وبلاگ

بر اساس تجزیه و تحلیلی که توسط مشترک نویسندگان انجام شده است، عوامل تهدید که به دستور حامیان دولت عمل می کنند، به طور قابل توجهی بیشتر از مجرمان سایبری با انگیزه مالی در پشت بهره برداری از آسیب پذیری های جدید افشا شده در روز صفر قرار دارند. گروه تحلیل تهدیدات گوگل (TAG) و Mandiant در Google Cloud.

TAG و Mandiant شاهد 97 روز صفر بهره برداری در طبیعت در سال 2023 بودند که نسبت به 62 روز در سال 2022 افزایش داشت، اما نسبت به 106 روز در سال 2021 کاهش داشت.

تحلیلگران گفتند که از 58 روز صفری که می‌توانستند انگیزه‌های تهدید را به آن نسبت دهند، 48 مورد به دلیل گروه‌های تهدید دائمی پیشرفته تحت حمایت دولت (APT) بود که فعالیت‌های جاسوسی انجام می‌دادند، در حالی که تنها 10 مورد به دلیل مجرمان سایبری با انگیزه مالی، معمولاً باج‌افزارها بود.

در میان چهار عملیات اصلی هک دولتی که به عنوان خصمانه با بریتانیا، ایالات متحده و سایر کشورهای غربی – چین، ایران، کره شمالی و روسیه تلقی می‌شوند – اپراتورهای چینی پیشتاز بودند و تقریباً دو برابر بیشتر از سال 2022 از روزهای صفر استفاده کردند. و کمی بیش از 40 درصد از کل بهره برداری های نسبت داده شده را نشان می دهد.

هشدار گوگل در مورد فعالیت سایبری چین تنها چند روز پس از دولت بریتانیا و ایالات متحده منتشر شد چندین نهاد را تحریم می کند و هشدارهای جدیدی صادر کرد برای هدف قرار دادن سیاستمداران و تجارت توسط هکرهای چینی که قصد سرقت اسرار دولتی و مالکیت معنوی را دارند.

یافته‌های او نشان می‌دهد که هنگام اولویت‌بندی پاسخ به افشای آسیب‌پذیری‌ها، سازمان‌هایی که بیشتر در معرض خطر مداخله مخرب دولت هستند، مانند سازمان‌های دولتی، دانشگاه‌ها و مؤسسات تحقیقاتی، و اپراتورهای زیرساخت ملی حیاتی (CNI) باید توجه ویژه‌ای داشته باشند.

مطابق با دو سال گذشته، ما بهره برداری بیشتر توسط دولت از آسیب پذیری های روز صفر را به جمهوری خلق چین نسبت دادیم. [People’s Republic of China] مدی استون، جرد سمراو و جیمز سادوسکی، نویسندگان گزارش نوشتند که مهاجمان تحت حمایت دولت بیش از هر کشور دیگری.

Mandiant گزارش های گسترده ای در مورد چندین کمپین بهره برداری گسترده، از جمله بهره برداری UNC4841 از دو آسیب پذیری در دروازه امنیتی ایمیل Barracuda گزارش داده است. CVE-2023-2868 و CVE-2023-7102.

آنها گفتند: “این بازیگر علاقه خاصی به اطلاعات سیاسی یا استراتژیک دولت جمهوری خلق چین داشت و دولت ها و سازمان های جهانی را در صنایع با اولویت بالا هدف قرار داد.” علاوه بر این، ما علاقه خاصی به دامنه های ایمیل و کاربران وزارت خارجه کشورهای عضو آسه آن و همچنین افراد در دفاتر تجارت خارجی و سازمان های تحقیقاتی دانشگاهی در تایوان و هنگ کنگ مشاهده کردیم.

دیگر روزهای صفر مورد توجه ویژه جاسوسان سایبری چین در ماه های اخیر عبارتند از CVE-2022-41328 در Fortinet FortiOS، که به یک آسیب‌پذیری بای پس احراز هویت VMware مرتبط شده بود، CVE-2023-20867، از گروهی که Mandiant با نام UNC3886 ردیابی کرده است. UNC3886 همچنین به شدت از یکی دیگر از مشکلات VMware سوء استفاده می کند. CVE-2023-34048به عنوان پیش درآمدی برای استفاده از عبور بای پس احراز هویت.

استون، سمراو و سادووسکی خاطرنشان کردند که در هر دو مورد، بهره برداری از دو زنجیره آسیب پذیری به بیش از 12 ماه – و در مورد دوم به سال 2021 – برمی گردد که نشان می دهد چگونه بازیگران تهدید چین در شناسایی و استفاده از آنها بسیار ماهر هستند. روزهای صفر جدید، و با موفقیت آنها را برای مدت زمان قابل توجهی مخفی نگه داشت.

تمرکز بر چین نباید از فعالیت‌های جاسوسی سایبری روسیه و کره شمالی – که ناچیز نبود – منحرف شود و سال 2023 نیز برای ظهور یک گروه APT بلاروسی قابل توجه بود. معروف به Winter Wyvern. این اولین باری است که یک بازیگر بلاروسی دیده می‌شود که از روزهای صفر استفاده می‌کند، اگرچه با توجه به اینکه بلاروس اساساً یک کشور تابع روسیه است، نمی‌توان گفت که Winter Vivern تا چه حد مستقل عمل می‌کند.

از نظر جرایم سایبری با انگیزه مالی، که 17 درصد از سوء استفاده‌های روز صفر را به خود اختصاص داده است – نسبت به سال 2022 کمتر است – یک گروه، FIN11، تقریباً یک سوم از سوء استفاده‌های با انگیزه مالی مشاهده شده در سال گذشته را به خود اختصاص داده است، که هر روز در روز صفر سرمایه‌گذاری زیادی برای بهره‌کشی انجام داده است. چند سال.

FIN11 به چندین عملیات باج افزار پرکار مرتبط است. به خصوص Clop/Cl0p و اپراتورهای قبلی مرتبط، اما باندهای دیگر، از جمله Akira، LockBit و Nokoyawa نیز به شدت در بهره‌برداری روز صفر درگیر هستند یا بودند.

Stone، Semrau و Sadowski می نویسند: “با توجه به منابع گسترده ای که برای شناسایی و بهره برداری از آسیب پذیری های روز صفر سرمایه گذاری شده است، عوامل تهدید با انگیزه مالی به احتمال زیاد برای بهره برداری از آسیب پذیری هایی که دسترسی موثر به سازمان های هدف را فراهم می کنند، اولویت دارند.”

آنها گفتند: «FIN11 به شدت بر برنامه‌های انتقال فایل تمرکز دارد که دسترسی کارآمد و مؤثر به داده‌های حساس قربانیان را بدون نیاز به ترافیک جانبی شبکه فراهم می‌کند و مراحل استخراج و کسب درآمد را ساده می‌کند». متعاقباً، درآمدهای کلان حاصل از اخاذی انبوه یا کمپین‌های باج‌افزاری احتمالاً به سرمایه‌گذاری بیشتر این گروه‌ها در آسیب‌پذیری‌های جدید دامن می‌زند.»