في الآونة الأخيرة، وفقا للدماغ 360 الأمن كشفت أن ما يصل إلى 174 في بكين وشنغهاي والوكالات الحكومية الصينية وأنشئت المؤسسات في الخارج متقدمة التهديد المستمر (APT) الهجمات مجموعة القراصنة DarkHotel. قراصنة قسم مراقبة SINFOR (التركيز على المنتجات والخدمات توفير الأمن على مستوى المؤسسات، من الحوسبة السحابية والبنية التحتية لتقنية) أجهزة SSL VPN، واستخدام نقاط الضعف ترقية العميل أصدر ملف الخبيثة إلى العميل من خلال وسائل غير قانونية، بحيث يمكن للمستخدم تشكل التهديدات الأمنية.

وقال 360 الدماغ الأمن أنه قراصنة الآن التحكم بشكل كامل عدد كبير من الوحدات ذات الصلة لملقم VPN، برنامج الترقية رئيسيا على ملقم VPN وخلفي استبدالها. لمستخدمي VPN، وبمجرد أن تسجيل الدخول ناجحا، فإنه سيكون الائتمان تماما. وهكذا، "يمكن القول، اتخذت المهاجم السيطرة على عدد كبير من المحطات الكمبيوتر الوحدات ذات الصلة".

VPN هو استخدام الشبكات العامة لدعم جسر اتصال آمن بين عدة مستخدمين أو مكاتب فرعية، يمكن للمستخدمين عن بعد اختراق محيط شبكة الشركة عبر نفق VPN إلى موارد داخلية الوصول، للتأكد من أنها ليست حتى داخل المؤسسات يمكن أن يتمتع الوصول المحلي سلطة.

منذ شهر مارس من هذا العام، هاجم قراصنة خادم VPN لديها اكثر من 200 مجموعة من المؤسسات الصينية في الخارج في الولايات المتحدة وايطاليا وبريطانيا وغيرها من 19 دولة تعرضت للهجوم. الدخول في أبريل، سوف قراصنة يهاجمون الوضع تحول بكين وشنغهاي الوكالات الحكومية ذات الصلة، يشارك في العدد الحالي من وكالات يصل إلى 174.

174 بكين وشانغهاى قائمة حكومية للمنظمات هاجمت (المصدر: 360 الأساسية أمن تكنولوجيا بلوق)

على الرغم من أن هناك المئات من الوكالات الحكومية تعرضوا للهجوم، ولكن بالنسبة لنا شخصيا، ما إذا كان هناك خطرا أمنيا؟ وحتى الآن، وسوف لا.

"الهجمات تؤثر بشكل رئيسي بكين وشنغهاي المنطقة، وكانت وحدة في، كانت الشركات المصنعة الآمن مع الاستجابة لحالات الطوارئ. متعلقة الذاتي بفضل الوقت المناسب الباعة الاستجابة للطوارئ والشركات الأمنية، سوف مؤقتا لا تهدد أمن المعلومات الشخصية." 360 وقال خبراء أمن DeepTech "، وهجمات القراصنة ضد نظام التشغيل ويندوز، وليس له تأثير على ماك نظام التشغيل".

باء العهد الجديد يرتبط في الواقع؟

منذ اندلاع العهد الجديد، والشركات المملوكة للدولة، اعتمدت الوكالات الأجنبية وشركات التكنولوجيا وضع "مكتب سحابة"، في حين أن المكاتب البعيدة الأساسية يمكن أن يتحقق VPN هو، فإن عددا كبيرا من الموظفين إقامة اتصالات مع مقر لنقل البيانات من خلال VPN. وبمجرد أن نقاط الضعف VPN من قبل قراصنة باستخدام VPN الوحدات ذات الصلة مكتب بعيد سوف تعاني من أزمة أمنية كبيرة.

360 الدماغ المتصلة بالأمن التكهن، DarkHotel إطلاق القرصنة أو محاولة لإتقان التكنولوجيا المتقدمة الطبية في بلادنا خلال مكافحة وباء الالتهاب الرئوي وحفظ التدابير تاج الطاعون جديدة لمواصلة استكشاف دينامية الوضع الوباء الحقيقي والبيانات في جميع أنحاء العالم من خلال المؤسسات في الخارج، من خلال مهاجمة المؤسسات الصينية في الخارج لإتقان إمدادات النقل الوطنية الصينية للعالم لإنقاذ مسار النقل الطاعون، وعدد من الأجهزة.

وقال "هناك بعض المؤسسات المعنية في خط الهجوم للوقاية من الوباء والسيطرة"، وغالبية الشركات ذات العلاقة خلال ظهور حالات جديدة وعن بعد تاج الدولة، والقرصنة البنية التحتية الأساسية هي الوحدات ذات الصلة للعمل عن بعد، وهي خدمة VPN. وقال "خبراء الأمن 360 DeepTech.

وقال الباحثون انه في تحليل هشاشة الأوضاع ذات الصلة، والتي قناعة راسخة من تعرضه لهجوم VPN إصدار خادم M6.3R1، وأطلق سراح هذا الإصدار في عام 2014، لأن إصدار قديم جدا، وهناك الكثير من الثغرات الأمنية. في نفس الوقت المطورين عملية التوعية بالسلامة وصيانة الوحدات ذات الصلة ليست قوية، وذلك لتسهيل العمل، وسوف تحتفظ بها معلومات حساسة العميل المخزنة على صفحة العمل. "وبسبب ضعف الوعي الأمني من الثغرات الأمنية والأفراد المرتبطين البنية التحتية الحيوية، والتي تم اختراق يؤدي إلى ملقم VPN."

القرصنة تفاصيل

في هذا الهجوم، وجدت 360 الدماغ الأمن أن المستخدمين في استخدام الوحدات ذات الصلة فوق عميل VPN، على الزناد الافتراضي خطفت عملية الترقية من قبل قراصنة DarkHotel، سيحل محل وترقية برنامج مستتر. مهاجم تقليد وقعت الإجراء الطبيعي مستتر التمويه، والناس العاديين ببساطة يصعب الكشف عنها.

كامل عملية الهجوم: 1) ابدأ VPN؛ 2) تطلب الخادم لتحديث، يتم استبدال الدهون ترقيات) في 3، 4) تشغيل في عميل (المصدر: 360 الأساسية أمن تكنولوجيا بلوق)

في تحليل الانخفاض في الهجمات، ووجد هجوم مقتنع بعمق أن نشاط الدماغ 360 أمن ثغرة في عميل VPN العميق يستخدم من قبل قراصنة DarkHotel، وجود ثغرة أمنية في VPN ترقية العميل الزناد الافتراضي عند بدء الاتصال بالخادم السلوك، عندما يبدأ المستخدم باستخدام عميل VPN للاتصال ملقم VPN، سوف العميل الحصول على موقع ثابت للمعلومات ترقية ملف التكوين من خادم VPN متصل. ومع ذلك، في جميع مراحل عملية الترقية، أدلى تحديث العميل فقط على النقيض من النسخة باختصار، لم يكن لديك أي عمليات التفتيش الأمنية.

توقيعات مزورة (يسار) والتوقيع العادي (يمين) (المصدر: 360 الأساسية أمن تكنولوجيا بلوق)

اخترق هذا يؤدي بعد ملف تكوين الملقم VPN العبث تحديث واستبدال ترقيات للاستفادة من هذا الضعف ليتم توجيه المستخدمين VPN لنشر مستتر.

DarkHotel هي دولة ذات شرق آسيا الخلفية، تنفيذ على المدى الطويل من الهجمات الإلكترونية التجسس المنظمة APT ضد المديرين التنفيذيين المهم المؤسسات والهيئات الحكومية وصناعة الدفاع، والصناعة الالكترونية، منذ عام 2004 تم إجراء التجسس السيبراني، هو الأكثر نشاطا في السنوات الأخيرة واحد من تنظيم الرابطة، والهدف الرئيسي لصناعة الإلكترونيات، والمديرين التنفيذيين صناعة الاتصالات والشخصيات الوطنية ذات الصلة، نطاق الهجوم الذي يقع في عدة بلدان الصين وكوريا واليابان وميانمار وروسيا وهلم جرا.

وفي الشهر الماضي، DarkHotel تصيد المعلومات والبريد المزعج هجمات من قبل منظمة الصحة العالمية (WHO). قراصنة همية من قبل خادم نظام البريد الإلكتروني الداخلي لمنظمة الصحة العالمية لموظفي الداخلية هجمات التصيد تغري الموظفين تسجيل الدخول إلى نظام البريد الإلكتروني لسرقة كلمات السر البريد الإلكتروني الخاصة بهم، وبعد سرقة كلمات السر البريد الإلكتروني، والمتسللين وهمية منظمة الصحة العالمية موظفي الداخلية إرسال البريد المزعج التنظيمي الداخلي، خداع الآخرين سرقة الموظفين الداخليين وأحصنة طروادة تحميل وتثبيت، حتى أكثر الناس لسرقة المعلومات.

وبالإضافة إلى ذلك، كما أنها ليست المرة الأولى الصين DarkHotel الهجوم. وفي يناير كانون الثاني نظام ويندوز 7 إلى التوقف عن تناول العقد الرئيسية، DarkHotel أثناء استخدام IE و Firefox "النجم المزدوج" نقاط الضعف 0day والحكومة والمؤسسات والمنظمات ذات الصلة على التجارة بين الصين المحافظات الرئيسية ذات الصلة إطلاق الهجمات المعقدة.

استجابة SINFOR

7 أبريل الاستجابة مقتنع بعمق أن يقال عن هجمات القراصنة، وهذا الضعف هو جهاز SSL VPN عميل Windows ترقية وحدة التحقق من صحة التوقيع العيوب آلية، ولكن الشرط هو استغلال SSL VPN معدات مراقبة الدخول المكتسبة بالفعل وبالتالي فإن استخدام صعوبة عالية. "التقديرات الأولية، يقتصر عدد من الأجهزة VPN المتضررين."

(المصدر: SINFOR)

ومع ذلك، قال خبراء الأمن 360 لDeepTech، "وهذا الضعف ليس من الصعب استخدام وتقتصر على عدد من القضايا التي تؤثر على المعدات"، وذلك بسبب وجود ثغرة أمنية في عميل Windows، إذا المستخدمين لا ترقية برنامج عميل VPN، وهناك تعرضت للهجوم خطر، لا يمكن للمستخدم تحديد ما إذا كان أمان خادم VPN. لذلك، تحتاج الشركات المصنعة للمضي قدما الثغرات الأمنية الإصلاح الخادم VPN موجود بالفعل، والأهم من ذلك هو لتذكير المستخدمين لرفع مستوى VPN الثغرات الأمنية العميل.

وفي هذا الصدد، اقتناعا عميقا بأن شركة يطلق الآن إصلاح التصحيح في حالات الطوارئ لSSL VPN نسخة الأجهزة تم تأكيد للهجوم (M6.3R1 نسخة، M6.1 إصدار)، وترتيب أفراد الخدمات الفنية للمستخدمين المتضررين التحقيق في الموقع ومعالجتها، فإن الشركة أيضا سيتم اطلاق سراح جهاز SSL VPN العبث النصي الكشف، قد تم العبث معدات الاختبار الذاتي سهل الاستعمال مع والحاجة إلى إصلاحات.

وبالإضافة إلى ذلك، سوف SSL VPN SINFOR توفير المعدات الرئيسية للالإصدار القياسي الإصلاحات المستخدم، والافراج عن Zhuanshagongju الملفات الخبيثة.

"في الحياة اليومية والعمل، زيادة وعي المستخدمين الأمن، فإنه لا ينبغي الاتصال بخادم VPN غير موثوق بها، في حين أن الوقت لفتح في الوقت الحقيقي البرمجيات الأمنية حماية لمنع هجمات محتملة". ويقول خبراء الأمن 360.

تنويه: تلتزم هذا العدد إلى الصالح العام ادفع نص (دعوة للمشاركة)، المؤلف ينتمي إلى المؤلف الأصلي! سهم فقط لتقديم مزيد من المعلومات، لا يمثلون عددا من الكتب الجمهور يتفق مع وجهات نظرهم. التي تنطوي على مضمون العمل، وحقوق الطبع وغيرها من القضايا، يرجى اعلامنا عن طريق البريد الإلكتروني أو الهاتف، من أجل بسرعة اتخاذ التدابير المناسبة لتجنب الخسائر الاقتصادية غير المبررة التي تسببها الجانبين. هاتف: 010-82306116، البريد الالكتروني: aet@chinaaet.com.