانت درباره توانایی هکرهای چینی برای درک عمیق تکنولوژیهای پیشرفته، هشدار بدهد. مهارت هکرهای چینی در طراحی یک بدافزار خاص برای نفوذ به پلتفرم مدنظرشان، تواناییهای دفاعی و ارتباطی سازمانهای مختلف را با چالش مواجه کرده است.
منبع: bleepingcomputer.com
سوالات متداول
۱. هکرهای چینی از چه ابزاری برای هک وی ام ویر استفاده کردهاند؟
هکرهای چینی با استفاده از بدافزارهایی مانند VirtualPita و VirtualPie، موفق به پیادهسازی در پشتی در پلتفرم مجازیسازی ویامویر شدهاند.
۲. هدف هکرهای چینی از هک وی ام ویر چیست؟
هدف آنها حمله به سیستمهای مجازیسازی سازمانهای مختلف دولتی و نظامی آمریکا و کشورهای همپیمان آن است.