اخبار فناوری, زیر ساخت شبکه

هکرهای چینی و هک وی ام ویر (نرم‌ افزار VMware ESXi)

هک وی ام ویر
23 ژوئن

هک وی ام ویر به تازگی در دستورکار هکرهای چینی قرار گرفته است. شرکت وی‌ام‌ویر به‌تازگی یک وصله امنیتی را برای آسیب‌پذیری روز صفر نرم‌افزار VMware ESXi منتشر کرده است. جاسوس‌های چینی با بهره‌برداری از این آسیب‌پذیری و پیاده‌سازی یک در پشتی (Backdoor)، به ماشین‌های مجازی ویندوز و لینوکس دسترسی پیدا کرده و برای سرقت اطلاعات، تلاش کرده‌اند. با ما برای خواندن مطالب بیشتر درباره این اقدام هکرهای چینی در هنر و توسعه ارتباطات شایگان، همراه باشید.

ماجرا از کجا شروع شد؟

شرکت آمریکایی مندیانت (Mandiant) که در زمینه امنیت سایبری فعالیت می‌کند، موفق به شناسایی این حملات شده است. منشأ این حملات، به گروه هکری چینی که از آن‌ها با نام UNC3886 یاد می‌شود، نسبت داده شده است.

این گروه هکری توانسته هک وی ام ویر را با به‌کارگیری بدافزارهای VirtualPie و VirtualPita انجام دهد. به کمک این بدافزارها، هکر می‌تواند مکانیزم‌های احراز هویت نرم‌افزار وی‌ام‌ویر را دور بزند. با استفاده از آسیب‌پذیری موجود در نرم‌افزار، امکان نفوذ به ماشین‌های مجازی نصب شده روی هاست‌های آسیب‌پذیر ESX، برای هکرهای چینی فراهم شده است. پس از نفوذ، امکان بهره‌برداری هکرها از دسترسی‌های روت (Root) هم فراهم می‌شده است.

شرکت وی‌ام‌ویر درباره این نفوذ گفته است که: «آسیب‌پذیری موجود در هاست ESXi، امکان نقض مکانیزم احراز هویت را فراهم می‌کرده و یکپارچگی عملکرد ماشین مجازی و محرمانگی اطلاعات ذخیره شده روی آن را به خطر می‌انداخته است».

بدافزارها چگونه روی سیستم ‌های آسیب‌ پذیر نصب می‌ شدند؟

هکرها با استفاده از بسته‌های نرم‌افزاری VIB (vSphere Installation Bundle)، اقدام به نصب در پشتی بر روی هاست‌های آسیب‌پذیر ESXi می‌کردند. این بسته‌های نرم‌افزاری، برای کمک به ادمین سیستم در نصب فایل‌های image طراحی شده است. در جریان تحقیقات شرکت مندیانت درباره هک وی ام ویر، ردپای استفاده از بدافزار دیگری به نام VirtualGate هم دیده شد.

این بدافزار دو ویژگی دارد. اولین ویژگی آن، Memory Only بودن است. یعنی این که در سطح حافظه اجرا می‌شود، و کدهای مخرب آن، بر روی دیسک اجرا نمی‌شوند. همچنین این بدافزار، یک Dropper است. یعنی کدهای مخرب، از ابتدا در این بدافزار وجود ندارند و پس از نصب بدافزار، کدهای مخرب از جای دیگری دانلود و در نهایت، بر روی سیستم اجرا می‌شوند.

بدافزار VirtualGate، این امکان را می‌دهد تا هکر بتواند از راه دور، فایل‌های DLL حاوی کدهای مخرب را در فرآیندهای در حال اجرای ماشین مجازی، جایگذاری کند. هکر می‌تواند به کمک این بدافزار، به کانال ارتباطی بین هاست و ماشین مجازی نفوذ کند و این دسترسی را تا زمانی که در پشتی بر روی هاست آسیب‌دیده باز است، حفظ کند.

نرم‌ افزار VMware ESXi

هکرهای چینی دانش بالایی درباره نحوه عملکرد محصولات آمریکایی دارند!

انجام این حملات، نشان‌دهنده تسلط فنی گروه هکری چینی UNC3886 بر روی ESXi و پلتفرم مجازی‌سازی وی‌ام‌ویر است. در واقع، هک وی ام ویر نشان می‌دهد که این گروه هکری، دانش عمیقی از نحوه عملکرد محصولات وی‌ام‌ویر دارد. این گروه هکری، به حمله به پلتفرم‌هایی که از سیستم‌های تشخیص حمله یا نفوذ استفاده نمی‌کنند، همچنان ادامه می‌دهد.

تحقیقات شرکت مندیانت نشان داده است که هک VMware تنها هدف این گروه هکری نبوده است. شواهد نشان می‌دهد که در ماه مارس سال ۲۰۲۳، این گروه هکری با استفاده از یک تکنیک مشابه، به دستگاه‌های فایروال فورتی‌گیت (FortiGate)، نفوذ کرده است. این نفوذ با استفاده از پیاده‌سازی در پشتی به کمک بدافزارهای Castletap و Thincrust انجام شده است.

هکرها توانسته‌اند با هک فایروال، به سیستم‌های مدیریتی و تحلیل شبکه فایروال نفوذ کنند. پس از آن، امکان حضور ثابت هکر در این سیستم‌ها فراهم شده است. آن‌ها از بدافزارهای VirtualPie و VirtualPita برای مخفی ماندن در شبکه فایروال و شناسایی نشدن، استفاده کرده‌اند. هدف چینی‌ها از نفوذ به فایروال‌های فورتی‌گیت، نفوذ به شبکه سازمان‌های دولتی عنوان شده است.

شرکت فورتی‌‌نت (Fortinet) درباره این نفوذ اعلام کرده است که: «دسترسی به فایروال‌ها، نیاز به درک عمیق از سیستم‌عامل FortiOS و سخت‌افزار تحت مدیریت آن داشته است. جای‌گذاری دقیق کدهای مخرب، نشان‌دهنده این است که بخش‌های مختلفی از سیستم‌عامل فورتی او اس، توسط هکرها مهندسی معکوس شده است».

گروه هکری UNC3886، بیشتر چه سازمان ‌هایی را هدف قرار می ‌دهند؟

تحقیقات درباره هک VMware و سایر پلتفرم‌های مشهور، نشان داده است که گروه چینی UNC3886، حمله به سازمان‌های نظامی، دولتی، ارتباطی و فناوری‌محور آمریکا و هم‌پیمانانش را در دستورکار خود قرار داده است. آن‌ها علاقه خاصی به انجام حملات روز صفر و نفوذ به سیستم‌هایی که قابلیت‌های تشخیص نقص و مقابله با حمله در آن‌ها موجود نیست، دارند.

زنگ خطر برای شرکت ‌های آمریکایی به صدا درآمده است!

هک وی ام ویر باعث شده که شرکت مندیانت درباره توانایی هکرهای چینی برای درک عمیق تکنولوژی‌های پیشرفته، هشدار بدهد. مهارت هکرهای چینی در طراحی یک بدافزار خاص برای نفوذ به پلتفرم مدنظرشان، توانایی‌های دفاعی و ارتباطی سازمان‌های مختلف را با چالش مواجه کرده است.

منبع: bleepingcomputer.com

سوالات متداول

۱. هکرهای چینی از چه ابزاری برای هک وی ام ویر استفاده کرده‌اند؟

هکرهای چینی با استفاده از بدافزارهایی مانند VirtualPita و VirtualPie، موفق به پیاده‌سازی در پشتی در پلتفرم مجازی‌سازی وی‌ام‌ویر شده‌اند.

۲. هدف هکرهای چینی از هک وی ام ویر چیست؟

هدف آن‌ها حمله به سیستم‌های مجازی‌سازی سازمان‌های مختلف دولتی و نظامی آمریکا و کشورهای هم‌پیمان آن است.

جدیدتر عرضه وصله امنیتی برای رفع آسیب پذیری نرم افزارهای سیسکو
بازگشت به لیست
قدیمی تر هشدار! ذخیره‌ ساز تحت شبکه را بروزرسانی Firmware کنید