هک کلوپ به مقامات ایالات متحده حمله کرده و داده های میلیون ها نفر را فاش می کند

امنیت سایبری ایالات متحده مقامات دیروز گفتند که «تعداد کمی» از سازمان‌های دولتی به عنوان بخشی از یک کمپین هک گسترده که احتمالاً توسط باند باج‌افزار مستقر در روسیه Clop انجام شده است، دچار نقض داده‌ها شده‌اند. مجرمان سایبری از یک آسیب پذیری در سرویس انتقال فایل MOVEit برای سرقت داده های ارزشمند قربانیان از جمله شل، بریتیش ایرویز و بی بی سی استفاده کردند. اما دستیابی به اهداف دولت ایالات متحده تنها باعث افزایش کنترل مجریان قانون جهانی بر مجرمان سایبری در هک که قبلاً به طور گسترده منتشر شده است، می شود.

Progress Software که مالک MOVEit است، وصله شده آسیب پذیری در اواخر ماه مه و آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده توصیه ای منتشر کرد اداره تحقیقات فدرال در 7 ژوئن در مورد بهره برداری کلوپ و نیاز فوری همه سازمان ها، اعم از دولتی و خصوصی، برای رفع این اشکال هشدار داد. یک مقام ارشد CISA دیروز به خبرنگاران گفت که تمام موارد MOVEit دولت ایالات متحده اکنون به روز شده است.

مقامات CISA از بیان اینکه کدام آژانس های آمریکایی قربانی تیراندازی شده اند خودداری کردند، اما تایید کردند که وزارت انرژی به سیسا اطلاع داده است که در میان آنها است. سی ان ان، آن اولین بار گزارش شد حملات به سازمان های دولتی آمریکا، بیشتر گزارش شده است امروز اعلام کرد که این هک روی گواهینامه رانندگی و اطلاعات شناسایی میلیون ها ساکن در ایالت های لوئیزیانا و اورگان تأثیر گذاشته است. کلوپ پیش از این نیز دولت های ایالتی مینه سوتا و ایلینویز را مسئول این حملات دانسته است.

جن ایسترلی، مدیر CISA، روز پنجشنبه به خبرنگاران گفت: «ما در حال حاضر به چندین آژانس فدرال کمک می‌کنیم که برنامه‌های MOVEit آنها به خطر افتاده است. «بر اساس بحث‌هایی که با شرکای صنعتی به عنوان بخشی از همکاری مشترک دفاع سایبری داشته‌ایم، از این نفوذها برای دستیابی به دسترسی گسترده‌تر، نفوذ به سیستم‌های هدفمند یا سرقت اطلاعات خاص با ارزش استفاده نمی‌شود – به طور خلاصه. همانطور که می‌دانیم، این حمله تا حد زیادی فرصت‌طلبانه است.»

ایسترلی اضافه کرد که CISA نمی بیند که کلوپ داده های دزدیده شده از دولت ایالات متحده را منتشر کند. و این مقام ارشد CISA که با خبرنگاران به شرط نامش فاش نشد گفت که CISA و شرکای آن در حال حاضر هیچ مدرکی دال بر هماهنگی کلوپ با دولت روسیه نمی بینند. به نوبه خود، Clop ادعا کرده است که بر مشاغل متمرکز است و هر گونه اطلاعات دولتی یا مجری قانون را حذف خواهد کرد.

کلوپ به عنوان یک بازیگر استاندارد باج افزار در سال 2018 ظاهر شد و سیستم های قربانی را رمزگذاری کرد و سپس برای ارائه کلید رمزگشایی درخواست پرداخت کرد. این باج افزار همچنین به دلیل یافتن و بهره برداری از آسیب پذیری ها در نرم افزارها و تجهیزات پرکاربرد برای سرقت اطلاعات از شرکت ها و موسسات مختلف و سپس راه اندازی کمپین های اخاذی از داده ها علیه آنها شناخته شده است.

آلن لیسکا، تحلیلگر باج افزار در شرکت امنیتی Recorded Future، می گوید که کلوپ با رویکرد باج افزار “موفقیت متوسطی” داشته است. با این حال، در نهایت، این شرکت با دور شدن از باج‌افزار مبتنی بر رمزگذاری و به سمت مدل فعلی خود برای توسعه اکسپلویت‌ها برای آسیب‌پذیری‌ها در نرم‌افزارهای سازمانی و سپس استفاده از آنها برای سرقت انبوه داده، خود را متمایز کرد.

در حالی که ممکن است هماهنگی مستقیمی بین کرملین و کلوپ وجود نداشته باشد، تحقیقات بارها ارتباط بین دولت روسیه و گروه های باج افزار را نشان داده است. بر اساس این توافق، این سندیکاها می توانند از روسیه بدون مجازات فعالیت کنند تا زمانی که قربانیان را در کشور هدف قرار ندهند و تسلیم نفوذ کرملین شوند. بنابراین آیا Clop واقعاً داده‌هایی را که از قربانیان دولتی جمع‌آوری می‌کند حذف می‌کند، حتی اگر فقط در طرفین باشد؟

ما معتقد نیستیم که سازمان های دولتی ایالات متحده به طور خاص هدف قرار گرفته اند. Liska از کمپین MOVEit می گوید: «Clop به هر سرور آسیب پذیری که نرم افزار را اجرا می کند حمله کرد. اما به احتمال زیاد هر اطلاعاتی که کلوپ از دولت ایالات متحده یا سایر اهداف جالب جمع آوری کرده است به کرملین درز کرده است.