حمله سایبری گروه های وابسته به چین با سوءاستفاده از آسیب پذیری های روز صفر Ivanti علیه دولت فرانسه

در اواخر سال ۲۰۲۴، دولت فرانسه و چندین بخش مهم خصوصی از جمله مخابرات، امور مالی و حمل‌ونقل هدف حمله سایبری پیچیده‌ای توسط هکرهای تحت حمایت دولت چین قرار گرفتند. مهاجمان با بهره‌گیری از چندین آسیب‌پذیری روز صفر در دستگاه‌های Ivanti Cloud Services Appliance (CSA) موفق شدند به شبکه‌های حساس نفوذ کنند و به داده‌های ارزشمند دسترسی پیدا کنند؛ موضوعی که نگرانی‌های امنیت سایبری را در سراسر اروپا و جهان افزایش داد.

جزئیات سوء‌استفاده از آسیب‌پذیری‌های روز صفر آژانس ملی امنیت سامانه‌های اطلاعاتی فرانسه (ANSSI) به طور رسمی تأیید کرد که سه آسیب‌پذیری حیاتی در Ivanti CSA با شناسه‌های CVE-2024-8963، CVE-2024-9380 و CVE-2024-8190 در این حملات مورد استفاده قرار گرفته‌اند. در زمان وقوع رخدادها، این نقص‌ها وصله نشده بودند و بستر لازم را برای سرقت اطلاعات ورود، ایجاد پایداری بلندمدت مهاجمان بر روی سامانه‌ها و دور زدن شناسایی فراهم کردند.

پژوهشگران امنیت سایبری طی حمله، به‌کارگیری چندین روش پیشرفته را شناسایی کردند؛ از جمله اجرای وب‌شل‌های PHP پیشرفته، دستکاری اسکریپت‌های قانونی PHP برای افزودن امکان دسترسی از راه دور و نصب ماژول‌های مخرب کرنل (Kernel) در قالب روت‌کیت‌ها.

گروه Houken و روش‌های تهاجمی آن این حملات سازمان‌یافته به گروه مطرح Houken نسبت داده شده که پیش از این نیز در بهره‌برداری از آسیب‌پذیری‌های SAP NetWeaver و استفاده از درب‌های پشتی اختصاصی GoReShell نقش داشته است. کارشناسان اطلاعات تهدید اعلام کرده‌اند که الگوهای عملیاتی Houken شباهت زیادی با گروه UNC5174 دارد که تیم Mandiant گوگل آنها را ردیابی کرده است.

استراتژی Houken مبتنی بر ترکیب آسیب‌پذیری‌های روز صفر پیشرفته و مجموعه‌ای از ابزارهای متن باز عمدتاً توسعه یافته توسط برنامه‌نویسان چینی است. زیرساخت این گروه به طور غیرمتمرکز مدیریت می‌شود و آن‌ها برای پنهان‌سازی فعالیت و افزایش پایداری در برابر تعطیلی، از سرویس‌های VPN تجاری و سرورهای اختصاصی بهره می‌برند.

گستره جهانی و مخاطرات مداوم هرچند فعالیت پیشین Houken معطوف به بخش‌های دولتی و آموزشی در جنوب شرق آسیا، چین، هنگ‌کنگ و ماکائو بوده، اخیراً تمرکز این گروه در کشورهای غربی به حوزه‌های حساس مانند نهادهای دولتی، ارگان‌های دفاعی، دانشگاه‌ها، رسانه‌ها و اپراتورهای مخابرات معطوف شده است.

بررسی‌ها نشان می‌دهد این عملیات سایبری صرفاً توسط یک گروه انجام نشده و با همکاری چند گروه صورت گرفته است. به طوری که یک گروه متخصص دسترسی اولیه به شبکه‌ها بوده و سپس این دسترسی را به سایر مهاجمان علاقه‌مند به اطلاعات حساس یا داده‌های اختصاصی می‌فروشد؛ امری که نشانگر رونق بازار فروخت دسترسی اولیه (initial access brokerage) در جامعه مجرمان سایبری است.

پیامدهای امنیت سایبری و واکنش بازار حمله سایبری گسترده اخیر، اهمیت راهبردی مدیریت آسیب‌پذیری‌ها به صورت لحظه‌ای و ریسک‌های ناشی از وصله‌نشدن دستگاه‌های کلیدی مدیریت ابری در زیرساخت‌های حیاتی را آشکار می‌کند. سازمان‌هایی که از تجهیزات ابری Ivanti یا پلتفرم‌های مشابه مدیریت ابر استفاده می‌کنند، باید مدیریت پیشگیرانه وصله‌ها و پیاده‌سازی راهکارهای امنیتی چندلایه را در دستور کار قرار دهند تا تهدیدات سایبری فعلی و آتی را کاهش دهند.

علاوه بر این، این رخداد بر ضرورت همکاری جهانی در حوزه تبادل اطلاعات تهدید و پاسخگویی به حوادث، و همچنین تکامل مداوم بازارهای جرایم سایبری تأکید دارد.