بر اساس گزارشهای منتشر شده، مهاجمان چینی با بهرهبرداری از یک آسیب پذیری روز صفر در نسخه ویندوز VPN فورتینت و با استفاده از یک کیت ابزار با نام «DeepData»، قصد سرقت اطلاعات کاربران را دارند. این نقص روز صفر به مهاجمان اجازه میدهد دادهها را از حافظه حساب کاربری سرقت کنند.
با اینکه محققان امنیتی در تابستان گذشته وجود این آسیبپذیری را به شرکت فورتینت گزارش داده بودند، اما تا به امروز هیچ اصلاحیهای از سوی این شرکت برای رفع آن منتشر نشده است و فورتینت نیز این نقص را در فهرست آسیبپذیریهای خود به صورت رسمی ثبت نکرده است.
این حملات توسط گروهی از هکرهای چینی با نام مستعار «BrazenBamboo» انجام میشود. این گروه به دلیل سابقهی طولانی در توسعه و انتشار خانوادههای پیشرفتهی بدافزار که سیستمعاملهای ویندوز، مک و اندروید را هدف قرار میدهند، شهرت زیادی در دنیای سایبری پیدا کردهاند.
طبق گفتههای محققان امنیتی، این گروه از بدافزارهای مختلفی از جمله LightSpy و DeepPost در حملات خود استفاده میکنند.
بدافزار LightSpy یک نرم افزار جاسوسی چند پلتفرمی است که برای جمعآوری دادهها از جمله اطلاعات تایپشده از طریق صفحه کلید (کیلاگینگ)، سرقت اطلاعات ذخیره شده در مرورگرها و نظارت بر ارتباطات کاربران به کار میرود. بدافزار DeepPost نیز برای سرقت دادهها از دستگاههای آلوده استفاده میشود.
علاوه بر این، ابزار نفوذ DeepData در آخرین نسخهی خود، دارای یک افزونهی مخصوص FortiClient است که از یک آسیبپذیری روز صفر در VPNهای Fortinet برای استخراج اطلاعات ورود به حسابهای کاربری (شامل نام کاربری و رمز عبور) و همچنین اطلاعات مربوط به سرور VPN استفاده میکند.
گروه BrazenBamboo با نفوذ به حسابهای VPN میتواند به شبکههای شرکتی، دسترسی اولیه پیدا کند و سپس با گسترش خود در شبکه، به سیستمهای حساستر نفوذ کرده و در نهایت، کمپینهای جاسوسی خود را افزایش دهد.
پیشنهاد میشود تا زمان تایید و انتشار اصلاحیه رسمی توسط شرکت فورتینت، دسترسی VPN را محدود کرده و سیستم خود را با هدف شناسایی فعالیتهای غیرمعمول، مورد بررسی قرار دهید.
توضیحات بیشتر:
- Chinese hackers exploit Fortinet VPN zero-day to steal credentials