یه خبر جالبِ امنیت سایبری اومده که گفتم باید حتماً باهاتون درمیون بذارم! یه گروه هکری که اسمشون UNC6148ـه (اینو معمولاً شرکتهای امنیتی واسه پیگیری یه گروه خاص انتخاب میکنن و خودشون نمیان این اسمارو بذارن 😅)، یه حرکت عجیب روی نرمافزار SonicWall Secure Mobile Access انجام دادن.
سونیکوال یعنی چی؟ اگه اسمشو نشنیدی، SonicWall یکی از شرکتهایی هست که محصولات امنیت شبکه میسازه، مثلاً فایروال (یه دیوار مجازی برای جلوگیری از ورود بدافزارها) و دستگاههایی که کاربرها بتونن از راه دور به شبکه شرکت وصل بشن. همین Secure Mobile Access یا به اختصار «SMA» هم یکی از محصولات معروفشونه که برای دسترسی امن به شبکه شرکت استفاده میشه.
حالا این هکرها اومدن یه باگ یا ضعف امنیتی (که بهش میگن Vulnerability) تو این دستگاه پیدا کردن که قبلاً براش پچ یا اصلاحیه داده بودن (یعنی رفعش کرده بودن). اما نکته اینجاست که حتی روی دستگاههایی که عمرشون تموم شده (بهشون میگن End-of-Life، یعنی دیگه آپدیت امنیتی نمیگیرن)، این گروه بازم تونسته حمله کنه! 😮
این UNC6148 دنبال پول بودن و با دزدیدن اعتبارنامهها و رمزهای عبور (Credential یعنی همون اسمکاربری و رمز عبور)، و حتی OTP Seed (یعنی کُدی که برای رمز یکبار مصرف استفاده میشه)، باز دوباره تونستن وارد سیستم بشن، حتی بعد اینکه خود شرکتها امنیتشونو آپدیت کردن! این حالت بهش میگن Re-access یا بازگشت به سیستم – یعنی راه کار دفاعی هنوز کافی نبوده.
بعد، این گروه یه بدافزار عجیب و باحال نوشتن به اسم OVERSTEP. حالا OVERSTEP چی کار میکنه؟ این در واقع یه نوع “Backdoor” مونده تو دستگاه که یعنی راه مخفی برای دسترسی داشتن به سیستم، حتی اگه رمز عوض بشه یا آپدیت بکنی؛ تازه OVERSTEP یه نوع Rootkit هم هست – یعنی خودش رو ته سیستم مخفی میکنه تا کسی راحت پیداش نکنه و تا سیستم بالا میاد خودش رو لود میکنه و این کد مخفی حتی میتونه اطلاعات حساس و پسوردها رو بدزده و بعد رد پاهاشو پاک کنه! 😵
گروه امنیتی گوگل (Google’s Threat Intelligence Group یا GTIG – یعنی همون بخش مخصوص شناسایی تهدیدهای سایبری شرکت گوگل) با اعتماد بالا گفته این حملات از اکتبر 2024 انجام میشده و هدف نهایی ممکنه سرقت داده، اخاذی (extortion) و حتی پخش باجافزار (ransomware) بوده باشه. برای مثال، یکی از سازمانهایی که توی ماه می 2025 هدف قرار گرفتن، اطلاعاتشون فقط ی ماه بعد تو سایت World Leaks لو رفته! World Leaks هم از همین سایتهای دیتالییشه (Data Leak Site – یعنی سایتهایی که اطلاعات دزدیدهشده رو افشا میکنن). این نشون میده که UNC6148 احتمالاً باجافزار معروف Abyss (با برند VSOCIETY) رو هم قبلاً پخش کرده بودن، چون همین گروهها با موارد قبلی SonicWall هم ارتباط داشتن.
روند این حملات از اواخر 2023 و اوایل 2024 بیشتر شده بوده و بارها گفته بودن که باید سریع آپدیتها یا همون Patchها رو نصب کرد. Patch دقیقاً یعنی همون اصلاحیه یا آپدیتی که میاد تا یه حفرهی امنیتی رو برطرف کنه. هرچی سیستم رو قدیمیتر نگه داری یا آپدیت نکنی، راحتتر هکرها میتونن حمله کنن! حتی اگه دستگاهات قدیمی باشه و تحت پشتیبانی نباشه (End-of-Life)، دیگه هیچ راهی برای برطرف کردن باگها وجود نداره و این خیلی خطرناکه.
نکته مهم! این جور اتفاقا یادمون میندازه که مدیریت درست Patch و آپدیتها خیلی مهمه. مثلاً اگه حس میکنی این کار زیاده یا مدیریت کردنش سخته، کلی نرمافزار مدیریت Patch هست که میتونه برات این قضیه رو آسون کنه و خودش بهت خبر بده یا حتی اتوماتیک سیستم رو آپدیت کنه. (Patch Management Tools یعنی نرمافزارهایی برای مدیریت و نصب اصلاحیهها روی کلی سیستم یا نرمافزار، که بشدت کار رو سریعتر و امنتر میکنه.)
در آخر، اگه پیگیر امنیت سایبری هستی، پیشنهاد میکنم:
- یه نگاهی به بدافزار Pegasus بندازی، هنوزم مدیرای بزرگ رو هدف قرار میده.
- از اپهای پیامرسان رمزگذاری شده استفاده کنی (Encrypted Messaging App یعنی پیامرسانی که محتوای پیام رو رمزنگاری میکنه تا فقط فرستنده و گیرنده بتونن بخوننش).
- همیشه یه نرمافزار پاکسازی بدافزار خوب نصب داشته باشی که اگه چیزی وارد سیستمت شد، سریع بتونی پاکش کنی.
خلاصه حرف آخر اینه که: حتی اگه مسئول IT هم نیستی، همیشه یادت باشه که آپدیت نکردن سیستم، راه دشمن رو باز میکنه! مخصوصاً وقتی با اطلاعات حساس سر و کار داری یا سیستم شرکت رو داری مدیریت میکنی. هکرها هر روز دارن راههای خلاقانهتری پیدا میکنن، و ما هم باید همیشه یه قدم جلوتر باشیم!
منبع: +
