حمله گروه Winnti، توسط آسیب‌پذیری CVE-2024-24919 برای نفوذ به سازمان‌های (OT) در سراسر جهان

مجرمان سایبری چینی با بهره برداری(Exploit) از یک آسیب‌پذیری در شبکه‌های خصوصی مجازی (VPN)، به شرکت‌های تولیدی حساس در سراسر جهان نفوذ کرده‌اند.

در مصاحبه‌ای اختصاصی با Dark Reading در رویداد CPX 2025، محققان شرکت چک پوینت  اطلاعات جدیدی را درباره یک حمله جاسوسی چندماهه که  روی سرقت مالکیت معنوی (Intellectual Property-IP) متمرکز است، ارائه دادند. در این حمله، هیچ آسیب‌پذیری جدیدی کشف یا مورد سوءاستفاده قرار نگرفته و مهاجمان تنها از یک نقص که قبلاً افشا و پچ شده بود، بهره‌برداری کرده‌اند. مهاجمان که احتمالا به گروه (APT41 معروف به Winnti) نسبت داده می‌شوند، توانستند به چندین سازمان فناوری عملیاتی (OT) در سطح جهانی نفوذ کنند.

گروه APT41، در گذشته به حملات سایبری علیه زیرساخت‌های حیاتی پرداخته است. به‌عنوان مثال، در سال 2023، این گروه شبکه برق ملی یک کشور آسیایی را به مدت شش ماه تحت نفوذ خود داشت و از تروجان ShadowPad برای سرقت داده‌های حساس استفاده کرد.

در حال حاضر، شرکت چک پوینت تنها توانسته است نفوذ به مشتریان خود را شناسایی کند؛ اما محققان این شرکت هشدار داده‌اند که احتمالاً بسیاری دیگر از سازمان‌ها نیز قربانی این حملات شده‌اند.

مهاجمان چینی از یک Gateway CVE سوء استفاده می کنند

فعالیت این مهاجمان در چندین موج انجام شده است:

• حملات بلافاصله پس از افشای آسیب‌پذیری و انتشار پچ امنیتی در می ۲۰۲۴ آغاز شد.
• اوج این فعالیت‌ها در نوامبر ۲۰۲۴ گزارش شده است.
• حملات تا ماه گذشته همچنان ادامه داشته‌اند.

تمامی قربانیان از طریق آسیب‌پذیری CVE-2024-24919 مورد حمله قرار گرفته‌اند. تمامی قربانیان از طریق آسیب‌پذیری CVE-2024-24919 مورد حمله قرار گرفته‌اند. این آسیب‌پذیری در گیت وی امنیتی شرکت چک پوینت که در اینترنت برای عموم قابل‌ دسترسی بوده و برای دسترسی از راه دور پیکربندی شده‌، وجود دارد.

جزئیات فنی آسیب‌پذیری CVE-2024-24919

این آسیب‌پذیری ناشی از یک نقص جزئی در اعتبار سنجی مسیر فایل‌ها در این تجهیزات امنیتی بوده است. مهاجمان با استفاده از درخواست‌های خاص و دستکاری‌شده، می‌توانستند بدون احراز هویت، به دایرکتوری‌ها و فایل‌هایی که نباید به آن‌ها دسترسی داشته باشند، نفوذ کنند.

این فایل‌ها می‌توانند شامل هش‌های رمز عبور باشند. در صورت رمزگشایی این اطلاعات، مهاجمان می‌توانند به سطح دسترسی کاربر مدیر (Superuser) برسند. در نتیجه، کنترل کامل دستگاه و شبکه هدف را به دست می‌آورند.

به دلیل شدت خطر، CVE-2024-24919 در سیستم امتیازدهی CVSS  نمره ۸.۶ از ۱۰ را دریافت کرده است که درجه بالا محسوب می‌شود.

مهاجمان از این دسترسی برای حرکت جانبی در شبکه‌های هدف استفاده کرده و سطح دسترسی خود را به مرور افزایش داده‌اند.  در نهایت، آن‌ها موفق به کنترل سیستم‌های حیاتی مانند دامین کنترلر(domain controller) شدند. به عنوان آخرین مرحله حمله، مهاجمان دسترسی ماندگار ایجاد کرده‌اند که شامل نصب بکدور ShadowPad بوده است.

بر اساس تحقیقات چک پوینت، هدف اصلی مهاجمان سرقت مالکیت معنوی (IP) ارزشمند بوده است.

تا به امروز، هیچ گزارشی مبنی بر ایجاد اخلال یا تخریب سیستم‌ها توسط این مهاجمان ثبت نشده است. به همین دلیل، محققان این کمپین را به‌عنوان یک حمله جداگانه در نظر می‌گیرند و آن را متمایز از حمله‌ای که Orange Cyberdefense در ۱۸ فوریه افشا کرد، طبقه‌بندی کرده‌اند. در آن حمله، گروهی که با نام “Green Nailao”  شناخته می‌شود، از آسیب‌پذیری  CVE-2024-24919  برای آلوده کردن سازمان‌های اروپایی با بدافزارهای ShadowPad، PlugX  و NailoLocker استفاده کرده بود.

سازمان های OT در سطح جهان که مورد هدف قرار گرفته اند

شرکت چک پوینت بین 20 تا 30 سازمان قربانی را شناسایی کرده است که در مناطق جغرافیایی گسترده‌ای فعالیت می‌کنند.

بیشتر قربانیان در ایالات متحده و آمریکای لاتین قرار دارند و ۲۰٪ از کل اهداف در مکزیک شناسایی شده‌اند. سازمان‌هایی در اروپا، خاورمیانه و آفریقا نیز مورد هدف قرار گرفته اند.

هرچند حملات به یک منطقه خاص محدود نبوده است؛ اما مهاجمان تمرکز ویژه‌ای بر صنایع OT حیاتی داشته‌اند. به عنوان مثال، برخی از اهداف این حمله تأمین‌کنندگان کلیدی زنجیره تأمین در صنعت هوانوردی و هوافضا بوده‌اند. تقریباً نیمی از قربانیان شناسایی‌شده در بخش تولید فعالیت دارند.

تعداد کمتری از قربانیان نیز از صنایع نامرتبط و مناطق کمتر شناخته‌شده مانند شرکت‌های خدماتی در کشورهای کوچک و شرکت‌های مالی در آفریقا بوده‌اند. Lotem Finkelsteen، رئیس بخش آگاهی از تهدید در چک پوینت، تاکید می کند که مهاجمان بسیار دقیق و حساب‌شده عمل می‌کنند؛ اما گاهی اوقات اهداف جانبی وجود دارند که در استراتژی اصلی نبودند. با این حال، وقتی آن‌ها به یک شبکه دسترسی پیدا می‌کنند، ممکن است از آن دسترسی برای اهداف بعدی استفاده کنند.

به گفته Eli Smadja، مدیر گروه تحقیقاتی چک پوینت، هیچ‌کس واقعاً نمی‌تواند افکار مهاجمان را حدس بزند. ممکن است یک شرکت در نگاه اول اهمیت چندانی نداشته باشد اما در واقع یک دروازه‌ی ورود به سازمان، هدف اصلی مهاجمان باشد. آن‌ها می‌توانند از یک شرکت مالی برای دسترسی به هدف واقعی خود سوءاستفاده کنند.

شرکت‌های کوچک OT در معرض خطر

نکته‌ی مهم دیگر، اندازه‌ی شرکت‌هایی است که در این حملات هدف قرار گرفته‌اند. برخلاف تصور عمومی که شرکت‌های تولیدی بسیار بزرگ هدف تهدید هستند، بسیاری از آن‌ها در واقع سازمان‌های کوچک‌تری هستند.

به گفته Finkelsteen، مردم معمولا تصور می‌کنند تولیدکنندگان شرکت‌های بزرگی هستند؛ اما در واقع بسیاری از آن‌ها سازمان‌های کوچکی هستند که تنها یک کارخانه دارند یا در مقیاسی مانند یک کارگاه فعالیت می‌کنند. با این حال، این شرکت‌ها می‌توانند به‌اندازه‌ی شرکت‌های بزرگ ارزشمند باشند. در حملات قبلی توسط گروه‌های چینی مشاهده شد که بسیاری از اهداف، کسب‌وکارهای کوچک بوده‌اند.

Sergey Shykevich، مدیر گروه Threat intelligence چک پوینت، در ادامه تاکید کرد که سازمان‌های OT کوچک به همان دلایلی که سایر شرکت‌ها مورد هدف قرار می‌گیرند، برای مهاجمان جذاب هستند. به گفته ی این محقق، این سازمان ها معمولا تیم امنیت سایبری ندارند. در بهترین حالت، تنها یک نفر مسئولیت بخش فناوری اطلاعات و امنیت را همزمان بر عهده دارد. گاهی اوقات، فردی که محققان تهدید برای اطلاع‌رسانی در مورد حملات باید با او تماس بگیرند، همان مالک کسب‌وکار است.

بنا به گفته Finkelsteen، سازمان های کوچک معمولاً به‌روزرسانی‌ها یا پچ های امنیتی را به‌موقع انجام نمی‌دهند یا حتی از تدابیر امنیتی لازم برای محافظت از گیت وی ها، روترها یا سایر تجهیزاتشان آگاه نیستند. کسب‌وکارهای کوچک باید بدانند که تجهیزات خریداری‌شده‌ی آن‌ها باید به‌طور مستمر پشتیبانی و به‌روزرسانی شوند تا در برابر گروه‌های قدرتمندی که به دنبال نفوذ هستند، آسیب‌پذیر نباشند.

او همچنین تاکید کرد، اینکه گروه‌های تهدید پیشرفته با ابزارهای بسیار پیچیده، کسب‌وکارهای کوچک را هدف قرار می‌دهند، به‌هیچ‌وجه یک بازی عادلانه نیست.

منابع: