افشای دخالت یک مقام مسئول در حمله سایبری به بیمارستان آمریکایی

وزارت دادگستری آمریکا اتهاماتی را بر علیه یک مسئول سابق امنیت سایبری در این کشور تنظیم کرده و وی را متهم به دخالت در حملات سایبری به مرکز پزشکی گینت در جورجیا کرده است.

به نقل از ایران نت نیوز، این فرد که ویکاس سینگلا نام دارد، متهم به سرقت اطلاعاتی از برخی دستگاه‌های دیجیتال است که منجر به اختلال در عملکرد تلفن‌ها و چاپگرهای بیمارستان مذکور شده است.

ویکاس سینگلا ۴۵ سال سن دارد و مدیر امور عملیاتی در یک شرکت امنیتی در حوزه مراقبت‌های درمانی موسوم به سکیورولیتیکس بوده است. وی در تاریخ ۲۷ سپتامبر سال ۲۰۱۸ به هکرها برای حمله به سیستم تلفنی بیمارستان یادشده کمک کرده است. در جریان این حملات تعدادی از چاپگرها و سیستم‌های دیجیتال کننده اطلاعات کاغذی از کار افتاده است.

انتظار می‌رود در صورت صدور حکم محکومیت این فرد وی به حداکثر ده سال زندان محکوم شود. او چندین بار برای دسترسی غیرمجاز به اطلاعات رایانه‌های مرکز پزشکی گینت در جورجیا نیز تلاش کرده است.

هشدار: حمله از طریق باگ مهم RCE به سرور VMware vCenter

عاملان خرابکار به طور فعال فضای سایبری را برای یافتن سرورهای آسیب پذیر VMware vCenter بروزرسانی نشده که در برابر نقص مهم اجرای کد از راه دور که این شرکت در اواخر ماه گذشته به آن پرداخت آسیب پذیر هستند، جستجو می کنند.

این فعالیت که توسط Bad Packets در حال بررسی است، در 3 ژوئن شناسایی شده و دیروز توسط محقق امنیتی، کوین بومونت تأیید گردیده است. تروی مارچ، مدیر ارشد تحقیقات Bad Packets در توییتر خود نوشت: “فعالیت اسکن انبوه و گسترده از طریق آنالیز 104.40.252.159 برای بررسی آسیب پذیری هاست VMware vSphere در برابر امکان اجرای کد از راه دور شناسایی گردید”.

این توسعه به دنبال انتشار یک کد proof-of-concept یا PoC برای سواستفاده از RCE و در راستی هدفگیری نقص و باگ VMware vCenter انجام پذیرفته است.

به نقل از هکر نیوز، این مورد که با عنوان CVE-2021-21985 (نمره CVSS 9.8) مطرح می شود، نتیجه عدم اعتبار سنجی ورودی در افزونه Virtual SAN (vSAN) Health Check است که می تواند توسط مهاجم برای اجرای دستورات با اختیارات نامحدود بر روی سیستم عامل اصلی که میزبان سرور vCenter است، مورد سواستفاده قرار گیرد.
اگرچه این نقص توسط VMware در تاریخ 25 ماه می برطرف شده است، اما این شرکت به شدت به مشتریان خود اعلام کرده است که بلافاصله تغییر اضطراری جدید را اعمال کنند. به نثل از VMware: “در این بازه زمانی از فعالیت باج افزارها، ایمن ترین حالت این است که تصور کنیم یک مهاجم از قبل در جایی از شبکه و روی دسکتاپ قرار دارد و شاید حتی در حال کنترل یک حساب کاربری در داخل شبکه باشد؛ به همین دلیل است که ما توصیه می کنیم هرچه سریعتر تغییر اضطراری و بروزرسانی را اعمال نمایید”.
این اولین بار نیست که مهاجمان به شکل فرصت طلبانه ای، فضای سایبری را برای یافتن سرورهای آسیب پذیر VMware vCenter جستجو می کنند. یک آسیب پذیری مشابه اجرای کد از راه دور (CVE-2021-21972) که توسط VMware در ماه فوریه پچ شد، هدف حمله عاملین تهدیدات سایبری که سعی در بهره برداری و کنترل سیستم های بروزرسانی نشده داشتند، قرار گرفت.

براساس گزارشات Bad Packets و Binary Edge، حداقل ۱۴۸۵۸ سرور vCenter در آن بازه زمانی از طریق فضای سایبری، برای مهاجمین قابل دسترسی و نفوذ بوده اند.

علاوه بر این، یک تحقیق جدید از Cisco Talos در اوایل این هفته منتشر شد که نشان داد عامل تهدید در پس ربات مبتنی بر پایتون Necro، با سواستفاده از همان ضعف امنیتی ذکر شده در راستای افزایش توانایی انتشار آلودگی بدافزار، به سرورهای VMware vCenter در معرض خطر نفوذ پیدا میکند.

هشدار محققان نسبت به گسترش روت کیت های لینوکسی Facefish Backdoor

محققان امنیت سایبری یک برنامه Backdoor جدید را شناسایی کرده اند که قادر به سرقت اطلاعات ورودی کاربر، اطلاعات دستگاه و اجرای دستورات دلخواه در سیستم های لینوکس است.
این عامل بدافزاری به دلیل قابلیت های خود برای ارائه روت کیت های مختلف در زمان های مختلف و استفاده از رمزنگاری Blowfish برای رمزگذاری ارتباطات به سرور تحت کنترل مهاجم، توسط Qihoo 360 نت لب با عنوان “Facefish” لقب گرفته است.

به گفته محققان: “Facefish از 2 قسمت Dropper و Rootkit تشکیل شده است و عملکرد اصلی آن توسط ماژول Rootkit تعیین می شود، که در ی حلقه سه لایه کار می کند و با استفاده از ویژگی LD_PRELOAD بارگیری می شود تا با ورود به سیستم، توابع مربوط به پروگرم ssh/sshd، اعتبارنامه ورود به سیستم کاربر را بدزدد. لازم به ذکر است که این بدافزار همچنین برخی از عملکردهای بک دور را پشتیبانی کرده و ارائه میکند”.

به گزارش هکر نیوز، تحقیقات نت لب بر اساس تجزیه و تحلیل های قبلی که توسط جونیپر نتورکز در تاریخ 26 ماه آوریل انجام شده بود، منتشر شده است، که زنجیره حمله برای هدف قرار دادن کنترل پنل وب (CWP ، پنل سابق CentOS Web) برای تزریق ایمپلنت SSH با قابلیت اکسفیلتریشن داده ها را مستندسازی کرده است.

Facefish یک فرآیند آلودگی چند مرحله ای را طی می کند، که با تزریق دستور CWP برای بازیابی دراپر (“sshins”) از یک سرور از راه دور آغاز می شود؛ سپس یک rootkit به دستگاه منتقل می شود که علاوه بر اینکه منتظر دستورالعمل های دیگری که توسط سرور command-and-control (C2) صادر شده است، میماند؛ در نهایت کار جمع آوری و انتقال اطلاعات حساس به سرور را نیز انجام میدهد.
در حالی که مشخص نیست که دقیقا این آسیب پذیری مورد سوءاستفاده مهاجم برای اولین موارد به خطر انداختن کاربران استفاده شده است یا خیر، اما جونیپر خاطرنشان کرد که CWP از ده ها مورد از مشکلات امنیتی رنج می برد و افزودن رمزگذاری و پنهان سازی عمدی کد منبع، تشخیص اینکه کدام نسخه از CWP آسیب پذیر بوده یا در برابر این حمله آسیب پذیر باقی مانده است را دشوار کرده است.

به نوبه خود، دراپر با مجموعه ای از وظایف مختص خود همراه است که از جمله مهمترین آنها می توان به شناسایی زمان اجرا و فعالیت محیط کاربر، رمزگشایی فایل پیکربندی برای دریافت اطلاعات C2، پیکربندی rootkit و شروع rootkit با تزریق آن به پروسس سرور امن shell (sshd) اشاره کرد.

روت کیت ها به خودی خود خطرناک هستند زیرا به مهاجمان اجازه می دهند اختیارات زیادی را در سیستم به دست آورند و همچنین به آنها اجازه می دهد در عملیات های اصلی انجام شده توسط سیستم عامل اصلی نفوذ و دخالت کنند. این توانایی روت کیت ها برای استتار در ساختار سیستم عامل، امکان گسترده ای برای پنهان کاری به مهاجمان می دهد.

Facefish همچنین از یک پروتکل ارتباطی پیچیده و الگوریتم رمزنگاری استفاده می کند و از دستورالعمل هایی با 0x2XX شروع میشوند برای تبادل کلیدهای عمومی و BlowFish برای رمزگذاری داده های ارتباطی با سرور C2 استفاده می کنند. برخی از دستورات C2 ارسال شده توسط سرور به شرح زیر هستند:

0x300 – ارسال گزارش اطلاعات اعتبارنامه سرقت شده
0x301 – جمع آوری جزئیات دستور “uname”
0x302 – اجرای shell معکوس
0x310 – اجرای هر نوع دستور سیستمی
0x311 – ارسال نتیجه اجرای bash
0x312 – گزارش اطلاعات میزبان
یافته های نت لب از تجزیه و تحلیل یک پرونده نمونه ELF است که در فوریه 2021 کشف شده، نشات گرفته است. سایر شاخص های سازش در ارتباط با بدافزار را می توان با یک جستجوی ساده مشاهده کرد.

تسلا سایت ذخیره اطلاعات خودروهایش را در چین تاسیس کرد

تسلا اعلام کرد سایتی برای ذخیره اطلاعات خودروهایش در چین تاسیس کرده است.

به نقل از ایران نت نیوز، شرکت خودروسازی تسلا اعلام کرد سایتی در چین را برای ذخیره محلی اطلاعات خودروها تأسیس کرده است. این در حالی است که دولت چین سختگیری‌های بیشتری درباره شیوه کنترل اطلاعات جمع آوری شده توسط دوربین‌ها و حسگرهای خودروها اعمال می‌کند.

این شرکت خودروسازی آمریکایی در پستی در وب سایت ویبو اعلام کرد اطلاعاتی که توسط خودروهای این شرکت در چین تولید می‌شود در همین کشور ذخیره می‌شود. در کارخانه تسلا واقع در این کشور آسیایی مدل ٣ و مدلY تولید می‌شوند.

علاوه بر این موارد، تسلا اعلام کرد شبکه دیتا سنترهای خود در چین را گسترش می‌دهد.

چین دومین بازار بزرگ خودروهای تسلا به شمار می‌رود و در همین راستا این کشور مشغول توسعه قوانینی است که امنیت اطلاعات تولید شده توسط خودروها تضمین می‌کند.

همچنین به برخی از کارمندان سازمان‌های دولتی دستور داده شده خودروهای تسلایشان را داخل ساختمان‌های مذکور پارک نکنند زیرا نگرانی‌هایی درباره دوربین این خودروها وجود دارد.

خونریزی قلبی شماره ۲ کشف شد

cyber-war

cyber-warحفره جدید کشف شده توسط کارشناسان امنیتی حکایت از خونریزی قلبی شماره ۲ روی اینترنت دارد. حفره کشف شده روی پروتکل امنیتی OAuth 2.0 و OpenID است که توسط دانشجوی دوره دکترا در دانشگاه سنگاپور یافت شده است.
 بر این اساس وانگ جینگ از دانشگاه تکنولوژی حفره ای را پیدا کرده که هکرها از طریق آن می توانند تکنیک های فیشینگ را پیاده سازی کرده و بدون اینکه کاربر متوجه شود، اطلاعات کاربر را سرقت کند.

ادامه مطلب

اعمال تنظیمات امنیتی بر روی مرورگر اینترنت اکسپلورر

IE

IEحملات zero-day از آن دسته از حملات هستند که به خرابکاران اینترنتی اجازه می‌دهند کدهای مخرب خود را از راه دور و از طریق مرورگر کاربران اجرا نمایند. در همین راستا مایکروسافت طی بیانیه‌ای اعلام کرده کاربرانی که از مرورگر اینترنت اکسپلورر این کمپانی استفاده می‌کنند، با اعمال چند تغییر ساده می‌توانند از بروز چنین مشکلاتی جلوگیری کنند.
مایکروسافت چندی پیش با ارائه یک بسته بروزرسانی امنیتی برای مرورگر خود، نقاط ضعف اینترنت اکسپلورر در مقابل حملات موسوم به zero-day را تقریباً از بین برد. اما در این میان دو راه حل کمکی نیز وجود دارند که کاربران می‌توانند با استفاده از آن‌ها، جلوی اعمال خرابکارانه برخی از مجرمان اینترنتی را بگیرند.

ادامه مطلب

بسته‌ی امنیتی گوگل برای برطرف‌کردن حفره‌ی موجود در اندروید

android

androidگوگل یک بسته‌ی امنیتی برای بروزرسانی در ابزار‌های اندرویدی در اختیار شرکای سخت‌افزاری خود قرار داده است تا از این طریق یک حفره‌ی امنیتی در اندروید را برطرف نماید که به برخی اپلیکیشن‌های مخرب اجازه‌ی هدایت کاربران به سایت‌های جعلی و سرقت اطلاعات حساس آن‌ها را می‌دهد.
این حفره‌ی امنیتی اولین بار توسط کمپانی FireEye کشف شده است که یک کمپانی فعال در حوزه‌ی امنیتی است. این حفره‌ی امنیتی با بهره‌گیری از برخی از گواهی‌های اندروید همچون “READ_SETTING” و “WRITE_SETTING”، آیکون و تنظیمات مربوط به لانچر اندروید را تغییر می‌دهد. این مشکل امنیتی تمامی نسخه‌های اندروید تا اندروید 4.4.2 کیت‌کت را تحت تأثیر قرار می‌دهد.

ادامه مطلب

همه چیز درباره باگ OpneSSL معروف به خونریزی قلبی

heartbleed-openssl-fix

heartbleed-openssl-fixهمانطور که می‌دانید هفته‌ی گذشته کشف یک باگ خطرناک موسوم به خونریزی قلبی هیاهوی فراوانی را در فضای وب ایجاد کرد. نکته‌ی جالب توجه در این مورد تاثیرپذیری دو سرور از سه سرور موجود در فضای اینترنت است که اهمیت این باگ را بالا برده است. همان‌طور که  خواندید، گویا آژانس امنیت ملی آمریکا نیز از دو سال پیش از این باگ مطلع بوده و آن را افشا نکرده است. اما این باگ چیست و چه تاثیری بر روند استفاده‌ی کاربران عادی خواهد داشت؟ با ما همراه باشید تا نگاهی به ساختار و علت ایجاد این باگ داشته باشیم.
همه چیز درباره باگ OpneSSL معروف به خونریزی قلبی

    آیا کاربران عادی باید آنتی‌ویروس‌ها و نرم‌افزار‌های امنیتی خود را بروز کنند؟
    آیا هم‌اکنون کاربران می‌توانند پارد حساب‌های بانکی خود شوند یا باید از این کار ممانعت کنند؟
    آیا کمپانی‌های بزرگی چون گوگل که تحت تاثیر این باگ امنیتی قرار گرفته‌اند، این مشکل را برطرف کرده‌اند؟

یقینا در روزهای گذشته سوالات این چنین در ذهن تمامی کاربران نقش بسته، اما پاسخ‌های واضحی به آن‌ها داده نشده است. در ادامه توضیحات روشنی را در مورد ساختار این باگ، دامنه‌ی تاثیرگذاری آن، نحوه‌ی رفع مشکل و اجتناب از سرقت اطلاعات ارائه خواهیم داد.

خونریزی قلبی چیست و چگونه کار می‌کند؟

این مشکل بخشی از یک نرم‌افزار را با نام OpenSSL تحت تاثیر قرار می‌دهد که به‌عنوان راهکاری برای مسائل امنیتی در وب سرورها مورد استفاده قرار می‌گیرد. با استفاده از OpenSSL وب‌سایت‌ها می‌توانند اطلاعات خود را بصورت رمزنگاری شده در اختیار کاربران قرار دهند، از این‌رو سایر افراد توانایی دسترسی و استفاده از داده‌های رد و بدل شده را که شامل نام‌های کاربری، رمز‌های عبور و کوکی‌ها است، ندارند.

OpenSSL یک پروژه‌ی متن باز است، یعنی این پروژه توسط مجموعه‌ای از افراد متخصص توسعه داده شده است که در قبال سرویس توسعه‌داده شده هزینه ای را دریافت نکرده‌اند. هدف این افراد کمک به توسعه‌ی وب و یاری جامعه‌ی اینترنت بوده است. نسخه‌‌ی ۱٫۰٫۱ پروژه‌ی OpenSSL در ۱۹ آپریل ۲۰۱۲ میلادی منتشر شده است. مشکل موجود ناشی از یک اشتباه برنامه‌نویسی در همین نسخه است که اجازه‌ی کپی برداری از اطلاعات موجود در حافظه‌ی وب سرور را به یک فرد یا نرم‌افزار مخرب بدون ثبت اثری از آن می‌دهد. این مشکل پس از اضافه شدن یک ویژگی جدید ایجاد شده که توسط برنامه‌نویسی آلمانی با نام دکتر رابین‌سِگِلمَن روی OpenSSL ‌اضافه شده است.

خونریزی قلبی یکی از ویژگی‌های داخلی OpenSSL را با نام Heartbeat یا ضربان قلب مورد استفاده قرار می‌دهد. زمانی که رایانه‌ی کاربر به یک وب‌سایت دسترسی پیدا می‌کند، وب‌سایت پاسخی را به مرورگر کاربر ارسال می‌کند تا رایانه‌ی کاربر را از فعالیت خود و همچنین قابلیت پاسخ‌گویی به درخواست‌های بعدی آگاه سازد، این رد و بدل شدن اطلاعات را ضربان قلب گویند. ارسال درخواست و پاسخ به آن با رد و بدل شدن داده‌ها همراه است. در حالت نرمال، زمانی که رایانه‌ی کاربر درخواستی را از سرور به عمل می‌آورد، ضربان قلب میزان داده‌ی مجاز درخواست شده از طرف کاربر را ارسال می‌کند، اما در مورد سرورهایی که این باگ را در ساختار خود دارند، یک هکر قادر است تا درخواستی را مبنی بر گرفتن داده‌ها از حافظه‌ی سرور ارسال کرده و داده‌ای را با حداکثر اندازه‌ی ۶۵,۵۳۶ بایت ردیافت کند.

براساس اطلاعات ارائه شده توسط CloudFlare، اطلاعات درخواست شده شاید دربردارنده‌ی اطلاعاتی از سایر بخش‌های OpenSSL ‌نیز باشد. اطلاعات موجود در حافظه کاملا از پلتفرم مستقل هستند. با اتصال رایانه‌های بیشتر به سرور اطلاعات موجود در حافظه‌ی از بین رفته و اطلاعات جدید جایگزین می‌شود، از این‌رو صدور درخواست‌های جدید توسط هکرها منجر به دریافت اطلاعات جدیدتری خواهد شد که شامل اطلاعات ورود، کوکی‌ها و داده‌هایی می‌شود که هکرها می‌توانند از آن‌ها بهره‌برداری نمایند.

چاره‌ی کار چیست؟

از آنجایی که این ویژگی کمی خاص است و در مورد تمامی ارتباطات ایجاد شده از آن استفاده نمی‌شود، میزان تاثیرگذاری آن کمتر از حدی است که در برآوردهای اولیه به آن اشاره شده است. در حقیقت، اولین پیش‌بینی‌ها حکایت از آسیب‌پذیری ۶۰ درصدی سرورهای اینترنتی در اثر وجود باگ خونریزی قلبی داشت، در حالی که Netcraft مدعی شده است که این میزان بسیار کمتر بوده و در حدود ۱۷٫۵ درصد از کل سرورهای اینترنتی را تشکیل داده است.

پس از کشف این باگ، دست‌اندرکاران سریعاً پچی را برای رفع این مشکل منتشر کردند که نسخه‌ی ۱٫۰٫۱٫g نام گرفته و مشکل موجود را کاملاً حل کرد. پیش از آن نیز در صورتی که کاربران در زمان نصب نرم‌افزار OpenSSL افزونه‌ی Heartbeat را نصب نکرده بودند، مشکلی از جانب این باگ آ‌ن‌ها را تهدید نمی‌کرد.

حال سوال اصلی در مورد نگرانی یک کاربر معمولی اینترنت مطرح است. آیا کاربران اینترنت باید از وجود چنین مشکلی نگران باشند؟ متاسفانه پاسخ این پرسش بلی است. کاربران باید با استفاده از سرویس‌هایی چون  Heartbleed Test،LastPass Heartbleed Checker یا Qualys SSL Labs Test وب‌سایت‌های حساسی را که به آن‌ها مراجعه می‌کنند چک کرده و در صورت وجود مشکل، رمز عبور خود را تغییر دهند. این کار باید برای تمامی وب‌سایت‌هایی که دربردارنده‌ی این باگ بوده و پس از کشف آن رفع ایراد شده‌اند، انجام شود. از جمله‌ی چنین سرویس‌هایی می‌توان به یاهو و گوگل اشاره کرد. اما بصورت کلی باید کاربران از قانون تغییر رمز عبور بصورت متوالی و در فاصله‌های زمانی تبعیت کنند.

اقدام برای تغییر رمز عبور یک پیشنهاد احتیاطی است، چراکه اگر هکری از وجود این باگ مطلع بوده و درصدد دستیابی به اطلاعات حساب کاربری شما بود، تا حال این اطلاعات را کسب کرده و به مقصود خود رسیده است. براساس برخی شایعات، احتمالا گواهی رمزگذاری برخی از سرورها نیز به سرقت رفته، اما CloudFlare امکان چنین مساله‌ای را بسیار پایین عنوان کرده و اعلام کرده است که درصد رخداد چنین موردی بسیار پایین است.

این موسسه‌ مسابقه‌ای را با این مضمون یعنی دستیابی به گواهی رمزگذاری سرور برگزار کرده بود که فردی موفق به انجام این کار شد. وی در فاصله‌ی ریبوت شدن سرور به گواهی مورد نظر دست یافت. فارغ از امکان به سرقت رفتن کلید رمزنگاری داده‌ها، کمپانی‌ها علاوه بر اعمال پچ مورد نظر، کلید رمزگذاری خود را نیز تغییر داده‌اند تا هکرها قادر به سرقت اطلاعات و دستیابی به اطلاعات رمزنگاری شده نباشند.

در صورتی که از سرنوشت اطلاعات خود نگران هستید، می‌توانید رمزهای عبور حساب‌های کاربری خود را تغییر دهید. یکی از اصلی‌ترین نکات برای انتخاب رمزعبور، عدم استفاده از الگویی مشابه برای تمامی حساب‌های کاربری است. همچنین باید در طول و کارکترهای مورد استفاده در رمزعبور نیز دقت کرده و از ترکیب حروف با اعداد استفاده نمود. ضمنا طول رمزعبور بهتر است بیش از ۱۰ کارکتر باشد.

حفره خطرناک هارت‌بلید

Heartbleed

Heartbleedبرای مقابله با حفره امنیتی خطرناک هارت‌بلید تغییر کلمه عبور کافی نیست چرا که به گفته کارشناسان امکان سرقت پسورد جدید هم وجود دارد.
فقط چند روز  از  ۸ آوریل ۲۰۱۴ یعنی زمانی که حفره امنیتی فراگیری با نام  Heartbleed توسط تیم امنیتی گوگل و شرکت امنیتی Codenomicon کشف شد، میگذرد؛ حفره ای که  در اثر یک اشتباه در کدنویسی OpenSSL ایجاد شده است.
هارت‌بلید یک حفره امنیتی موجود در میلیون‌ها وب‌سایت است که به هکرها اجازه دسترسی به اطلاعات رمزنگاری شده بین شما و سرور را می‌دهد. این یعنی اطلاعات موجود در آن سرورها قابل دزدیده شدن هستند.

ادامه مطلب

اعمال محدودیت در فعالیت‎های سایبری سازمان امنیت

سایبری1

سایبری1با دستور رییس جمهور آمریکا، از این پس محدودیت‎هایی برای فعالیت‎های سایبری سازمان امنیت ملی این کشور اعمال می‎شود.به گزارش ایران نت نیوز؛ در دستور باراک اوباما تاکید شده است که “از این پس فعالیت این سازمان تنها در مسیر مبارزه با تروریست و باندهای تبهکاری و حمایت از

ادامه مطلب