پونمون: حملات سایبری منجر به افزایش مرگ و میر در بیمارستان ها می شود
حملات سایبری به مراکز پزشکی یک اتفاق تقریباً ثابت در ایالات متحده است.
حملات سایبری به مراکز پزشکی، که تقریباً به طور مداوم در ایالات متحده رخ می دهد، اغلب منجر به افزایش نرخ مرگ و میر بیماران می شود.
این مطالعه که توسط مؤسسه پونمون، یک اندیشکده مستقر در واشنگتن دی سی انجام شد، با بیش از 600 متخصص فناوری اطلاعات از بیش از 100 موسسه مراقبت های بهداشتی مصاحبه کرد. نتایج این مطالعه ملموسترین شواهد تا به امروز را ارائه میکند که نشان میدهد هک مداوم مراکز پزشکی ایالات متحده منجر به بدتر شدن کیفیت مراقبت از بیماران و افزایش احتمال مرگ آنها میشود.
دو سوم از پاسخ دهندگانی که حملات باج افزار را تجربه کردند ، گفتند که چنین حملاتی مراقبت از بیمار را مختل می کند. 59 درصد از افراد مورد بررسی افزایش طول مدت اقامت بیماران در بیمارستان را گزارش کردند که منجر به اضافه بار منابع شد. نزدیک به یک چهارم گفتند که این حملات منجر به افزایش تلفات در تاسیسات آنها شده است.
در یک حمله باج افزار، هکرها به شبکه های کامپیوتری یک سازمان دسترسی پیدا می کنند، آنها را مسدود می کنند و درخواست پرداخت می کنند. در سال های اخیر، چنین هک هایی به یک فاجعه واقعی برای صنعت مراقبت های بهداشتی تبدیل شده اند. بیمارستان ها همیشه مواردی را که قربانی شده اند گزارش نمی کنند. با این حال، از سال 2018، تعداد حملات مستند از سال 2018 هر سال افزایش یافته است و بر اساس مطالعه Recorded Future، در سال گذشته به 297 حمله رسیده است.
برت کالو، تحلیلگر امسی سافت گفت که در سال جاری حداقل 12 حمله باج افزار به سازمان های مراقبت های بهداشتی در ایالات متحده صورت گرفته است. کالو افزود، اما از آنجایی که برخی از مراکز پزشکی شعبه های متعددی دارند، 56 مرکز مختلف مورد حمله قرار گرفته اند .
طبق یک مطالعه Ponemon، طی سه سال گذشته، بیش از نیمی از سازمانهای مراقبتهای بهداشتی در این نظرسنجی در سه سال گذشته به بدافزار آلوده شدهاند.
امکانات مراقبتهای بهداشتی از زنجیرههای بیمارستانی غولپیکر گرفته تا کلینیکهای خصوصی کوچک با تعداد کمی کارمند و متخصصان فناوری اطلاعات یا امنیت سایبری بسیار کم است. شبکههای بیمارستانی بزرگ ممکن است متخصصان امنیت اطلاعات واجد شرایط بیشتری داشته باشند، اما چنین بیمارستانهایی نیز اهداف بزرگتری هستند. یک حمله می تواند مراقبت از بیمار را در صدها بیمارستان در سراسر کشور کند کند، همانطور که در حمله سال 2020 به خدمات بهداشت جهانی اتفاق افتاد.
جاش کورمان، معاون شرکت امنیت سایبری کلاروتی، گفت: اما مدتهاست که مشخص شده است که حملات سایبری مداوم به بیمارستانها عوارضی را بر بیماران وارد میکند.
کورمان گفت: «ما می دانیم که تأخیر کمک ها بر میزان مرگ و میر تأثیر می گذارد و می دانیم که حملات سایبری باعث تأخیر می شود.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
حملات سایبری به مراکز پزشکی یک اتفاق تقریباً ثابت در ایالات متحده است.
حملات سایبری به مراکز پزشکی، که تقریباً به طور مداوم در ایالات متحده رخ می دهد، اغلب منجر به افزایش نرخ مرگ و میر بیماران می شود.
این مطالعه که توسط مؤسسه پونمون، یک اندیشکده مستقر در واشنگتن دی سی انجام شد، با بیش از 600 متخصص فناوری اطلاعات از بیش از 100 موسسه مراقبت های بهداشتی مصاحبه کرد. نتایج این مطالعه ملموسترین شواهد تا به امروز را ارائه میکند که نشان میدهد هک مداوم مراکز پزشکی ایالات متحده منجر به بدتر شدن کیفیت مراقبت از بیماران و افزایش احتمال مرگ آنها میشود.
دو سوم از پاسخ دهندگانی که حملات باج افزار را تجربه کردند ، گفتند که چنین حملاتی مراقبت از بیمار را مختل می کند. 59 درصد از افراد مورد بررسی افزایش طول مدت اقامت بیماران در بیمارستان را گزارش کردند که منجر به اضافه بار منابع شد. نزدیک به یک چهارم گفتند که این حملات منجر به افزایش تلفات در تاسیسات آنها شده است.
در یک حمله باج افزار، هکرها به شبکه های کامپیوتری یک سازمان دسترسی پیدا می کنند، آنها را مسدود می کنند و درخواست پرداخت می کنند. در سال های اخیر، چنین هک هایی به یک فاجعه واقعی برای صنعت مراقبت های بهداشتی تبدیل شده اند. بیمارستان ها همیشه مواردی را که قربانی شده اند گزارش نمی کنند. با این حال، از سال 2018، تعداد حملات مستند از سال 2018 هر سال افزایش یافته است و بر اساس مطالعه Recorded Future، در سال گذشته به 297 حمله رسیده است.
برت کالو، تحلیلگر امسی سافت گفت که در سال جاری حداقل 12 حمله باج افزار به سازمان های مراقبت های بهداشتی در ایالات متحده صورت گرفته است. کالو افزود، اما از آنجایی که برخی از مراکز پزشکی شعبه های متعددی دارند، 56 مرکز مختلف مورد حمله قرار گرفته اند .
طبق یک مطالعه Ponemon، طی سه سال گذشته، بیش از نیمی از سازمانهای مراقبتهای بهداشتی در این نظرسنجی در سه سال گذشته به بدافزار آلوده شدهاند.
امکانات مراقبتهای بهداشتی از زنجیرههای بیمارستانی غولپیکر گرفته تا کلینیکهای خصوصی کوچک با تعداد کمی کارمند و متخصصان فناوری اطلاعات یا امنیت سایبری بسیار کم است. شبکههای بیمارستانی بزرگ ممکن است متخصصان امنیت اطلاعات واجد شرایط بیشتری داشته باشند، اما چنین بیمارستانهایی نیز اهداف بزرگتری هستند. یک حمله می تواند مراقبت از بیمار را در صدها بیمارستان در سراسر کشور کند کند، همانطور که در حمله سال 2020 به خدمات بهداشت جهانی اتفاق افتاد.
جاش کورمان، معاون شرکت امنیت سایبری کلاروتی، گفت: اما مدتهاست که مشخص شده است که حملات سایبری مداوم به بیمارستانها عوارضی را بر بیماران وارد میکند.
کورمان گفت: «ما می دانیم که تأخیر کمک ها بر میزان مرگ و میر تأثیر می گذارد و می دانیم که حملات سایبری باعث تأخیر می شود.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
محققان تیم 82 Claroty آسیبپذیریهای مهمی را در محصولات اتوماسیون نیروگاه صنعتی MZ Automation کشف کردهاند که برخی از آنها دارای امتیاز CVSS V3 10 از 10 هستند.
این کتابخانه کد منبع libIEC61850 است که به شما امکان می دهد پروتکل های IEC 61850 (MMS، GOOSE، Sampled Values) را در دستگاه ها و برنامه ها پیاده سازی کنید. کتابخانه هسته به زبان C نوشته شده است (سازگار با C99 برای حداکثر قابلیت حمل).
این آسیبپذیری حیاتی که بهعنوان CVE-2022-2970 (CVSS V3:10) ردیابی میشود، مربوط به سرریز بافر مبتنی بر پشته است. محصول قبل از استفاده از memcpy ورودی را پاک نمی کند، که می تواند به مهاجم اجازه دهد یک دستگاه را غیرفعال کند یا کد دلخواه را از راه دور اجرا کند.
یک CVE-2022-2972 دیگر با ارزیابی مشابه و ماهیت مشکل می تواند به مهاجم اجازه دهد یک دستگاه را غیرفعال کند یا کد دلخواه را از راه دور اجرا کند.
دو باگ دیگر دارای امتیاز بالای CVSS V3 8.6 هستند.
در عین حال، یکی از CVE-2022-2971 به دلیل دسترسی به منبع با استفاده از نوع ناسازگار است و دیگری CVE-2022-2973 به دلیل استفاده از یک اشاره گر تهی در شرایط خاص است که در هر دو موقعیت می تواند اجازه دهد. یک مهاجم برای غیرفعال کردن سرور، از جمله با یک بار مخرب.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
این کتابخانه کد منبع libIEC61850 است که به شما امکان می دهد پروتکل های IEC 61850 (MMS، GOOSE، Sampled Values) را در دستگاه ها و برنامه ها پیاده سازی کنید. کتابخانه هسته به زبان C نوشته شده است (سازگار با C99 برای حداکثر قابلیت حمل).
این آسیبپذیری حیاتی که بهعنوان CVE-2022-2970 (CVSS V3:10) ردیابی میشود، مربوط به سرریز بافر مبتنی بر پشته است. محصول قبل از استفاده از memcpy ورودی را پاک نمی کند، که می تواند به مهاجم اجازه دهد یک دستگاه را غیرفعال کند یا کد دلخواه را از راه دور اجرا کند.
یک CVE-2022-2972 دیگر با ارزیابی مشابه و ماهیت مشکل می تواند به مهاجم اجازه دهد یک دستگاه را غیرفعال کند یا کد دلخواه را از راه دور اجرا کند.
دو باگ دیگر دارای امتیاز بالای CVSS V3 8.6 هستند.
در عین حال، یکی از CVE-2022-2971 به دلیل دسترسی به منبع با استفاده از نوع ناسازگار است و دیگری CVE-2022-2973 به دلیل استفاده از یک اشاره گر تهی در شرایط خاص است که در هر دو موقعیت می تواند اجازه دهد. یک مهاجم برای غیرفعال کردن سرور، از جمله با یک بار مخرب.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
متخصصان آزمایشگاه کسپرسکی گزارشی را ارائه کرده اند که منعکس کننده چشم انداز تهدید برای سیستم های اتوماسیون صنعتی برای نیمه اول سال 2022 است.
به گفته محققان، طی شش ماه گذشته، اشیاء مخرب بر روی 31.8 درصد از کامپیوترهای ICS در جهان مسدود شده اند.
بیشتر این اشیاء در آفریقا مسدود شده اند - 41.5٪، روسیه 30.2٪، در حالی که ایالات متحده و کانادا 18.1٪، و حداقل رقم 12.8٪ - در شمال اروپا به اشتراک گذاشته شده است.
اتوماسیون ساختمان در رتبهبندی صنایع منتخب از نظر درصد رایانههای ICS که اشیای مخرب روی آنها مسدود شدهاند (42.2 درصد) رتبه اول را دارد و پس از آن «نفت و گاز» (39.6 درصد) قرار دارد. شاخص های صنایع "مهندسی و یکپارچه سازهای سیستم های کنترل خودکار"، "انرژی" و "تولید" با یک دهم درصد تفاوت دارند.
از جمله منابع اصلی تهدید در زیرساخت های فناوری سازمان ها می توان به اینترنت (16.5%)، رسانه های قابل جابجایی (3.5%) و ایمیل (7.0%) اشاره کرد.
در نیمه اول سال 2022، بیش از 102000 اصلاح بدافزار از 7219 خانواده مختلف توسط راه حل های امنیتی آزمایشگاه در سیستم های اتوماسیون صنعتی مسدود شد.
در همان زمان، درصد رایانههای ICS که در آنها موارد زیر مسدود شدهاند، به میزان قابلتوجهی افزایش یافت: اسکریپتهای مخرب و صفحات فیشینگ (JS و HTML) - به میزان 3.5 p.p. اسناد مخرب - توسط 3.0 p.p. و نرم افزارهای جاسوسی - تروجان ها، درهای پشتی و کی لاگرها - با 0.5 p.p.
درصد رایانههای ICS که نرمافزارهای جاسوسی روی آنها مسدود شدهاند از سال 2020 در حال افزایش است، و درست همانطور که تعداد بدافزارهای استخراج رمزارز پنهان در شش ماه گذشته افزایش یافته است: استخراجکنندههای وب در مرورگرها با 0.4 p.p. و ماینرها - فایل های اجرایی برای OC Windows - توسط 0.2 p.p.
از سوی دیگر، سهم رایانههای ICS که روی آنها ویروسها و کرمها مسدود شدهاند همچنان کاهش مییابد که نشاندهنده کار سیستماتیک برای استقرار راهحلهای امنیتی در OTها است.
دوره مطالعه بالاترین درصد (0.65٪) کامپیوترهای ICS را نشان داد که باج افزار روی آنها مسدود شده بود.
رتبه بندی مناطق توسط باج افزار توسط آسیای شرقی (0.95٪) پیشتاز بود. تعداد کامپیوترهای ICS مورد حمله باج افزار در 9 منطقه جهان، به ویژه در خاورمیانه و آمریکای لاتین (تقریباً 2.5 برابر) افزایش یافته است. در همان زمان، بیشتر حملات متوجه سیستمهای اتوماسیون ساختمان بود.
نتایج تجزیه و تحلیل داده های آماری به لطف شبکه ضد ویروس توزیع شده Kaspersky Security Network (KSN) به دست آمد که نه تنها به ارزیابی تهدیدها کمک می کند، بلکه در شناسایی تهدیدهای جدید از جمله حملات هدفمند و APT ها نیز کمک می کند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
به گفته محققان، طی شش ماه گذشته، اشیاء مخرب بر روی 31.8 درصد از کامپیوترهای ICS در جهان مسدود شده اند.
بیشتر این اشیاء در آفریقا مسدود شده اند - 41.5٪، روسیه 30.2٪، در حالی که ایالات متحده و کانادا 18.1٪، و حداقل رقم 12.8٪ - در شمال اروپا به اشتراک گذاشته شده است.
اتوماسیون ساختمان در رتبهبندی صنایع منتخب از نظر درصد رایانههای ICS که اشیای مخرب روی آنها مسدود شدهاند (42.2 درصد) رتبه اول را دارد و پس از آن «نفت و گاز» (39.6 درصد) قرار دارد. شاخص های صنایع "مهندسی و یکپارچه سازهای سیستم های کنترل خودکار"، "انرژی" و "تولید" با یک دهم درصد تفاوت دارند.
از جمله منابع اصلی تهدید در زیرساخت های فناوری سازمان ها می توان به اینترنت (16.5%)، رسانه های قابل جابجایی (3.5%) و ایمیل (7.0%) اشاره کرد.
در نیمه اول سال 2022، بیش از 102000 اصلاح بدافزار از 7219 خانواده مختلف توسط راه حل های امنیتی آزمایشگاه در سیستم های اتوماسیون صنعتی مسدود شد.
در همان زمان، درصد رایانههای ICS که در آنها موارد زیر مسدود شدهاند، به میزان قابلتوجهی افزایش یافت: اسکریپتهای مخرب و صفحات فیشینگ (JS و HTML) - به میزان 3.5 p.p. اسناد مخرب - توسط 3.0 p.p. و نرم افزارهای جاسوسی - تروجان ها، درهای پشتی و کی لاگرها - با 0.5 p.p.
درصد رایانههای ICS که نرمافزارهای جاسوسی روی آنها مسدود شدهاند از سال 2020 در حال افزایش است، و درست همانطور که تعداد بدافزارهای استخراج رمزارز پنهان در شش ماه گذشته افزایش یافته است: استخراجکنندههای وب در مرورگرها با 0.4 p.p. و ماینرها - فایل های اجرایی برای OC Windows - توسط 0.2 p.p.
از سوی دیگر، سهم رایانههای ICS که روی آنها ویروسها و کرمها مسدود شدهاند همچنان کاهش مییابد که نشاندهنده کار سیستماتیک برای استقرار راهحلهای امنیتی در OTها است.
دوره مطالعه بالاترین درصد (0.65٪) کامپیوترهای ICS را نشان داد که باج افزار روی آنها مسدود شده بود.
رتبه بندی مناطق توسط باج افزار توسط آسیای شرقی (0.95٪) پیشتاز بود. تعداد کامپیوترهای ICS مورد حمله باج افزار در 9 منطقه جهان، به ویژه در خاورمیانه و آمریکای لاتین (تقریباً 2.5 برابر) افزایش یافته است. در همان زمان، بیشتر حملات متوجه سیستمهای اتوماسیون ساختمان بود.
نتایج تجزیه و تحلیل داده های آماری به لطف شبکه ضد ویروس توزیع شده Kaspersky Security Network (KSN) به دست آمد که نه تنها به ارزیابی تهدیدها کمک می کند، بلکه در شناسایی تهدیدهای جدید از جمله حملات هدفمند و APT ها نیز کمک می کند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
بدافزار جدید لینوکس مخفیکاری غیرمعمول را با مجموعه کاملی از قابلیت ها ترکیب می کند که به طور بالقوه سرورها و اینترنت اشیا را هدف قرار می دهد.
محققان AT&T Alien Labs در این هفته از نوع جدیدی از بدافزار لینوکس رونمایی کردند که به دلیل پنهان کاری و پیچیدگی آن در آلوده کردن سرورهای سنتی و دستگاه های کوچکتر اینترنت اشیا قابل توجه است.
ادامه مطلب:
https://t.me/linux_news/678
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
محققان AT&T Alien Labs در این هفته از نوع جدیدی از بدافزار لینوکس رونمایی کردند که به دلیل پنهان کاری و پیچیدگی آن در آلوده کردن سرورهای سنتی و دستگاه های کوچکتر اینترنت اشیا قابل توجه است.
ادامه مطلب:
https://t.me/linux_news/678
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Linux news
New Linux malware combines unusual stealth with a full suite of capabilities potentially Targeting servers and IoT
AT&T Alien Labs Researchers this week unveiled a new strain of Linux malware that's notable for its stealth and sophistication in infecting…
AT&T Alien Labs Researchers this week unveiled a new strain of Linux malware that's notable for its stealth and sophistication in infecting…
کارشناسان امنیت سایبری هشدار می دهند که جهان به سمت یک طوفان جنایت سایبری "کامل" پیش می رود
کارشناسان امنیت سایبری میگویند که ترکیبی از تنشهای ژئوپلیتیک فزاینده، رکود اقتصادی در آینده و فشار برای دیجیتالی کردن فرآیندهای تجاری، یک "طوفان عالی" برای هکرها ایجاد کرده است.
مایک مدیسون، مدیر اجرایی NCC گفت: دستور کار دیجیتالی کردن در پشت همهگیری جهانی فرصتهای جدیدی را برای هکرها ایجاد کرده است تا راههای جدیدی برای نفوذ و استفاده از شرکتها باز کنند.
فشار برای دیجیتالی کردن فرآیندهای تجاری در حالی صورت می گیرد که درگیری روسیه و اوکراین و بدتر شدن روابط با چین نیز منجر به افزایش حملات سایبری از سوی گروه های هکری تحت حمایت دولت شده است.
به نوبه خود، رکود جهانی در حال پیشروی نیز تهدیدی برای ایجاد انگیزه های قوی تر برای مجرمان سایبری است، زیرا افراد باهوش رایانه به طور فزاینده ای به سمت جرم روی می آورند.
یک کارشناس امنیت سایبری گفت که از زمان حمله روسیه به اوکراین در فوریه، حملات سایبری افزایش یافته است.
او گفت که افزایش حملات سایبری همچنین نتیجه افزایش تعداد افراد ماهر سایبری است که در میان گسترش گسترده ابزارهای هک بسیار کارآمد وارد تجارت میشوند.
وی گفت هکرهای کره شمالی نقش ویژه ای در راه اندازی حملات سایبری علیه بازیگران اصلی در بخش مالی جهانی ایفا کرده اند.
او گفت هکرهای روسی و چینی تمایل بیشتری به تمرکز بر شرکتها و شرکتهای زیرساختی دارند که داراییهای کلیدی با اهمیت نظامی هستند.
مدیسون خاطرنشان کرد که غالباً بین هکرهای تحت حمایت دولت و مجرمان سایبری مستقلی که یا توسط دولت استخدام میشوند یا صرفاً به میل خود حملاتی را علیه دشمنان ایالتهای خود انجام میدهند، تفاوت قابل توجهی وجود ندارد.
وی خاطرنشان کرد که کشورهای متخاصم مایلند از کسانی که رقبای ژئوپلیتیکی آنها را هک می کنند چشم بپوشند.
رایان کالمبر، معاون اجرایی شرکت امنیت سایبری Proofpoint، گفت که "مجرمان سایبری فرصت طلب" از نوسانات سیاسی و اقتصادی سوء استفاده می کنند، زیرا او اشاره کرد که حملات در پشت جنگ در اوکراین افزایش یافته است.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
کارشناسان امنیت سایبری میگویند که ترکیبی از تنشهای ژئوپلیتیک فزاینده، رکود اقتصادی در آینده و فشار برای دیجیتالی کردن فرآیندهای تجاری، یک "طوفان عالی" برای هکرها ایجاد کرده است.
مایک مدیسون، مدیر اجرایی NCC گفت: دستور کار دیجیتالی کردن در پشت همهگیری جهانی فرصتهای جدیدی را برای هکرها ایجاد کرده است تا راههای جدیدی برای نفوذ و استفاده از شرکتها باز کنند.
فشار برای دیجیتالی کردن فرآیندهای تجاری در حالی صورت می گیرد که درگیری روسیه و اوکراین و بدتر شدن روابط با چین نیز منجر به افزایش حملات سایبری از سوی گروه های هکری تحت حمایت دولت شده است.
به نوبه خود، رکود جهانی در حال پیشروی نیز تهدیدی برای ایجاد انگیزه های قوی تر برای مجرمان سایبری است، زیرا افراد باهوش رایانه به طور فزاینده ای به سمت جرم روی می آورند.
یک کارشناس امنیت سایبری گفت که از زمان حمله روسیه به اوکراین در فوریه، حملات سایبری افزایش یافته است.
او گفت که افزایش حملات سایبری همچنین نتیجه افزایش تعداد افراد ماهر سایبری است که در میان گسترش گسترده ابزارهای هک بسیار کارآمد وارد تجارت میشوند.
وی گفت هکرهای کره شمالی نقش ویژه ای در راه اندازی حملات سایبری علیه بازیگران اصلی در بخش مالی جهانی ایفا کرده اند.
او گفت هکرهای روسی و چینی تمایل بیشتری به تمرکز بر شرکتها و شرکتهای زیرساختی دارند که داراییهای کلیدی با اهمیت نظامی هستند.
مدیسون خاطرنشان کرد که غالباً بین هکرهای تحت حمایت دولت و مجرمان سایبری مستقلی که یا توسط دولت استخدام میشوند یا صرفاً به میل خود حملاتی را علیه دشمنان ایالتهای خود انجام میدهند، تفاوت قابل توجهی وجود ندارد.
وی خاطرنشان کرد که کشورهای متخاصم مایلند از کسانی که رقبای ژئوپلیتیکی آنها را هک می کنند چشم بپوشند.
رایان کالمبر، معاون اجرایی شرکت امنیت سایبری Proofpoint، گفت که "مجرمان سایبری فرصت طلب" از نوسانات سیاسی و اقتصادی سوء استفاده می کنند، زیرا او اشاره کرد که حملات در پشت جنگ در اوکراین افزایش یافته است.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
گروه هک طرفدار فلسطین، PLCهای Berghof در اسرائیل را به خطر انداخت
بررسی اجمالی: PLC های Berghof در معرض خطر هستند
در 4 سپتامبر 2022، یک گروه هکریست "GhostSec" که قبلا مشاهده شده بود سازمان ها و پلتفرم های اسرائیلی را هدف قرار می دهد، در رسانه های اجتماعی و کانال تلگرام خود اعلام کرد که این گروه با موفقیت 55 دستگاه PLC Berghof را در اسرائیل نقض کرده است.
در پیامی که GhostSec منتشر کرد، ویدیویی را ضمیمه کرد که نشان دهنده ورود موفقیت آمیز به پنل مدیریت PLC است، همراه با تصویری از صفحه نمایش HMI که وضعیت فعلی و کنترل فرآیند PLC را نشان می دهد، و تصویر دیگری که نشان می دهد PLC دردسترس است. در پیام درج شده این گروه داده های تخلیه شده از PLC های نقض شده را منتشر کرد.
مشاهده اطلاعات منتشر شده سیستم از آرشیوهای ZIP (part_1.zip و part_2.zip) نشانیهای IP عمومی (زیر) PLCهای آسیبدیده را نشان داد. این نشان میدهد که دستگاهها به صورت عمومی در معرض اینترنت بودند.
هر دو بایگانی حاوی انواع یکسانی از دادهها بودند - سیستم تخلیه و اسکرینشاتهای HMI، که مستقیماً از پنل مدیریت Berghof صادر شدند. این پنل با طراحی دارای این قابلیت است و به کاربرانی که وارد سیستم شده اند اجازه می دهد تا یک نسخه پشتیبان تهیه کنند و وضعیت فعلی HMI را از طریق یک اسکرین شات مشاهده کنند.
چگونه PLC های Berghof نقض شدند؟
در زمان بررسی ما، IP ها هنوز از طریق اینترنت قابل دسترسی بودند. دسترسی به پنل مدیریت با رمز عبور محافظت می شود. با این حال، آزمایش چند اعتبار پیش فرض و رایج منجر به ورود موفقیت آمیز شد.
اسکرین شات های HMI را می توان به سادگی با دسترسی به برگه “Screenshot” گرفته و مشاهده کرد.
تخلیه سیستم به طور مشابه فقط با دسترسی به برگه "System Dump" در پنل مدیریت انجام شد.
اگرچه دسترسی به پنل مدیریت کنترل کامل بر برخی از عملکردهای PLC را فراهم می کند، اما کنترل مستقیم بر فرآیند صنعتی را فراهم نمی کند. ممکن است تا حدی بر روند تأثیر بگذارد، اما پیکربندی فرآیند واقعی خود تنها از طریق پنل مدیریت در دسترس نیست.
تحقیقات ما به این نتیجه رسیدکه Berghof از فناوری CODESYS به عنوان HMI خود استفاده می کند و همچنین از طریق مرورگر در یک آدرس خاص قابل دسترسی است. از مشاهدات ما از اثبات نقض GhostSec، ما نمی دانستیم که آیا GhostSec به HMI دسترسی پیدا کرده است یا خیر. اما ما تایید کرده ایم که صفحه نمایش HMI نیز در دسترس عموم قرار گرفته است.
نتیجه
برخلاف حملات سایبری به زیرساختهای فناوری اطلاعات، نقض امنیت OT میتواند بسیار خطرناک باشد زیرا میتواند بر فرآیندهای فیزیکی تأثیر بگذارد و در برخی موارد حتی منجر به موقعیتهای تهدیدکننده زندگی شود.
در حالی که ادعاهای GhostSec در مورد یک حمله سایبری پیچیده است، حادثه مورد بررسی در اینجا صرفاً یک مورد است که در آن پیکربندیهای اشتباه سیستمهای صنعتی به راحتی نادیده گرفته میشوند که منجر به تلاشی بسیار ساده برای نقض خود سیستمها شده است.
این واقعیت که احتمالاً HMI مورد دسترسی قرار نگرفته و توسط GhostSec دستکاری نشده است و هکرها از رابط Modbus سوء استفاده نمیکنند، ناآشنایی با دامنه OT را نشان میدهد. تا جایی که میدانیم، GhostSec آسیب جدی به سیستمهای آسیبدیده وارد نکرده بود، بلکه فقط به دنبال جلب توجه به گروه هکتیویست و فعالیتهای آن بود.
علیرغم تاثیر کم این حادثه، این یک مثال عالی است که در آن میتوان به راحتی با پیکربندی ساده و مناسب از حمله سایبری جلوگیری کرد. غیرفعال کردن نمایش عمومی دارایی ها در اینترنت، و حفظ یک خط مشی رمز عبور خوب، به ویژه تغییر اعتبار پیش فرض ورود به سیستم، باعث شکست تلاش هکتیویست ها برای نقض می شود.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
بررسی اجمالی: PLC های Berghof در معرض خطر هستند
در 4 سپتامبر 2022، یک گروه هکریست "GhostSec" که قبلا مشاهده شده بود سازمان ها و پلتفرم های اسرائیلی را هدف قرار می دهد، در رسانه های اجتماعی و کانال تلگرام خود اعلام کرد که این گروه با موفقیت 55 دستگاه PLC Berghof را در اسرائیل نقض کرده است.
در پیامی که GhostSec منتشر کرد، ویدیویی را ضمیمه کرد که نشان دهنده ورود موفقیت آمیز به پنل مدیریت PLC است، همراه با تصویری از صفحه نمایش HMI که وضعیت فعلی و کنترل فرآیند PLC را نشان می دهد، و تصویر دیگری که نشان می دهد PLC دردسترس است. در پیام درج شده این گروه داده های تخلیه شده از PLC های نقض شده را منتشر کرد.
مشاهده اطلاعات منتشر شده سیستم از آرشیوهای ZIP (part_1.zip و part_2.zip) نشانیهای IP عمومی (زیر) PLCهای آسیبدیده را نشان داد. این نشان میدهد که دستگاهها به صورت عمومی در معرض اینترنت بودند.
هر دو بایگانی حاوی انواع یکسانی از دادهها بودند - سیستم تخلیه و اسکرینشاتهای HMI، که مستقیماً از پنل مدیریت Berghof صادر شدند. این پنل با طراحی دارای این قابلیت است و به کاربرانی که وارد سیستم شده اند اجازه می دهد تا یک نسخه پشتیبان تهیه کنند و وضعیت فعلی HMI را از طریق یک اسکرین شات مشاهده کنند.
چگونه PLC های Berghof نقض شدند؟
در زمان بررسی ما، IP ها هنوز از طریق اینترنت قابل دسترسی بودند. دسترسی به پنل مدیریت با رمز عبور محافظت می شود. با این حال، آزمایش چند اعتبار پیش فرض و رایج منجر به ورود موفقیت آمیز شد.
اسکرین شات های HMI را می توان به سادگی با دسترسی به برگه “Screenshot” گرفته و مشاهده کرد.
تخلیه سیستم به طور مشابه فقط با دسترسی به برگه "System Dump" در پنل مدیریت انجام شد.
اگرچه دسترسی به پنل مدیریت کنترل کامل بر برخی از عملکردهای PLC را فراهم می کند، اما کنترل مستقیم بر فرآیند صنعتی را فراهم نمی کند. ممکن است تا حدی بر روند تأثیر بگذارد، اما پیکربندی فرآیند واقعی خود تنها از طریق پنل مدیریت در دسترس نیست.
تحقیقات ما به این نتیجه رسیدکه Berghof از فناوری CODESYS به عنوان HMI خود استفاده می کند و همچنین از طریق مرورگر در یک آدرس خاص قابل دسترسی است. از مشاهدات ما از اثبات نقض GhostSec، ما نمی دانستیم که آیا GhostSec به HMI دسترسی پیدا کرده است یا خیر. اما ما تایید کرده ایم که صفحه نمایش HMI نیز در دسترس عموم قرار گرفته است.
نتیجه
برخلاف حملات سایبری به زیرساختهای فناوری اطلاعات، نقض امنیت OT میتواند بسیار خطرناک باشد زیرا میتواند بر فرآیندهای فیزیکی تأثیر بگذارد و در برخی موارد حتی منجر به موقعیتهای تهدیدکننده زندگی شود.
در حالی که ادعاهای GhostSec در مورد یک حمله سایبری پیچیده است، حادثه مورد بررسی در اینجا صرفاً یک مورد است که در آن پیکربندیهای اشتباه سیستمهای صنعتی به راحتی نادیده گرفته میشوند که منجر به تلاشی بسیار ساده برای نقض خود سیستمها شده است.
این واقعیت که احتمالاً HMI مورد دسترسی قرار نگرفته و توسط GhostSec دستکاری نشده است و هکرها از رابط Modbus سوء استفاده نمیکنند، ناآشنایی با دامنه OT را نشان میدهد. تا جایی که میدانیم، GhostSec آسیب جدی به سیستمهای آسیبدیده وارد نکرده بود، بلکه فقط به دنبال جلب توجه به گروه هکتیویست و فعالیتهای آن بود.
علیرغم تاثیر کم این حادثه، این یک مثال عالی است که در آن میتوان به راحتی با پیکربندی ساده و مناسب از حمله سایبری جلوگیری کرد. غیرفعال کردن نمایش عمومی دارایی ها در اینترنت، و حفظ یک خط مشی رمز عبور خوب، به ویژه تغییر اعتبار پیش فرض ورود به سیستم، باعث شکست تلاش هکتیویست ها برای نقض می شود.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
Forwarded from کانال تخصصی امنیت سایبری «کتاس»
تحت تعقیب FBI ده میلیون دلار جایزه!
▫️وزارت دادگستری آمریکا با صدور کیفرخواستی علیه سه شهروند ایرانی در آمریکا، آنان را متهم به انجام حملات سایبری و سوءاستفاده از آسیبپذیریهای شناختهشده یا افشاشده در شبکههای مورد استفاده عمومی و برنامههای نرمافزاری کرده است. بر اساس ادعای وزارت دادگستری، مظنونان پرونده با هدف قرار دادن صدها قربانی در آمریکا و سایر کشورها و پس از دسترسی و سرقت داده های آنان، قربانیان را تهدید به انتشار داده ها در صورت عدم پرداخت باج کردند.
▫️به گفته این نهاد آمریکایی در برخی از موارد قربانیان اقدام به پرداخت باج کردند تا داده های آنان منتشر نشود. از سوی دیگر یک مقام ارشد وزارت دادگستری در گفتگو با خبرنگاران اعلام کرد که گمان نمی رود هکرها با ایران همکاری کرده باشند. وزارت خزانهداری آمریکا ۱۰ فرد و دو نهاد ایرانی را به اتهام انجام حملات سایبری به فهرست تحریمهای خود افزود.
https://lnkd.in/d2g2-4zT
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
▫️وزارت دادگستری آمریکا با صدور کیفرخواستی علیه سه شهروند ایرانی در آمریکا، آنان را متهم به انجام حملات سایبری و سوءاستفاده از آسیبپذیریهای شناختهشده یا افشاشده در شبکههای مورد استفاده عمومی و برنامههای نرمافزاری کرده است. بر اساس ادعای وزارت دادگستری، مظنونان پرونده با هدف قرار دادن صدها قربانی در آمریکا و سایر کشورها و پس از دسترسی و سرقت داده های آنان، قربانیان را تهدید به انتشار داده ها در صورت عدم پرداخت باج کردند.
▫️به گفته این نهاد آمریکایی در برخی از موارد قربانیان اقدام به پرداخت باج کردند تا داده های آنان منتشر نشود. از سوی دیگر یک مقام ارشد وزارت دادگستری در گفتگو با خبرنگاران اعلام کرد که گمان نمی رود هکرها با ایران همکاری کرده باشند. وزارت خزانهداری آمریکا ۱۰ فرد و دو نهاد ایرانی را به اتهام انجام حملات سایبری به فهرست تحریمهای خود افزود.
https://lnkd.in/d2g2-4zT
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
گروه هک طرفدار فلسطین، PLCهای Berghof در اسرائیل را به خطر انداخت
بررسی اجمالی: PLC های Berghof در معرض خطر هستند
در 4 سپتامبر 2022، یک گروه هکریست "GhostSec" که قبلا مشاهده شده بود سازمان ها و پلتفرم های اسرائیلی را هدف قرار می دهد، در رسانه های اجتماعی و کانال تلگرام خود اعلام کرد که این گروه با موفقیت 55 دستگاه PLC Berghof را در اسرائیل نقض کرده است.
در پیامی که GhostSec منتشر کرد، ویدیویی را ضمیمه کرد که نشان دهنده ورود موفقیت آمیز به پنل مدیریت PLC است، همراه با تصویری از صفحه نمایش HMI که وضعیت فعلی و کنترل فرآیند PLC را نشان می دهد، و تصویر دیگری که نشان می دهد PLC دردسترس است. در پیام درج شده این گروه داده های تخلیه شده از PLC های نقض شده را منتشر کرد.
مشاهده اطلاعات منتشر شده سیستم از آرشیوهای ZIP (part_1.zip و part_2.zip) نشانیهای IP عمومی (زیر) PLCهای آسیبدیده را نشان داد. این نشان میدهد که دستگاهها به صورت عمومی در معرض اینترنت بودند.
هر دو بایگانی حاوی انواع یکسانی از دادهها بودند - سیستم تخلیه و اسکرینشاتهای HMI، که مستقیماً از پنل مدیریت Berghof صادر شدند. این پنل با طراحی دارای این قابلیت است و به کاربرانی که وارد سیستم شده اند اجازه می دهد تا یک نسخه پشتیبان تهیه کنند و وضعیت فعلی HMI را از طریق یک اسکرین شات مشاهده کنند.
چگونه PLC های Berghof نقض شدند؟
در زمان بررسی ما، IP ها هنوز از طریق اینترنت قابل دسترسی بودند. دسترسی به پنل مدیریت با رمز عبور محافظت می شود. با این حال، آزمایش چند اعتبار پیش فرض و رایج منجر به ورود موفقیت آمیز شد.
اسکرین شات های HMI را می توان به سادگی با دسترسی به برگه “Screenshot” گرفته و مشاهده کرد.
تخلیه سیستم به طور مشابه فقط با دسترسی به برگه "System Dump" در پنل مدیریت انجام شد.
اگرچه دسترسی به پنل مدیریت کنترل کامل بر برخی از عملکردهای PLC را فراهم می کند، اما کنترل مستقیم بر فرآیند صنعتی را فراهم نمی کند. ممکن است تا حدی بر روند تأثیر بگذارد، اما پیکربندی فرآیند واقعی خود تنها از طریق پنل مدیریت در دسترس نیست.
تحقیقات ما به این نتیجه رسیدکه Berghof از فناوری CODESYS به عنوان HMI خود استفاده می کند و همچنین از طریق مرورگر در یک آدرس خاص قابل دسترسی است. از مشاهدات ما از اثبات نقض GhostSec، ما نمی دانستیم که آیا GhostSec به HMI دسترسی پیدا کرده است یا خیر. اما ما تایید کرده ایم که صفحه نمایش HMI نیز در دسترس عموم قرار گرفته است.
نتیجه
برخلاف حملات سایبری به زیرساختهای فناوری اطلاعات، نقض امنیت OT میتواند بسیار خطرناک باشد زیرا میتواند بر فرآیندهای فیزیکی تأثیر بگذارد و در برخی موارد حتی منجر به موقعیتهای تهدیدکننده زندگی شود.
در حالی که ادعاهای GhostSec در مورد یک حمله سایبری پیچیده است، حادثه مورد بررسی در اینجا صرفاً یک مورد است که در آن پیکربندیهای اشتباه سیستمهای صنعتی به راحتی نادیده گرفته میشوند که منجر به تلاشی بسیار ساده برای نقض خود سیستمها شده است.
این واقعیت که احتمالاً HMI مورد دسترسی قرار نگرفته و توسط GhostSec دستکاری نشده است و هکرها از رابط Modbus سوء استفاده نمیکنند، ناآشنایی با دامنه OT را نشان میدهد. تا جایی که میدانیم، GhostSec آسیب جدی به سیستمهای آسیبدیده وارد نکرده بود، بلکه فقط به دنبال جلب توجه به گروه هکتیویست و فعالیتهای آن بود.
علیرغم تاثیر کم این حادثه، این یک مثال عالی است که در آن میتوان به راحتی با پیکربندی ساده و مناسب از حمله سایبری جلوگیری کرد. غیرفعال کردن نمایش عمومی دارایی ها در اینترنت، و حفظ یک خط مشی رمز عبور خوب، به ویژه تغییر اعتبار پیش فرض ورود به سیستم، باعث شکست تلاش هکتیویست ها برای نقض می شود.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
بررسی اجمالی: PLC های Berghof در معرض خطر هستند
در 4 سپتامبر 2022، یک گروه هکریست "GhostSec" که قبلا مشاهده شده بود سازمان ها و پلتفرم های اسرائیلی را هدف قرار می دهد، در رسانه های اجتماعی و کانال تلگرام خود اعلام کرد که این گروه با موفقیت 55 دستگاه PLC Berghof را در اسرائیل نقض کرده است.
در پیامی که GhostSec منتشر کرد، ویدیویی را ضمیمه کرد که نشان دهنده ورود موفقیت آمیز به پنل مدیریت PLC است، همراه با تصویری از صفحه نمایش HMI که وضعیت فعلی و کنترل فرآیند PLC را نشان می دهد، و تصویر دیگری که نشان می دهد PLC دردسترس است. در پیام درج شده این گروه داده های تخلیه شده از PLC های نقض شده را منتشر کرد.
مشاهده اطلاعات منتشر شده سیستم از آرشیوهای ZIP (part_1.zip و part_2.zip) نشانیهای IP عمومی (زیر) PLCهای آسیبدیده را نشان داد. این نشان میدهد که دستگاهها به صورت عمومی در معرض اینترنت بودند.
هر دو بایگانی حاوی انواع یکسانی از دادهها بودند - سیستم تخلیه و اسکرینشاتهای HMI، که مستقیماً از پنل مدیریت Berghof صادر شدند. این پنل با طراحی دارای این قابلیت است و به کاربرانی که وارد سیستم شده اند اجازه می دهد تا یک نسخه پشتیبان تهیه کنند و وضعیت فعلی HMI را از طریق یک اسکرین شات مشاهده کنند.
چگونه PLC های Berghof نقض شدند؟
در زمان بررسی ما، IP ها هنوز از طریق اینترنت قابل دسترسی بودند. دسترسی به پنل مدیریت با رمز عبور محافظت می شود. با این حال، آزمایش چند اعتبار پیش فرض و رایج منجر به ورود موفقیت آمیز شد.
اسکرین شات های HMI را می توان به سادگی با دسترسی به برگه “Screenshot” گرفته و مشاهده کرد.
تخلیه سیستم به طور مشابه فقط با دسترسی به برگه "System Dump" در پنل مدیریت انجام شد.
اگرچه دسترسی به پنل مدیریت کنترل کامل بر برخی از عملکردهای PLC را فراهم می کند، اما کنترل مستقیم بر فرآیند صنعتی را فراهم نمی کند. ممکن است تا حدی بر روند تأثیر بگذارد، اما پیکربندی فرآیند واقعی خود تنها از طریق پنل مدیریت در دسترس نیست.
تحقیقات ما به این نتیجه رسیدکه Berghof از فناوری CODESYS به عنوان HMI خود استفاده می کند و همچنین از طریق مرورگر در یک آدرس خاص قابل دسترسی است. از مشاهدات ما از اثبات نقض GhostSec، ما نمی دانستیم که آیا GhostSec به HMI دسترسی پیدا کرده است یا خیر. اما ما تایید کرده ایم که صفحه نمایش HMI نیز در دسترس عموم قرار گرفته است.
نتیجه
برخلاف حملات سایبری به زیرساختهای فناوری اطلاعات، نقض امنیت OT میتواند بسیار خطرناک باشد زیرا میتواند بر فرآیندهای فیزیکی تأثیر بگذارد و در برخی موارد حتی منجر به موقعیتهای تهدیدکننده زندگی شود.
در حالی که ادعاهای GhostSec در مورد یک حمله سایبری پیچیده است، حادثه مورد بررسی در اینجا صرفاً یک مورد است که در آن پیکربندیهای اشتباه سیستمهای صنعتی به راحتی نادیده گرفته میشوند که منجر به تلاشی بسیار ساده برای نقض خود سیستمها شده است.
این واقعیت که احتمالاً HMI مورد دسترسی قرار نگرفته و توسط GhostSec دستکاری نشده است و هکرها از رابط Modbus سوء استفاده نمیکنند، ناآشنایی با دامنه OT را نشان میدهد. تا جایی که میدانیم، GhostSec آسیب جدی به سیستمهای آسیبدیده وارد نکرده بود، بلکه فقط به دنبال جلب توجه به گروه هکتیویست و فعالیتهای آن بود.
علیرغم تاثیر کم این حادثه، این یک مثال عالی است که در آن میتوان به راحتی با پیکربندی ساده و مناسب از حمله سایبری جلوگیری کرد. غیرفعال کردن نمایش عمومی دارایی ها در اینترنت، و حفظ یک خط مشی رمز عبور خوب، به ویژه تغییر اعتبار پیش فرض ورود به سیستم، باعث شکست تلاش هکتیویست ها برای نقض می شود.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
This media is not supported in your browser
VIEW IN TELEGRAM
اپراتور باج افزار در حال تلاش برای نفوذ به شبکه ای است که توسط امنیت سایبری محافظت می شود.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
زیمنس و اشنایدر الکتریک، به عنوان بخشی از پچ جدید، مشتریان را در مورد دهها آسیبپذیری مؤثر بر محصولات صنعتی خود مطلع کردند.
زیمنس پنج بولتن منتشر کرده است که در مجموع 37 آسیب پذیری رفع شده را توصیف می کند.
یکی از بولتنها کاستیهای مؤلفههای شخص ثالث را در برنامه وب Sinec INS (خدمات شبکه زیرساخت) برای مدیریت خدمات شبکه ارائه کرد.
سایر مؤلفهها، BIND، ISC DHCP، OpenSSL، Lodash و Axios، در مجموع دارای 14 آسیبپذیری بالا و متوسط بودند.
زیمنس هشدار میدهد که باگها میتوانند به مهاجم اجازه دهند تا وضعیت DoS ایجاد کند، دادههای حساس را به دست آورد یا یکپارچگی سیستم را به خطر بیندازد.
زیمنس همچنین بسیاری از آسیب پذیری های تجزیه و تحلیل فایل را در Simcenter Femap و Parasolid برطرف کرده است. یک مهاجم میتواند با وادار کردن قربانی به باز کردن فایلهای ساختهشده خاص با برنامههای آسیبپذیر، از اشکالات RCE سوء استفاده کند.
CoreShield One-Way Gateway (OWG) برای ویندوز همچنین یک آسیب پذیری جدی را برطرف کرده است که می تواند برای افزایش امتیاز محلی استفاده شود.
یکی دیگر از مسائل مهمی که می توان از آن برای دور زدن احراز هویت استفاده کرد، در ماژول Mendix SAML بسته شده است.
در نهایت، زیمنس یک آسیبپذیری DoS با شدت متوسط را در دستگاههای شبکه صنعتی Ruggedcom برطرف کرده است.
اشنایدر الکتریک تنها یک بولتن جدید منتشر کرده است، اما این شرکت بیش از دوجین بولتن موجود را به روز کرده است.
بسیاری از مسائل مربوط به سریالزدایی شدید را در محصولات EcoStruxure Machine SCADA Expert و Pro-face Blue Open Studio شرح میدهد که میتواند منجر به RCE، افشای اطلاعات یا انکار سرویس شود.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
زیمنس پنج بولتن منتشر کرده است که در مجموع 37 آسیب پذیری رفع شده را توصیف می کند.
یکی از بولتنها کاستیهای مؤلفههای شخص ثالث را در برنامه وب Sinec INS (خدمات شبکه زیرساخت) برای مدیریت خدمات شبکه ارائه کرد.
سایر مؤلفهها، BIND، ISC DHCP، OpenSSL، Lodash و Axios، در مجموع دارای 14 آسیبپذیری بالا و متوسط بودند.
زیمنس هشدار میدهد که باگها میتوانند به مهاجم اجازه دهند تا وضعیت DoS ایجاد کند، دادههای حساس را به دست آورد یا یکپارچگی سیستم را به خطر بیندازد.
زیمنس همچنین بسیاری از آسیب پذیری های تجزیه و تحلیل فایل را در Simcenter Femap و Parasolid برطرف کرده است. یک مهاجم میتواند با وادار کردن قربانی به باز کردن فایلهای ساختهشده خاص با برنامههای آسیبپذیر، از اشکالات RCE سوء استفاده کند.
CoreShield One-Way Gateway (OWG) برای ویندوز همچنین یک آسیب پذیری جدی را برطرف کرده است که می تواند برای افزایش امتیاز محلی استفاده شود.
یکی دیگر از مسائل مهمی که می توان از آن برای دور زدن احراز هویت استفاده کرد، در ماژول Mendix SAML بسته شده است.
در نهایت، زیمنس یک آسیبپذیری DoS با شدت متوسط را در دستگاههای شبکه صنعتی Ruggedcom برطرف کرده است.
اشنایدر الکتریک تنها یک بولتن جدید منتشر کرده است، اما این شرکت بیش از دوجین بولتن موجود را به روز کرده است.
بسیاری از مسائل مربوط به سریالزدایی شدید را در محصولات EcoStruxure Machine SCADA Expert و Pro-face Blue Open Studio شرح میدهد که میتواند منجر به RCE، افشای اطلاعات یا انکار سرویس شود.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
فروشنده نرم افزار آلمانی SAP از انتشار هشت بولتن امنیتی جدید و پنج بولتن به روز شده به عنوان بخشی از PatchTuesday سپتامبر خبر داد.
مهمترین آنها مربوط به یک آسیب پذیری جدی در Business One است که می تواند منجر به تشدید امتیاز شود. CVE-2022-35292 (با امتیاز CVSS 7.8) به عنوان یک آسیب پذیری مسیر خدمات توصیف می شود.
طبق گفته Onapsis، آسیبپذیری مسیر سرویس میتواند برای اجرای یک باینری دلخواه هنگام شروع سرویس آسیبدیده مورد سوء استفاده قرار گیرد، که میتواند به آن اجازه دهد تا امتیازات را به SYSTEM افزایش دهد.
SAP همچنین یک آسیبپذیری با شدت بالا را در BusinessObjects (CVE-2022-39014، CVSS 7.7) برطرف کرده است که میتواند به مهاجم اجازه دسترسی به اطلاعات حساس رمزگذاری نشده را بدهد.
اعلامیه امنیتی جدید دارای رتبه "متوسط" هستند و برای BusinessObjects، NetWeaver Enterprise Portal، NetWeaver AS ABAP و NetWeaver Application Server ABAP هستند.
در این ماه، SAP همچنین اعلامیههای آسیبپذیری با اولویت بالا را در Knowledge Store، SuccessFactors و BusinessObjects بهروزرسانی کرد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
مهمترین آنها مربوط به یک آسیب پذیری جدی در Business One است که می تواند منجر به تشدید امتیاز شود. CVE-2022-35292 (با امتیاز CVSS 7.8) به عنوان یک آسیب پذیری مسیر خدمات توصیف می شود.
طبق گفته Onapsis، آسیبپذیری مسیر سرویس میتواند برای اجرای یک باینری دلخواه هنگام شروع سرویس آسیبدیده مورد سوء استفاده قرار گیرد، که میتواند به آن اجازه دهد تا امتیازات را به SYSTEM افزایش دهد.
SAP همچنین یک آسیبپذیری با شدت بالا را در BusinessObjects (CVE-2022-39014، CVSS 7.7) برطرف کرده است که میتواند به مهاجم اجازه دسترسی به اطلاعات حساس رمزگذاری نشده را بدهد.
اعلامیه امنیتی جدید دارای رتبه "متوسط" هستند و برای BusinessObjects، NetWeaver Enterprise Portal، NetWeaver AS ABAP و NetWeaver Application Server ABAP هستند.
در این ماه، SAP همچنین اعلامیههای آسیبپذیری با اولویت بالا را در Knowledge Store، SuccessFactors و BusinessObjects بهروزرسانی کرد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
اعلام هشدار
ESET روز سه شنبه جزئیاتی درباره گروه #جاسوسی سایبری #Worok ارائه کرد که ابزارهای خود را توسعه می دهد و از ابزارهای موجود برای به خطر انداختن اهداف خود استفاده می کند. این شرکت بر این باور است که اپراتورها به دنبال سرقت اطلاعات از قربانیان خود هستند، زیرا آنها بر روی نهادهای برجسته در #آسیا و #آفریقا تمرکز می کنند و بخش های خصوصی و دولتی را هدف قرار می دهند، اما با تاکید خاص بر نهادهای دولتی.
Thibaut Passilly، محقق ESET، در یک پست وبلاگ نوشت: "زمان فعالیت و مجموعه ابزار نشان دهنده ارتباط احتمالی با TA428 است، اما ما این ارزیابی را با اطمینان کم انجام می دهیم." مجموعه ابزارهای سفارشی آنها شامل دو لودر – یکی در C++ و دیگری در C#.NET – و یک درب پشتی PowerShell است.
پاسیلی گفت که مجموعه ابزار Worok شامل یک بارگذار C++ CLRLoad، یک درب پشتی PowerShell PowHeartBeat و یک بارکننده C# PNGLoad است که از استگانوگرافی برای استخراج بارهای مخرب مخفی از فایلهای PNG استفاده میکند. بر اساس تله متری ESET، Worok از اواخر سال 2020 فعال بوده است و تا زمان نگارش این مقاله همچنان فعال است.
بر اساس این گزارش، در اواخر سال 2020، Worok دولت ها و شرکت ها را در چندین کشور، از جمله یک شرکت #ارتباطات شرق آسیا، یک #بانک آسیای مرکزی، یک شرکت صنعت #دریانوردی آسیای جنوب شرقی، یک نهاد دولتی خاورمیانه و یک شرکت خصوصی در جنوب آفریقا هدف قرار داد. به پاسیلی
با این حال، وقفه قابل توجهی در عملیات مشاهده شده از ماه می سال گذشته تا ژانویه سال جاری وجود داشت. او می افزاید: «اما فعالیت Worok در سال 2022-2022 بازگشت و یک شرکت انرژی در آسیای مرکزی و یک نهاد بخش عمومی در آسیای جنوب شرقی را هدف قرار داد.
#امنیت_سایبری #سایبری_صنعتی
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
واتس اپ:
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
ESET روز سه شنبه جزئیاتی درباره گروه #جاسوسی سایبری #Worok ارائه کرد که ابزارهای خود را توسعه می دهد و از ابزارهای موجود برای به خطر انداختن اهداف خود استفاده می کند. این شرکت بر این باور است که اپراتورها به دنبال سرقت اطلاعات از قربانیان خود هستند، زیرا آنها بر روی نهادهای برجسته در #آسیا و #آفریقا تمرکز می کنند و بخش های خصوصی و دولتی را هدف قرار می دهند، اما با تاکید خاص بر نهادهای دولتی.
Thibaut Passilly، محقق ESET، در یک پست وبلاگ نوشت: "زمان فعالیت و مجموعه ابزار نشان دهنده ارتباط احتمالی با TA428 است، اما ما این ارزیابی را با اطمینان کم انجام می دهیم." مجموعه ابزارهای سفارشی آنها شامل دو لودر – یکی در C++ و دیگری در C#.NET – و یک درب پشتی PowerShell است.
پاسیلی گفت که مجموعه ابزار Worok شامل یک بارگذار C++ CLRLoad، یک درب پشتی PowerShell PowHeartBeat و یک بارکننده C# PNGLoad است که از استگانوگرافی برای استخراج بارهای مخرب مخفی از فایلهای PNG استفاده میکند. بر اساس تله متری ESET، Worok از اواخر سال 2020 فعال بوده است و تا زمان نگارش این مقاله همچنان فعال است.
بر اساس این گزارش، در اواخر سال 2020، Worok دولت ها و شرکت ها را در چندین کشور، از جمله یک شرکت #ارتباطات شرق آسیا، یک #بانک آسیای مرکزی، یک شرکت صنعت #دریانوردی آسیای جنوب شرقی، یک نهاد دولتی خاورمیانه و یک شرکت خصوصی در جنوب آفریقا هدف قرار داد. به پاسیلی
با این حال، وقفه قابل توجهی در عملیات مشاهده شده از ماه می سال گذشته تا ژانویه سال جاری وجود داشت. او می افزاید: «اما فعالیت Worok در سال 2022-2022 بازگشت و یک شرکت انرژی در آسیای مرکزی و یک نهاد بخش عمومی در آسیای جنوب شرقی را هدف قرار داد.
#امنیت_سایبری #سایبری_صنعتی
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
واتس اپ:
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
نقص های مهم در نقطه دسترسی WiFi هواپیما به مهاجمان اجازه می دهد تا دسترسی ریشه ای پیدا کنند
اخیراً دو آسیبپذیری مهم در دستگاههای LAN بیسیم Contec پیدا شده است.
دو مدل از سری FLEXLAN FXA2000 و FXA3000 از CONTEC وجود دارد که عمدتاً در تأسیسات هواپیما به عنوان نقاط دسترسی WiFi استفاده می شود.
در نتیجه، این دستگاهها اتصال بسیار سریعی را در طول سفرهای پروازی برای اهداف زیر ارائه میدهند:
محصولات تحت تأثیر
در زیر ما تمام محصولاتی را که تحت تأثیر قرار گرفته اند ذکر کرده ایم:
• تمام دستگاه های سری Contec FLEXLAN FXA3000 از نسخه 1.15.00 و پایین تر.
• تمام دستگاه های سری Contec FLEXLAN FXA2000 از نسخه 1.38.00 و پایین تر.
آسیب پذیری ها
در زیر دو آسیبپذیری حیاتی وجود دارد که در زیر مشخص شدهاند:
• CVE-2022-36158 : صفحه وب فرمان سیستم مخفی.
• CVE-2022-36159 : استفاده از کلیدهای رمزنگاری سخت کدگذاری شده ضعیف و حساب درپشتی.
مهاجم میتواند از این آسیبپذیریها برای به خطر انداختن انواع سیستمهای سرگرمی در حین پرواز و همچنین سایر جنبههای سیستم سوء استفاده کند.
در حین انجام مهندسی معکوس سفتافزار برای اولین آسیبپذیری (CVE-2022–36158)، محققان اولین آسیبپذیری را کشف کردند.
CVE-2022-36159 دومین آسیب پذیری است که شامل استفاده از دو عنصر زیر است:
• کلیدهای رمزنگاری ضعیف
• حساب های درب پشتی
آسیبپذیری CVE-2022–36158 را میتوان در یک صفحه مخفی در WiFi LAN Manager ردیابی کرد و به عنوان بخشی از رابط داشبورد نمایش داده نشد.
هدف این صفحه آسان کردن کاربر برای اجرای دستورات لینوکس است که دارای امتیازات روت در دستگاه هستند.
پس از دستیابی به تمام دادههای موجود در دستگاه، عوامل تهدید این توانایی را داشتند که پورت telnet را باز کنند تا کنترل کامل روی آن را به دست آورند.
توصیه
در زیر ما راهحلهایی را برای این دو آسیبپذیری ذکر کردهایم:
• راهکار CVE-2022–36158
از آنجایی که رمز عبور پیشفرض صفحه وب مهندسی پنهان بسیار ضعیف است، باید از دستگاههایی که در حال تولید هستند حذف شود. از طریق این وب سایت، یک مهاجم به راحتی می تواند یک درب پشتی را به دستگاه تزریق کند زیرا رمز عبور پیش فرض بسیار ضعیفی دارد.
• راهکار CVE-2022-36159
برای هر دستگاه، یک رمز عبور منحصر به فرد باید ایجاد شود. گذرواژههای هر دستگاه باید بهطور تصادفی در طول فرآیند ساخت تولید شوند و هر رمز عبور باید منحصربهفرد باشد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
واتس اپ:
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
اخیراً دو آسیبپذیری مهم در دستگاههای LAN بیسیم Contec پیدا شده است.
دو مدل از سری FLEXLAN FXA2000 و FXA3000 از CONTEC وجود دارد که عمدتاً در تأسیسات هواپیما به عنوان نقاط دسترسی WiFi استفاده می شود.
در نتیجه، این دستگاهها اتصال بسیار سریعی را در طول سفرهای پروازی برای اهداف زیر ارائه میدهند:
محصولات تحت تأثیر
در زیر ما تمام محصولاتی را که تحت تأثیر قرار گرفته اند ذکر کرده ایم:
• تمام دستگاه های سری Contec FLEXLAN FXA3000 از نسخه 1.15.00 و پایین تر.
• تمام دستگاه های سری Contec FLEXLAN FXA2000 از نسخه 1.38.00 و پایین تر.
آسیب پذیری ها
در زیر دو آسیبپذیری حیاتی وجود دارد که در زیر مشخص شدهاند:
• CVE-2022-36158 : صفحه وب فرمان سیستم مخفی.
• CVE-2022-36159 : استفاده از کلیدهای رمزنگاری سخت کدگذاری شده ضعیف و حساب درپشتی.
مهاجم میتواند از این آسیبپذیریها برای به خطر انداختن انواع سیستمهای سرگرمی در حین پرواز و همچنین سایر جنبههای سیستم سوء استفاده کند.
در حین انجام مهندسی معکوس سفتافزار برای اولین آسیبپذیری (CVE-2022–36158)، محققان اولین آسیبپذیری را کشف کردند.
CVE-2022-36159 دومین آسیب پذیری است که شامل استفاده از دو عنصر زیر است:
• کلیدهای رمزنگاری ضعیف
• حساب های درب پشتی
آسیبپذیری CVE-2022–36158 را میتوان در یک صفحه مخفی در WiFi LAN Manager ردیابی کرد و به عنوان بخشی از رابط داشبورد نمایش داده نشد.
هدف این صفحه آسان کردن کاربر برای اجرای دستورات لینوکس است که دارای امتیازات روت در دستگاه هستند.
پس از دستیابی به تمام دادههای موجود در دستگاه، عوامل تهدید این توانایی را داشتند که پورت telnet را باز کنند تا کنترل کامل روی آن را به دست آورند.
توصیه
در زیر ما راهحلهایی را برای این دو آسیبپذیری ذکر کردهایم:
• راهکار CVE-2022–36158
از آنجایی که رمز عبور پیشفرض صفحه وب مهندسی پنهان بسیار ضعیف است، باید از دستگاههایی که در حال تولید هستند حذف شود. از طریق این وب سایت، یک مهاجم به راحتی می تواند یک درب پشتی را به دستگاه تزریق کند زیرا رمز عبور پیش فرض بسیار ضعیفی دارد.
• راهکار CVE-2022-36159
برای هر دستگاه، یک رمز عبور منحصر به فرد باید ایجاد شود. گذرواژههای هر دستگاه باید بهطور تصادفی در طول فرآیند ساخت تولید شوند و هر رمز عبور باید منحصربهفرد باشد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
واتس اپ:
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
نقص های مهم در نقطه دسترسی WiFi هواپیما به مهاجمان اجازه می دهد تا دسترسی ریشه ای پیدا کنند
اخیراً دو آسیبپذیری مهم در دستگاههای LAN بیسیم Contec پیدا شده است.
دو مدل از سری FLEXLAN FXA2000 و FXA3000 از CONTEC وجود دارد که عمدتاً در تأسیسات هواپیما به عنوان نقاط دسترسی WiFi استفاده می شود.
در نتیجه، این دستگاهها اتصال بسیار سریعی را در طول سفرهای پروازی برای اهداف زیر ارائه میدهند:
محصولات تحت تأثیر
در زیر ما تمام محصولاتی را که تحت تأثیر قرار گرفته اند ذکر کرده ایم:
• تمام دستگاه های سری Contec FLEXLAN FXA3000 از نسخه 1.15.00 و پایین تر.
• تمام دستگاه های سری Contec FLEXLAN FXA2000 از نسخه 1.38.00 و پایین تر.
آسیب پذیری ها
در زیر دو آسیبپذیری حیاتی وجود دارد که در زیر مشخص شدهاند:
• CVE-2022-36158 : صفحه وب فرمان سیستم مخفی.
• CVE-2022-36159 : استفاده از کلیدهای رمزنگاری سخت کدگذاری شده ضعیف و حساب درپشتی.
مهاجم میتواند از این آسیبپذیریها برای به خطر انداختن انواع سیستمهای سرگرمی در حین پرواز و همچنین سایر جنبههای سیستم سوء استفاده کند.
در حین انجام مهندسی معکوس سفتافزار برای اولین آسیبپذیری (CVE-2022–36158)، محققان اولین آسیبپذیری را کشف کردند.
CVE-2022-36159 دومین آسیب پذیری است که شامل استفاده از دو عنصر زیر است:
• کلیدهای رمزنگاری ضعیف
• حساب های درب پشتی
آسیبپذیری CVE-2022–36158 را میتوان در یک صفحه مخفی در WiFi LAN Manager ردیابی کرد و به عنوان بخشی از رابط داشبورد نمایش داده نشد.
هدف این صفحه آسان کردن کاربر برای اجرای دستورات لینوکس است که دارای امتیازات روت در دستگاه هستند.
پس از دستیابی به تمام دادههای موجود در دستگاه، عوامل تهدید این توانایی را داشتند که پورت telnet را باز کنند تا کنترل کامل روی آن را به دست آورند.
توصیه
در زیر ما راهحلهایی را برای این دو آسیبپذیری ذکر کردهایم:
• راهکار CVE-2022–36158
از آنجایی که رمز عبور پیشفرض صفحه وب مهندسی پنهان بسیار ضعیف است، باید از دستگاههایی که در حال تولید هستند حذف شود. از طریق این وب سایت، یک مهاجم به راحتی می تواند یک درب پشتی را به دستگاه تزریق کند زیرا رمز عبور پیش فرض بسیار ضعیفی دارد.
• راهکار CVE-2022-36159
برای هر دستگاه، یک رمز عبور منحصر به فرد باید ایجاد شود. گذرواژههای هر دستگاه باید بهطور تصادفی در طول فرآیند ساخت تولید شوند و هر رمز عبور باید منحصربهفرد باشد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
واتس اپ:
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
اخیراً دو آسیبپذیری مهم در دستگاههای LAN بیسیم Contec پیدا شده است.
دو مدل از سری FLEXLAN FXA2000 و FXA3000 از CONTEC وجود دارد که عمدتاً در تأسیسات هواپیما به عنوان نقاط دسترسی WiFi استفاده می شود.
در نتیجه، این دستگاهها اتصال بسیار سریعی را در طول سفرهای پروازی برای اهداف زیر ارائه میدهند:
محصولات تحت تأثیر
در زیر ما تمام محصولاتی را که تحت تأثیر قرار گرفته اند ذکر کرده ایم:
• تمام دستگاه های سری Contec FLEXLAN FXA3000 از نسخه 1.15.00 و پایین تر.
• تمام دستگاه های سری Contec FLEXLAN FXA2000 از نسخه 1.38.00 و پایین تر.
آسیب پذیری ها
در زیر دو آسیبپذیری حیاتی وجود دارد که در زیر مشخص شدهاند:
• CVE-2022-36158 : صفحه وب فرمان سیستم مخفی.
• CVE-2022-36159 : استفاده از کلیدهای رمزنگاری سخت کدگذاری شده ضعیف و حساب درپشتی.
مهاجم میتواند از این آسیبپذیریها برای به خطر انداختن انواع سیستمهای سرگرمی در حین پرواز و همچنین سایر جنبههای سیستم سوء استفاده کند.
در حین انجام مهندسی معکوس سفتافزار برای اولین آسیبپذیری (CVE-2022–36158)، محققان اولین آسیبپذیری را کشف کردند.
CVE-2022-36159 دومین آسیب پذیری است که شامل استفاده از دو عنصر زیر است:
• کلیدهای رمزنگاری ضعیف
• حساب های درب پشتی
آسیبپذیری CVE-2022–36158 را میتوان در یک صفحه مخفی در WiFi LAN Manager ردیابی کرد و به عنوان بخشی از رابط داشبورد نمایش داده نشد.
هدف این صفحه آسان کردن کاربر برای اجرای دستورات لینوکس است که دارای امتیازات روت در دستگاه هستند.
پس از دستیابی به تمام دادههای موجود در دستگاه، عوامل تهدید این توانایی را داشتند که پورت telnet را باز کنند تا کنترل کامل روی آن را به دست آورند.
توصیه
در زیر ما راهحلهایی را برای این دو آسیبپذیری ذکر کردهایم:
• راهکار CVE-2022–36158
از آنجایی که رمز عبور پیشفرض صفحه وب مهندسی پنهان بسیار ضعیف است، باید از دستگاههایی که در حال تولید هستند حذف شود. از طریق این وب سایت، یک مهاجم به راحتی می تواند یک درب پشتی را به دستگاه تزریق کند زیرا رمز عبور پیش فرض بسیار ضعیفی دارد.
• راهکار CVE-2022-36159
برای هر دستگاه، یک رمز عبور منحصر به فرد باید ایجاد شود. گذرواژههای هر دستگاه باید بهطور تصادفی در طول فرآیند ساخت تولید شوند و هر رمز عبور باید منحصربهفرد باشد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
واتس اپ:
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
دانشمندان دستگاهی ساخته اند که استراق سمع را از طریق لپ تاپ تشخیص می دهد - دانشمندان دانشگاه ملی سنگاپور و دانشگاه یونسی (سئول، کره) دستگاهی ساخته اند که می تواند با گرفتن سیگنال های الکترومغناطیسی خاص، وجود میکروفون را در لپ تاپ پنهان کند. - نمونه اولیه TickTock از یک نشانگر میدان نزدیک، یک تقویت کننده RF، یک فرستنده گیرنده قابل برنامه ریزی و یک میکرو کامپیوتر Raspberry Pi 4 Model B تشکیل شده است. دشوار است. این روش مبتنی بر این واقعیت است که وقتی میکروفون روشن می شود، مدارهایی که از طریق آن سیگنال های ساعت به مبدل آنالوگ به دیجیتال (ADC) منتقل می شود شروع به سوسو زدن می کنند. این نشت صدای پس زمینه توسط دستگاه برداشته شده و از سایر نویزهای سیستم جدا می شود.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
واتس اپ:
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
واتس اپ:
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
Binarly مجموعه جدیدی از آسیبپذیریهای سفتافزار بالقوه جدی را کشف کرده است که میتواند به مهاجم اجازه دسترسی دائمی به هر یک از میلیونها دستگاه آسیبپذیر را بدهد. محققان هفت آسیبپذیری جدید را در میانافزار InsydeH2O UEFI که توسط Insyde Software توسعه داده شده است، کشف کردهاند. در عین حال، کد آسیبپذیر قبلاً در راهحلهای دهها شرکت دیگر از جمله فروشندگان بزرگ مانند HP، Dell، Intel، Microsoft، Fujitsu، Framework و Siemens پیادهسازی شده است. معایب مربوط به حالت مدیریت سیستم SMM است و می تواند منجر به افشای اطلاعات یا RCE شود، با این حال، عملیات نیاز به دسترسی ممتاز محلی به سیستم عامل دارد. یک مهاجم می تواند یک ایمپلنت مخرب را در سطوح مختلف سیستم عامل نصب کند، چه به عنوان یک ماژول اصلاح شده یا به عنوان یک درایور جداگانه. این نوع کدهای مخرب می توانند با طراحی Secure Boot را دور بزنند و بر مراحل بوت بعدی تأثیر بگذارند. Binarly توصیه های جداگانه ای با جزئیات فنی برای هر یک از آسیب پذیری ها منتشر کرده است. نرم افزار Insyde به نوبه خود اصلاحاتی را منتشر کرد و همچنین توصیه های خود را به اشتراک گذاشت. اگر اصلاحات Insyde نیز به سرعت به کد راه حل های آسیب پذیر ترجمه شود، همه چیز خوب خواهد بود. با این حال، محققان تخمین میزنند که ممکن است ۶ تا ۹ ماه طول بکشد تا سازندگان دستگاهها آسیبپذیریها را در همه دستگاههای شرکت برطرف کنند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
واتس اپ:
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
واتس اپ:
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
دوستان عزیز آدرس گروه امنیت اتوماسیون و کنترل صنعتی در تلگرام:
https://t.me/ICSCERT_IR
https://t.me/ICSCERT_IR
This media is not supported in your browser
VIEW IN TELEGRAM
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
تیم Claroty's Team82 یازده آسیبپذیری را در راهحلهای IoT در محصولات Carlo Gavazzi پیدا کرد که 6 مورد از آنها حیاتی هستند.
Carlo Gavazzi یک گروه بین المللی است که راه حل های اتوماسیون را برای بازارهای جهانی اتوماسیون صنعتی و ساختمانی طراحی، تولید و به فروش می رساند. این شرکت محصولات خود را به اروپا، آمریکا و منطقه آسیا و اقیانوسیه از طریق شبکه ای متشکل از 22 شرکت تجاری خود و از طریق بیش از 60 توزیع کننده مستقل ملی عرضه می کند. مشکلات عمدتاً Carlo Gavazzi UWP3.0 و CPY Car Park Server را تحت تأثیر قرار می دهد. همه باگ های مهم دارای امتیاز CVSS V3 9.8 هستند. برخی از آنها به استفاده از اعتبارنامه های رمزگذاری شده (CVE-2022-22522، CVE-2022-28812) در برخی از نسخه های UWP3.0 و CPY Car Park Server مربوط می شوند که به مهاجم غیر احراز هویت اجازه دسترسی کامل به سرور و محصولات آسیب پذیر برخی دیگر به دلیل عدم احراز هویت است که به مهاجم اجازه دسترسی کامل از طریق API (CVE-2022-22526)، اعتبار سنجی ورودی نادرست در پارامتر ارسال شده از طریق API برای دسترسی به محصولات آسیب پذیر (CVE-2022-28811) و پیمایش مسیر نسبی که منجر به RCE (CVE-2022-28814) می شود. علاوه بر این، یک مهاجم راه دور تایید نشده میتواند از آسیبپذیری SQL-Injection برای دسترسی کامل به پایگاه داده (CVE-2022-22524) استفاده کند، و در موارد دیگر، یک آسیبپذیری تزریق SQL میتواند به مهاجم اجازه دهد تا از دیگر جداول سرویس Sentilo پرس و جو کند (CVE-2022-). 28813 با امتیاز CVSS V3 7.5). آسیبپذیریهای جدی مربوط به احراز هویت نادرست است، که اجازه میدهد احراز هویت در زمینه کاربر (CVE-2022-22523 با امتیاز CVSS V3 7.5)، و همچنین اعتبارسنجی ورودی نادرست - CVE-2022-22525 (CVSS V3) دور زده شود. . دومی به یک مهاجم راه دور با حقوق مدیر اجازه می دهد تا دستورات دلخواه را اجرا کند. در برخی از نسخههای UWP3.0، پراکسی Sentilo تحت تأثیر XSS منعکس شده (CVE-2022-28816 با CVSS V3 7.6) قرار میگیرد. کاربران باید به مشکلات توجه کنند و با توجه به بحرانی بودن باگ های یافت شده، در به روز رسانی عجله کنند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Carlo Gavazzi یک گروه بین المللی است که راه حل های اتوماسیون را برای بازارهای جهانی اتوماسیون صنعتی و ساختمانی طراحی، تولید و به فروش می رساند. این شرکت محصولات خود را به اروپا، آمریکا و منطقه آسیا و اقیانوسیه از طریق شبکه ای متشکل از 22 شرکت تجاری خود و از طریق بیش از 60 توزیع کننده مستقل ملی عرضه می کند. مشکلات عمدتاً Carlo Gavazzi UWP3.0 و CPY Car Park Server را تحت تأثیر قرار می دهد. همه باگ های مهم دارای امتیاز CVSS V3 9.8 هستند. برخی از آنها به استفاده از اعتبارنامه های رمزگذاری شده (CVE-2022-22522، CVE-2022-28812) در برخی از نسخه های UWP3.0 و CPY Car Park Server مربوط می شوند که به مهاجم غیر احراز هویت اجازه دسترسی کامل به سرور و محصولات آسیب پذیر برخی دیگر به دلیل عدم احراز هویت است که به مهاجم اجازه دسترسی کامل از طریق API (CVE-2022-22526)، اعتبار سنجی ورودی نادرست در پارامتر ارسال شده از طریق API برای دسترسی به محصولات آسیب پذیر (CVE-2022-28811) و پیمایش مسیر نسبی که منجر به RCE (CVE-2022-28814) می شود. علاوه بر این، یک مهاجم راه دور تایید نشده میتواند از آسیبپذیری SQL-Injection برای دسترسی کامل به پایگاه داده (CVE-2022-22524) استفاده کند، و در موارد دیگر، یک آسیبپذیری تزریق SQL میتواند به مهاجم اجازه دهد تا از دیگر جداول سرویس Sentilo پرس و جو کند (CVE-2022-). 28813 با امتیاز CVSS V3 7.5). آسیبپذیریهای جدی مربوط به احراز هویت نادرست است، که اجازه میدهد احراز هویت در زمینه کاربر (CVE-2022-22523 با امتیاز CVSS V3 7.5)، و همچنین اعتبارسنجی ورودی نادرست - CVE-2022-22525 (CVSS V3) دور زده شود. . دومی به یک مهاجم راه دور با حقوق مدیر اجازه می دهد تا دستورات دلخواه را اجرا کند. در برخی از نسخههای UWP3.0، پراکسی Sentilo تحت تأثیر XSS منعکس شده (CVE-2022-28816 با CVSS V3 7.6) قرار میگیرد. کاربران باید به مشکلات توجه کنند و با توجه به بحرانی بودن باگ های یافت شده، در به روز رسانی عجله کنند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
طی چند هفته گذشته، TrendMicro چندین باج افزار مبتنی بر لینوکس را مشاهده کرده است که مهاجمان برای حمله به سرورهای VMware ESXi راه اندازی کرده اند.
در این دوره، متخصصان با خانواده Cheerscrypt جدیدی مواجه شدند که هدف آن سرورهای EXSi مشتری بود. سرورهای ESXi در گذشته توسط سایر خانوادههای باجافزار معروف مانند LockBit، Hive و RansomEXX به شدت مورد حمله قرار گرفتهاند، اما جالبترین چیز این است که محققان دریافتند باجافزار جدید Cheerscrypt بر اساس کد منبع فاش شده Babuk است. هنگامی که توسط Cheerscrypt و نسخه لینوکس باج افزار Babuk، به ویژه نسخه ESXi آن مورد بررسی قرار گرفت، کد پایه Cheerscrypt از کد منبع Babuk به دست آمد، اما تغییر و سفارشی سازی شد تا با اهداف مهاجم مطابقت داشته باشد.
محققان Sygnia این حملات را به گروه جاسوسی سایبری چینی Bronze Starlight، که با نامهای DEV-0401، APT10 و Emperor Dragonfly نیز شناخته میشود، نسبت دادند. Bronze Starlight از اواسط سال 2021 فعال بوده و خانوادههای باجافزار پس از حمله را برای مخفی کردن عملیات جاسوسی سایبری مستقر میکند.
اپراتورهای باج افزار Emperor Dragonfly در چین مستقر هستند. برخلاف اطلاعات عمومی، باجافزار Cheerscrypt از محمولههایی استفاده میکند که برای محیطهای Windows و ESXi طراحی شدهاند. زنجیرههای آلودگی که تا به امروز مشاهده شدهاند، از آسیبپذیری حیاتی Log4Shell در کتابخانه Apache Log4j برای به خطر انداختن سرورهای VMware Horizon و رها کردن یک بار PowerShell که قادر به ارائه یک Cobalt Strike رمزگذاریشده است، استفاده میکنند.
علاوه بر این، Sygnia سه ابزار دیگر مبتنی بر Go را پیدا کرد که با Cobalt Strike مستقر شدهاند: یک keylogger که ضربههای کلید ضبطشده را به Alibaba Cloud صادر میکند، یک ابزار پراکسی اینترنتی به نام iox، و نرمافزار تونلسازی NPS. همچنین، ارتباط Cheerscrypt با Emperor Dragonfly به دلیل شباهت بردارهای حمله اولیه، روش های حرکت جانبی و استقرار Cobalt Strike با استفاده از Sideloading DLL است.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
در این دوره، متخصصان با خانواده Cheerscrypt جدیدی مواجه شدند که هدف آن سرورهای EXSi مشتری بود. سرورهای ESXi در گذشته توسط سایر خانوادههای باجافزار معروف مانند LockBit، Hive و RansomEXX به شدت مورد حمله قرار گرفتهاند، اما جالبترین چیز این است که محققان دریافتند باجافزار جدید Cheerscrypt بر اساس کد منبع فاش شده Babuk است. هنگامی که توسط Cheerscrypt و نسخه لینوکس باج افزار Babuk، به ویژه نسخه ESXi آن مورد بررسی قرار گرفت، کد پایه Cheerscrypt از کد منبع Babuk به دست آمد، اما تغییر و سفارشی سازی شد تا با اهداف مهاجم مطابقت داشته باشد.
محققان Sygnia این حملات را به گروه جاسوسی سایبری چینی Bronze Starlight، که با نامهای DEV-0401، APT10 و Emperor Dragonfly نیز شناخته میشود، نسبت دادند. Bronze Starlight از اواسط سال 2021 فعال بوده و خانوادههای باجافزار پس از حمله را برای مخفی کردن عملیات جاسوسی سایبری مستقر میکند.
اپراتورهای باج افزار Emperor Dragonfly در چین مستقر هستند. برخلاف اطلاعات عمومی، باجافزار Cheerscrypt از محمولههایی استفاده میکند که برای محیطهای Windows و ESXi طراحی شدهاند. زنجیرههای آلودگی که تا به امروز مشاهده شدهاند، از آسیبپذیری حیاتی Log4Shell در کتابخانه Apache Log4j برای به خطر انداختن سرورهای VMware Horizon و رها کردن یک بار PowerShell که قادر به ارائه یک Cobalt Strike رمزگذاریشده است، استفاده میکنند.
علاوه بر این، Sygnia سه ابزار دیگر مبتنی بر Go را پیدا کرد که با Cobalt Strike مستقر شدهاند: یک keylogger که ضربههای کلید ضبطشده را به Alibaba Cloud صادر میکند، یک ابزار پراکسی اینترنتی به نام iox، و نرمافزار تونلسازی NPS. همچنین، ارتباط Cheerscrypt با Emperor Dragonfly به دلیل شباهت بردارهای حمله اولیه، روش های حرکت جانبی و استقرار Cobalt Strike با استفاده از Sideloading DLL است.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
یکی دیگر از ابزار جاسوس اندرویدی کشف شده است که به مهاجمان اجازه می دهد به مکالمات تلفنی قربانیان گوش داده و عکس های آنها را دانلود کنند.
جاسوس افزار جدید به نام RatMilad توسط متخصصان امنیت اطلاعات از Zimperium گزارش شده است.
این نرم افزار تحت پوشش برنامه های کاربردی (مانند NumRent یا Text Me) برای تولید شماره تلفن های مجازی توزیع می شود که معمولاً هنگام ثبت تعداد زیادی حساب در شبکه های اجتماعی و سایر خدمات آنلاین استفاده می شود.
بر اساس گزارش Zimperium، گروه هکر ایرانی AppMilad پشت این گسترش است و از رسانههای اجتماعی و خدمات پیامرسانی برای فریب قربانیان ادعایی برای دانلود بدافزار در دستگاههایشان استفاده میکند.
هنگامی که یک ابزار جعلی را اجرا می کنید، تعداد زیادی مجوز درخواست می کند که به گفته کارشناسان، باید بلافاصله به کاربران هشدار دهد. این بدافزار دسترسی به لیست مخاطبین، محتوای پیامهای SMS، میکروفون، دادههای کلیپبورد، GPS و موارد دیگر را درخواست میکند. پس از اینکه یک برنامه بدون فکر "اجازه بعدی" شروع به سرقت اطلاعات مربوط به حرکات قربانی، ضبط مکالمات، اسکن فایل های رسانه ای و ارسال نتایج به مهاجمان C2 کرد.
علاوه بر این، Zimperium یک کانال تلگرامی را کشف کرد که مهاجمان از آن برای انتشار بدافزار استفاده می کردند. به گفته کارشناسان، این پیام با پیوند به یک برنامه مخرب بیش از 4700 بازدید داشته و بیش از 200 بار منتشر شده است. شاخص ها نسبتاً مشروط هستند و هنوز نمی توان درجه واقعی فراگیری RatMilad را ارزیابی کرد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
جاسوس افزار جدید به نام RatMilad توسط متخصصان امنیت اطلاعات از Zimperium گزارش شده است.
این نرم افزار تحت پوشش برنامه های کاربردی (مانند NumRent یا Text Me) برای تولید شماره تلفن های مجازی توزیع می شود که معمولاً هنگام ثبت تعداد زیادی حساب در شبکه های اجتماعی و سایر خدمات آنلاین استفاده می شود.
بر اساس گزارش Zimperium، گروه هکر ایرانی AppMilad پشت این گسترش است و از رسانههای اجتماعی و خدمات پیامرسانی برای فریب قربانیان ادعایی برای دانلود بدافزار در دستگاههایشان استفاده میکند.
هنگامی که یک ابزار جعلی را اجرا می کنید، تعداد زیادی مجوز درخواست می کند که به گفته کارشناسان، باید بلافاصله به کاربران هشدار دهد. این بدافزار دسترسی به لیست مخاطبین، محتوای پیامهای SMS، میکروفون، دادههای کلیپبورد، GPS و موارد دیگر را درخواست میکند. پس از اینکه یک برنامه بدون فکر "اجازه بعدی" شروع به سرقت اطلاعات مربوط به حرکات قربانی، ضبط مکالمات، اسکن فایل های رسانه ای و ارسال نتایج به مهاجمان C2 کرد.
علاوه بر این، Zimperium یک کانال تلگرامی را کشف کرد که مهاجمان از آن برای انتشار بدافزار استفاده می کردند. به گفته کارشناسان، این پیام با پیوند به یک برنامه مخرب بیش از 4700 بازدید داشته و بیش از 200 بار منتشر شده است. شاخص ها نسبتاً مشروط هستند و هنوز نمی توان درجه واقعی فراگیری RatMilad را ارزیابی کرد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.