منذ الثاني عشر من يوليو/تموز، تعرضت أربع شركات أمريكية لم يتم الكشف عن هويتها للاختراق. وقد استخدمت جميعها نفس المنصة لإدارة والتحكم في مشروعها الشبكي الضخم. ومن خلال التسلل إلى هذه المنصة، تمكن المتسللون من سرقة بيانات اعتماد العملاء، والتي كانت مشفرة بخلاف ذلك.
اكتشفت شركة Black Lotus Labs الثغرة الأمنية في Versa Director (المنصة التي تستخدمها هذه الشركات الأربع المزودة لخدمات الإنترنت) وأبلغت عنها لأول مرة قبل يومين. حدد الباحثون أول استغلال لهذه الثغرة الأمنية في 12 يونيو 2024، ولم يتم إصلاحها إلا في 26 أغسطس 2024.
قام المهاجمون باختراق أجهزة التوجيه الخاصة بالمكاتب الصغيرة والمكاتب المنزلية للدخول إلى أنظمة Versa Director. لقد تمكنوا من اختراق أنظمة Versa بسبب منفذ مكشوف (كان من المفترض أن يكون محميًا بجدار حماية معزز، لكن مزودي خدمة الإنترنت المتأثرين لم يتبعوا تعليمات Versa). استخدم المهاجمون نقطة الدخول هذه لحقن ملف Java ضار يسمى “VersaMem”. هذا هو المكان الذي كان فيه الخطأ: نظام تحميل الملفات الذي كان من المفترض أن يطهر هذا الملف. أعطاهم هذا الكود حق الوصول الإداري إلى لوحة تحكم Versa Director بالكامل.
بمجرد نشر ملف JAR، تمكن المهاجمون من الوصول إلى المشرف عن بعد، واختطفوا عملية مصادقة Versa، وبدأوا في سرقة بيانات اعتماد الأشخاص (أسماء المستخدمين وكلمات المرور) قبل أن يتم تشفيرها للنقل. والأكثر من ذلك: أن ملف JAR الخاص بـ VersaMem له تصميم معياري، مما يعني أن سرقة بيانات الاعتماد ليست سوى أحد مكوناته. يمكن للمتسللين إضافة المزيد من الوظائف إليه، لكن Black Lotus Labs لم تكشف إلا عن وحدة واحدة حتى الآن.
كما أن البرامج الضارة متطورة بشكل لا يصدق ويصعب اكتشافها لأنها تعتمد بالكامل على ذاكرة غير مستقرة. ووفقًا لمختبرات Black Lotus Labs، فإن برنامج VersaMem الخبيث “لا يوجد لديه حاليًا أي اكتشافات لمكافحة الفيروسات”. وقد صنفته Versa على أنه تهديد شديد الخطورة، وحثت عملائها على ترقية Verse Director واتباع متطلبات جدار الحماية وتشديد الأمان. كما يوضح تحديث في نشرة Versa كيفية البحث عن التعليمات البرمجية الضارة على الأنظمة المصابة.
استنادًا إلى تعقيد وخطة الهجوم، يعتقد الباحثون في مختبرات بلاك لوتس أن “فولت تايفون” هي المسؤولة. “فولت تايفون” هي مجموعة ترعاها الدولة الصينية تستهدف قطاعات البنية التحتية المختلفة في الولايات المتحدة.
مصدر: مدونة فيرسا, مختبرات بلاك لوتس, آرس تكنيكا