آیا گروه نفوذگر روسی پشت حملات روز-صفرم علیه مایکروسافت است؟

۶مایکروسافت Sofacy را تشریح کرده است، Sofacy یک گروه تهدید پیشرفته‌ی مداوم یا همان APT است که به مدت طولانی تصور می‌شد با بازوی اطلاعاتی روسیه، GRU، و نیز نهادهای پشتیبان حملات هدف‌مند علیه آسیب‌پذیری‌های روز-صفرم ادوبی فلش و کرنل ویندوز در ارتباط است. این گروه که مایکروسافت تحت عنوان Strontium از آن یاد می‌کند، به APT۲۸، Tsar Team و Sednit نیز شهرت دارد.
مایکروسافت گفت که این آسیب‌پذیری روز-صفرم، که وجود و جزئیات مربوط به آن روز دوشنبه توسط گوگل افشاء شد، در ۸ نوامبر وصله خواهد شد. روز گذشته گوگل گفت که در ۲۱ اکتبر به‌طور خصوصی هر دو آسیب‌پذیری روز-صفرمی را که در حملات هدف‌مند علیه قربانی‌های ناشناخته به کار گرفته‌ شده‌اند، به ادوبی و مایکروسافت گزارش کرده است. ادوبی یک وصله‌ی فوری را در ۲۶ اکتبر برای آسیب‌پذیری فلش‌پلیر ارائه کرد، اما مایکروسافت به خود زحمت نداد و تا قبل از افشاسازی گوگل آسیب‌پذیری موجود را تأیید نکرد. مایکروسافت در نهایت روز گذشته جزئیاتی را درباره‌ی این آسیب‌پذیری و حملات انجام‌شده علیه آن منتشر کرد.
تری مایرسون، نایب‌رئیس اجرایی ویندوز گفت: «ما باور داریم که صنعت فن‌آوری متعهد، کاربر را در الویت نخست و افشاسازی هماهنگ مربوط به آسیب‌پذیری‌ها را سرلوحه‌ی کار خود قرار می‌دهد.»
«تصمیم گوگل برای افشای این آسیب‌پذیری‌ها قبل از آن‌که وصله‌های لازم به‌طور گسترده در دسترس کاربران قرار گرفته و آزمایش شوند، ناامیدکننده است، و کاربران را در معرض خطرات جدی قرار می‌دهد.»
مایکروسافت گفت که با گوگل و ادوبی برای ارائه‌ی وصله هماهنگ می‌شود. در تاریخ ۸ نوامبر مایکروسافت وصله‌ی بعدی خود را عرضه خواهد کرد. مایکروسافت گفته که حملات صورت‌گرفته از نوع کمپین‌های اسپیرفیشینگ «کم-حجم» بوده‌اند. اهداف Sofacy تا حد زیادی راه‌بردی بوده‌اند: سازمان‌های دولتی، مؤسسات دیپلماتیک، سازمان‌های نظامی، پیمان‌کاران دفاعی، و مؤسسات تحقیقات سیاست عمومی.
مایرسون گفت: «مایکروسافت بیش از هر گروه دیگری در سال ۲۰۱۶ بسته‌های نفوذی روز-صفرم را به STRONTIUM نسبت داده است.»
Sofacy از سوی دولت آمریکا به خاطر حمله علیه کمیته‌ی حزب دموکرات این کشور سرزنش شده است، و روسیه نیز به تلاش برای نفوذ در جریان انتخابات ریاست‌جمهوری آمریکا به واسطه‌ی این نفوذها متهم شده است. مایکروسافت می‌گوید این حملات دو آسیب‌پذیری روز-صفرم را مانند حلقه‌های یک زنجیر به هم وصل می‌کنند. نخست، یک بسته‌ی نفوذی بر ضد آسیب‌پذیری فلش استفاده شده است، این آسیب‌پذیری یک شکاف استفاده بعد از آزادسازی در کد زمان اجرای ActionScript است که در این نرم‌افزار اجرا می‌شود. هرگاه فلش برای دستیابی به کنترل فرآیند مرورگر مورد نفوذ واقع شود، نفوذگران از بسته‌ی نفوذی دوم برای هدف قرار دادن آسیب‌پذیری کرنل یا هسته‌ی ویندوز استفاده می‌کنند، این آسیب‌پذیری در ویندوز ویستا تا نسخه‌های کنونی ویندوز ۱۰ موجود است، این شکاف در حقیقت برای تشدید امتیاز و فرار از سندباکس مرورگر استفاده می‌شود. از این مرحله نفوذگران قادر بودند یک در پشتی را نصب کنند و به رایانه‌ی قربانی دسترسی دائمی پیدا نمایند تا به این ترتیب دستورات بیشتری را برای انتقال داده‌های سرقتی از دستگاه مورد نفوذ ارسال کنند.
مایکروسافت گفت مؤلفه‌ی خاص هسته‌ی win۳۲k که در این حملات از آن بهره‌برداری به عمل آمده، به تازگی به‌روز شده است تا بسته‌های نفوذی مربوطه را از حرکت بازدارد. مایکروسافت همچنین بیان داشت که در پشتی DLL را که در این حملات به کار گرفته شده می‌توان به کمک سیاست سخت‌گیرانه‌ی Code Integrity مسدود کرد؛ این همان کاری است که مرورگر مایکروسافت اج به‌طور پیش‌فرض انجام می‌دهد. هنوز مشخص نیست که آیا این حملات موفقیت‌آمیز بوده‌اند یا خیر.
مایرسون گفت: «این قضیه تضمین نمی‌کند که نفوذگران در پی یافتن راه حل جای‌گزینی نباشند، اما مایکروسافت به زودی یک به‌روزرسانی جامع را برای رسیدگی به این موضوع منتشر خواهد کرد.»

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

LinkedInFacebookTwitter