القراصنة الإيرانيين يواصلون اختراقتهم لأمريكا بثغرة Log4Shell الشهيرة
في إعلان مشترك ، زعمت الأجهزة الأمنية الأمريكية أن متسللين إيرانيين تمكنوا من اختراق وكالة أمريكية.
زعمت قاعدة بيانات NextGov أن المتسللين الإيرانيين تمكنوا من استخدام ثغرة Log4Shell (والتي طلبت وكالة الأمن السيبراني وأمن البنية التحتية من الوكالات الأمريكية معالجتها بحلول نهاية عام 2021) لاختراق شبكة وكالة غير معروفة.
تمكن المتسللون الإيرانيون من استخدام ثغرة أمنية غير مسبوقة في شبكة وكالة فيدرالية لاختراق بيانات اعتماد المستخدم وتثبيت برامج تعدين العملات المشفرة ، وفقًا لإشعار الأمن السيبراني المشترك الصادر عن وكالة الأمن السيبراني وأمن البنية التحتية والشرطة الفيدرالية يوم الأربعاء.
وفقًا لادعاءات هاتين المؤسستين الأمنيتين ، تم اختراق “وكالة تنفيذية مدنية أمريكية لم تذكر اسمها” في فبراير 2022. لم تنسب هذه المؤسسات هجوم القراصنة هذا إلى أي مجموعة محددة باستثناء أنه يُزعم أن متسللين إيرانيين نفذوه ؛ وقال الإعلان إن المتسللين تمكنوا من استغلال ثغرة Log4Shell (عيب برمجي في Log4j ، مكتبة مفتوحة المصدر شهيرة) على خادم VMware Horizon .
قالت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) إنها علمت لأول مرة بالتطفل في أبريل عندما أجرت تحليلاً لشبكة الوكالة باستخدام EINSTEIN (نظام اكتشاف اختراق واسع النطاق) ووجدت أن حركة المرور في اتجاهين بين الشبكة و حدد عنوان IP ضارًا معروفًا مرتبطًا باستغلال ثغرة Log4Shell.
أضافت CISA أيضًا أنها أجرت عملية استجابة للحوادث في الوكالة من منتصف يونيو إلى منتصف يوليو 2022 ، عندما لاحظت نشاط تهديد مستمر متقدم مشتبه به.
وفقًا للبيان المشترك ، قام المتسللون بتثبيت برنامج تعدين العملة المشفرة XMRig على شبكة الوكالة وقاموا أيضًا بنشر وكيل Ngrok العكسي على العديد من المضيفين للحفاظ على الاستقرار. قام المتسللون أيضًا بتثبيت برنامج Mimikatz مفتوح المصدر لسرقة بيانات الاعتماد وإنشاء حساب إدارة المجال.
بعد أشهر فقط من إصدار CISA توجيهًا طارئًا في ديسمبر 2021 يطلب من الوكالات الفيدرالية تقييم شبكاتها لنقاط الضعف في Log4Shell ومعالجة الأنظمة فورًا .
