تقرير يحذر من برمجية الفدية Cring: تستغل الثغرات الأمنية في خوادم VPN
أكد تحقيقا أجراه خبراء فريق الاستجابة لطوارئ الحاسوب لنظم الرقابة الصناعية لدى كاسبرسكي، في إحدى الشركات التي تعرضت للهجوم، عن أن هجمات Cring تستغل ثغرة في خوادم الشبكة الافتراضية الخاصة VPN.
وضربت هذه الهجمات شركاتٍ صناعية في دول أوروبية، وأدّت في حالة واحدة على الأقل إلى إغلاق مؤقت لأحد مواقع الإنتاج.
وأصبحت ثغرة CVE-2018-13379 الموجودة في خوادم Fortigate VPN معروفة منذ العام 2019.
وجرت معالجتها وتصحيحها، لكن لم يتم تحديث جميع الأجهزة التي توجد بها هذه الثغرة.
ومنذ خريف العام 2020 بدأت تظهر في منتديات الويب المظلمة قوائم جاهزة بعناوين IP للأجهزة التي تحتوي على الثغرة، ما قد يمكّن المهاجمين من الاتصال بالجهاز عبر الإنترنت والوصول عن بُعد إلى ملف XML الذي يحتوي على اسم المستخدم وكلمة المرور المخزنين بنص واضح.
وأظهر التحقيق أنه في وقت ما قبل المرحلة الرئيسة من العملية، أجرى المهاجمون اتصالات لاختبار بوابة VPN، للتأكّد على ما يبدو من أن بيانات اعتماد المستخدم المسروقة لشبكة VPN لا تزال صالحة.
سرقه البيانات
استخدم المهاجمون في الهجوم، بعد وصولهم إلى أول نظام على شبكة المؤسسة، الأداة المساعدة Mimikatz في سرقة بيانات اعتماد حساب مستخدمي Windows الذين سبق لهم تسجيل الدخول إلى النظام المخترق.
وكان المهاجمون محظوظين بعد ذلك في اختراق حساب مسؤول النطاق الشبكي، ليبدأوا بعد ذلك في الانتشار إلى أنظمة أخرى على شبكة الشركة مستغلين تمتّع المسؤول بحقوق الوصول إلى جميع الأنظمة على الشبكة باستخدام حساب مستخدم واحد.
وبعد أن أجرى المهاجمون استطلاعًا شاملًا وأحكموا سيطرتهم على الأنظمة المهمة للعمليات الصناعية، نزّلوا البرمجية الخبيثة Cring وأطلقوا بها هجوم طلب الفدية.
ووفقًا للخبراء، فإن عدم تحديث قواعد البيانات الخاصة بالحل الأمني المستخدم على الأنظمة المهاجمة، أولًا بأول، لعب أيضًا دورًا رئيسًا في نجاح الهجوم، إذ منع الحلّ الأمني من اكتشاف التهديد وإيقافه.
وقال ياخسلاف كوبيتسيف الخبير الأمني في فريق الاستجابة لطوارئ الحاسوب لنظم الرقابة الصناعية لدى كاسبرسكي، إن تفاصيل مختلفة للهجوم تشير إلى أن المهاجمين حلّلوا بعناية البنية التحتية للشركة المستهدفة وأعدوا بنيتهم التحتية وأدواتهم الخاصة بناءً على المعلومات التي جمعوها في مرحلة المعاينة والاستطلاع.
وضربت هذه الهجمات شركاتٍ صناعية في دول أوروبية، وأدّت في حالة واحدة على الأقل إلى إغلاق مؤقت لأحد مواقع الإنتاج.
وأصبحت ثغرة CVE-2018-13379 الموجودة في خوادم Fortigate VPN معروفة منذ العام 2019.
وجرت معالجتها وتصحيحها، لكن لم يتم تحديث جميع الأجهزة التي توجد بها هذه الثغرة.
ومنذ خريف العام 2020 بدأت تظهر في منتديات الويب المظلمة قوائم جاهزة بعناوين IP للأجهزة التي تحتوي على الثغرة، ما قد يمكّن المهاجمين من الاتصال بالجهاز عبر الإنترنت والوصول عن بُعد إلى ملف XML الذي يحتوي على اسم المستخدم وكلمة المرور المخزنين بنص واضح.
وأظهر التحقيق أنه في وقت ما قبل المرحلة الرئيسة من العملية، أجرى المهاجمون اتصالات لاختبار بوابة VPN، للتأكّد على ما يبدو من أن بيانات اعتماد المستخدم المسروقة لشبكة VPN لا تزال صالحة.
سرقه البيانات
استخدم المهاجمون في الهجوم، بعد وصولهم إلى أول نظام على شبكة المؤسسة، الأداة المساعدة Mimikatz في سرقة بيانات اعتماد حساب مستخدمي Windows الذين سبق لهم تسجيل الدخول إلى النظام المخترق.
وكان المهاجمون محظوظين بعد ذلك في اختراق حساب مسؤول النطاق الشبكي، ليبدأوا بعد ذلك في الانتشار إلى أنظمة أخرى على شبكة الشركة مستغلين تمتّع المسؤول بحقوق الوصول إلى جميع الأنظمة على الشبكة باستخدام حساب مستخدم واحد.
وبعد أن أجرى المهاجمون استطلاعًا شاملًا وأحكموا سيطرتهم على الأنظمة المهمة للعمليات الصناعية، نزّلوا البرمجية الخبيثة Cring وأطلقوا بها هجوم طلب الفدية.
ووفقًا للخبراء، فإن عدم تحديث قواعد البيانات الخاصة بالحل الأمني المستخدم على الأنظمة المهاجمة، أولًا بأول، لعب أيضًا دورًا رئيسًا في نجاح الهجوم، إذ منع الحلّ الأمني من اكتشاف التهديد وإيقافه.
وقال ياخسلاف كوبيتسيف الخبير الأمني في فريق الاستجابة لطوارئ الحاسوب لنظم الرقابة الصناعية لدى كاسبرسكي، إن تفاصيل مختلفة للهجوم تشير إلى أن المهاجمين حلّلوا بعناية البنية التحتية للشركة المستهدفة وأعدوا بنيتهم التحتية وأدواتهم الخاصة بناءً على المعلومات التي جمعوها في مرحلة المعاينة والاستطلاع.