خبر

  • تک بورد - آژانس فدرال ایالات متحده در پاسخ به گزارش هایی که در پشت دریچه ای وجود دارد، پاسخ نمی دهد

    آژانس فدرال ایالات متحده در پاسخ به گزارش هایی که در پشت دریچه ای وجود دارد، پاسخ نمی دهد


    1 ماه قبل

    محققان Avast می گویند که این بدافزار با یک هک جاسوسی که قبلا دیده شده بود ارتباط دارد.
    یک آژانس فدرال ایالات متحده میزبان یک درب پشتی است که می تواند دید کامل و کنترل کامل بر شبکه آژانس را فراهم کند، و محققانی که آن را کشف کردند قادر به انجام آن نبوده اند. شرکت امنیتی Avast روز پنجشنبه گفت که با مدیران مسئول تعامل کنید.

    Avast این آژانس را غیر از اینکه گفته است با حقوق بین‌الملل مرتبط است و به عنوان بخشی از وظایف خود، به طور منظم با سایر آژانس‌های ایالات متحده و سازمان‌های دولتی و غیردولتی بین‌المللی ارتباط برقرار می‌کند، شناسایی نکرد. این شرکت امنیتی پس از تلاش های متعدد برای گزارش مستقیم یافته ها و از طریق کانال هایی که دولت ایالات متحده در اختیار دارد، یک پست وبلاگ منتشر کرد.

    اعضای تیم اطلاعاتی تهدید Avast نوشتند:

    در حالی که ما هیچ اطلاعاتی در مورد تأثیر این حمله یا اقدامات انجام شده توسط مهاجمان نداریم، بر اساس تجزیه و تحلیل ما از پرونده های مورد بحث، ما معتقدیم منطقی است که نتیجه بگیریم که مهاجمان قادر به رهگیری و احتمالاً نفوذ به تمام ترافیک شبکه محلی در این سازمان بوده اند. . این می تواند شامل اطلاعات مبادله شده با سایر سازمان های دولتی ایالات متحده و سایر سازمان های بین المللی دولتی و غیردولتی (NGO) باشد که بر حقوق بین الملل متمرکز شده اند. ما همچنین نشانه‌هایی داریم که مهاجمان می‌توانند کد مورد نظر خود را در زمینه سیستم عامل بر روی سیستم‌های آلوده اجرا کنند و به آنها کنترل کامل می‌دهد.

    دور زدن فایروال‌ها و نظارت بر شبکه

    درپشتی توسط کار می‌کند. جایگزین کردن یک فایل معمولی ویندوز به نام oci.dll با دو فایل مخرب – یکی در اوایل حمله و دیگری در اواخر. اولین فایل imposter، WinDivert را پیاده سازی می کند، ابزاری قانونی برای گرفتن، تغییر یا حذف بسته های شبکه ارسال شده به یا از پشته شبکه ویندوز. این فایل به مهاجمان اجازه می دهد تا کدهای مخرب را روی سیستم آلوده دانلود و اجرا کنند. Avast گمان می کند که هدف اصلی دانلود کننده دور زدن فایروال ها و نظارت بر شبکه است.

    در مرحله بعدی حمله، مزاحمان دانلود کننده جعلی oci.dll را با کدی جایگزین کردند که فایل مخربی به نام SecurityHealthServer را رمزگشایی می کند. .dll و آن را در حافظه بارگذاری می کند. کارکردها و جریان دومین DLL جعلی تقریباً مشابه rcview40u.dll است، یک فایل مخرب که در هک های زنجیره تامین جاسوسی که سازمان های کره جنوبی را در سال 2018 هدف قرار دادند، حذف شد.


    تگ ها:

    آژانس , فدرال , ایالات , متحده , پاسخ , گزارش , دریچه , وجود , دارد


    v 9




خبرهای دیگر از فناوری اطلاعات