سوءاستفاده هکرهای چینی از نقص امنیتی Fortinet VPN

۳۰ آبان ۱۴۰۳

بر اساس گزارش‌های منتشر شده، مهاجمان چینی با بهره‌برداری از یک آسیب پذیری روز صفر در نسخه ویندوز VPN فورتینت و با استفاده از یک کیت ابزار با نام «DeepData»، قصد سرقت اطلاعات کاربران را دارند. این نقص روز صفر به مهاجمان اجازه می‌دهد داده‌ها را از حافظه حساب کاربری سرقت کنند.

با اینکه محققان امنیتی در تابستان گذشته وجود این آسیب‌پذیری را به شرکت فورتینت گزارش داده بودند، اما تا به امروز هیچ اصلاحیه‌ای از سوی این شرکت برای رفع آن منتشر نشده است و فورتینت نیز این نقص را در فهرست آسیب‌پذیری‌های خود به صورت رسمی ثبت نکرده است.

این حملات توسط گروهی از هکرهای چینی با نام مستعار «BrazenBamboo» انجام می‌شود. این گروه به دلیل سابقه‌ی طولانی در توسعه و انتشار خانواده‌های پیشرفته‌ی بدافزار که سیستم‌عامل‌های ویندوز، مک و اندروید را هدف قرار می‌دهند، شهرت زیادی در دنیای سایبری پیدا کرده‌اند.

طبق گفته‌های محققان امنیتی، این گروه از بدافزارهای مختلفی از جمله LightSpy و DeepPost در حملات خود استفاده می‌کنند.

بدافزار LightSpy یک نرم افزار جاسوسی چند پلتفرمی است که برای جمع‌آوری داده‌ها از جمله اطلاعات تایپ‌شده از طریق صفحه کلید (کی‌لاگینگ)، سرقت اطلاعات ذخیره شده در مرورگرها و نظارت بر ارتباطات کاربران به کار می‌رود. بدافزار DeepPost نیز برای سرقت داده‌ها از دستگاه‌های آلوده استفاده می‌شود.

علاوه بر این، ابزار نفوذ DeepData در آخرین نسخه‌ی خود، دارای یک افزونه‌ی مخصوص FortiClient است که از یک آسیب‌پذیری روز صفر در VPNهای Fortinet برای استخراج اطلاعات ورود به حساب‌های کاربری (شامل نام کاربری و رمز عبور) و همچنین اطلاعات مربوط به سرور VPN استفاده می‌کند.

گروه BrazenBamboo با نفوذ به حساب‌های VPN می‌تواند به شبکه‌های شرکتی، دسترسی اولیه پیدا کند و سپس با گسترش خود در شبکه، به سیستم‌های حساس‌تر نفوذ کرده و در نهایت، کمپین‌های جاسوسی خود را افزایش دهد.

پیشنهاد می‌شود تا زمان تایید و انتشار اصلاحیه رسمی توسط شرکت فورتینت، دسترسی VPN را محدود کرده و سیستم خود را با هدف شناسایی فعالیت‌های غیرمعمول، مورد بررسی قرار دهید.

 

توضیحات بیشتر:

Chinese hackers exploit Fortinet VPN zero-day to steal credentials