هجوم على شركات قطاع الدفاع الأمريكية من قبل قراصنة صينيين

بدأ الأسبوع بالكاد وبدأت مآثر يوم الصفر بالفعل في اجتياح العالم السيبراني. هذه المرة توجد العيوب في أجهزة Pulse Secure VPN. ماذا يحدث هنا؟ تشير التقارير التي نشرتها Pulse Secure و FireEye إلى أنه تم إساءة استخدام عيب جديد في معدات Pulse Secure VPN من قبل مجموعتين من مجموعات القرصنة - UNC2630 و UNC2717 - اللتين اخترقتا شبكات مقاولي الدفاع الأمريكيين والمنظمات الحكومية. الهجوم والمهاجمون UNC2630 هي مجموعة تجسس إلكتروني مرتبطة بالصين ويعتقد أنها مرتبطة بـ APT5 ، وهي جهة تهديد ربما تكون مرتبطة بحكومة بكين. هاجمت المجموعة شبكات القاعدة الصناعية الدفاعية الأمريكية (DIB) مع SLOWPULSE و RADIALPULSE و THINBLOOD و PACEMAKER و ATRIUM و PULSECHECK و SLIGHTPULSE. وتراوحت الهجمات بين آب 2020 وآذار 2021. تراوحت أنشطة UNC2717 بين أكتوبر 2020 ومارس 2021 وهاجمت المنظمات باستخدام PULSEJUMP و QUIETPULSE و HARDPULSE. لم يتم العثور على دليل لربط هذه المجموعة بمجموعات APT الأخرى أو الرعاية الحكومية. لماذا هذا مهم؟ لقد سعى الجواسيس الإلكترونيون ، مرارًا وتكرارًا ، إلى البحث عن عيوب في VPN ليشقوا طريقهم إلى الشبكات. ثغرات VPN هي وسيلة لاختراق قراصنة الدولة بسبب اعتماد المنظمات والوكالات الحكومية على برامج VPN. يمكن أن تكون عمليات استغلال Pulse Connect Secure نقطة دخول إلى شبكة غنية بالبيانات. كيف تحافظ على سلامتك استخدم أحدث إصدار من أداة Pulse Secure Integrity Assurance التي تم إصدارها في مارس. قم بتثبيت أحدث تصحيحات الأمان بواسطة Pulse Secure. تحليل الأدلة الجنائية لتحديد بيانات اعتماد المستخدم المخترقة ، إن وجدت. إعادة تعيين جميع كلمات المرور في البيئة. الخط السفلي تم ربط UNC2630 بهجمات تستهدف الشركات العاملة في قطاع الطيران والدفاع الموجود في الولايات المتحدة وأوروبا وآسيا. على الرغم من العثور على 24 وكالة تستخدم أجهزة Pulse Connect Secure ، إلا أنه حتى الآن لم يتم تحديد عدد المنظمات المتأثرة. تشمل الدوافع الأساسية للمتسللين إثبات الثبات في الشبكات وسرقة البيانات وجمع بيانات الاعتماد.