عوامل تهدید تحت حمایت دولت چین که توسط آژانس های امنیت سایبری غربی تحت عنوان APT40 ردیابی می شوند، به سرعت کار می کنند. آن‌ها به دنبال آسیب‌پذیری‌هایی هستند که قبلاً فاش نشده بودند، به سرعت اکسپلویت‌ها را می‌سازند و برای استقرار آنها در اسرع وقت عجله می‌کنند.

در برخی موارد، کل فرآیند، از کشف آسیب‌پذیری تا بهره‌برداری، تنها چند ساعت به طول انجامید.

این بر اساس یک توصیه امنیتی جدید است که به طور مشترک توسط آژانس های امنیت ملی استرالیا، ایالات متحده، کانادا، نیوزلند، ژاپن، کره جنوبی، بریتانیا و آلمان منتشر شده است.

هدف گیری دنده SOHO

دو سال پیش، مرکز امنیت سایبری استرالیا (ASCS) توسط یک شرکت محلی برای کمک به یک حمله سایبری فراخوانده شد. با اجازه قربانی، آژانس "حسگرهای مبتنی بر میزبان را برای میزبان های احتمالی آسیب دیده در شبکه سازمان مستقر کرد" تا عملیات مهاجم را ردیابی کند و فعالیت های آن را ترسیم کند.

این توصیه در نتیجه آن تجزیه و تحلیل آمده است و بیان می‌کند که APT40 «دارای قابلیت تغییر و تطبیق سریع اثبات مفهوم(های) سوءاستفاده (POC) آسیب‌پذیری‌های جدید و استفاده فوری از آن‌ها در برابر شبکه‌های هدفی است که زیرساخت‌های آن را دارند. آسیب پذیری مرتبط."

علاوه بر جستجوی نقص‌های جدید، این گروه همچنین اینترنت را برای آسیب‌پذیری‌های شناخته‌شده که اصلاح نشده‌اند اسکن می‌کند و به همین دلیل دروازه‌ای آسان به زیرساخت هدف ارائه می‌کند.

این آژانس‌ها گفتند: «این شناسایی منظم گروه را برای شناسایی دستگاه‌های آسیب‌پذیر، از بین رفته یا دیگر در شبکه‌های مورد علاقه شناسایی می‌کند و به سرعت اکسپلویت‌ها را مستقر می‌کند». آنها در حال تحلیل دستگاه‌هایی هستند که هنوز در برابر Log4shell، نقص‌های Atlassian Confluence و همچنین آسیب‌پذیری‌های شناخته شده Microsoft Exchange آسیب‌پذیر هستند.

محققان گفت ند: «APT40 روند جهانی استفاده از دستگاه‌های در معرض خطر، از جمله دستگاه‌های دفتر کوچک/دفتر خانگی (SOHO) را به‌عنوان زیرساخت عملیاتی و هدایت‌کننده‌های آخرین پرش برای عملیات خود در استرالیا پذیرفته است». بسیاری از این دستگاه‌های SOHO تمام شده یا بدون وصله هستند و یک هدف نرم برای بهره‌برداری در روز N ارائه می‌کنند.»

هدف قرار دادن دستگاه‌های SOHO یک شمشیر دولبه است، زیرا به آژانس‌های امنیتی نیز اجازه می‌دهد تا مهاجمان را ردیابی و تجزیه و تحلیل کنند و در نتیجه به ایجاد دفاع کمک کنند.

از طریق TheRegister

بیشتر از TechRadar Pro