تقول وكالة الأمن القومي إنها تتعقب هجمات Ivanti الإلكترونية حيث ضرب المتسللون قطاع الدفاع الأمريكي

أكدت وكالة الأمن القومي الأمريكية أن المتسللين الذين يستغلون العيوب في جهاز VPN المؤسسي المستخدم على نطاق واسع من Ivanti قد استهدفوا مؤسسات عبر قطاع الدفاع الأمريكي.

أكد المتحدث باسم وكالة الأمن القومي إدوارد بينيت في بيان عبر البريد الإلكتروني لموقع TechCrunch يوم الجمعة أن وكالة المخابرات الأمريكية، جنبًا إلى جنب مع نظيراتها المشتركة بين الوكالات، “تتتبع وتدرك التأثير الواسع النطاق الناجم عن الاستغلال الأخير لمنتجات Ivanti، بما في ذلك [sic] قطاع الدفاع الأمريكي”.

“ال [NSA’s] وأضاف المتحدث أن مركز التعاون في مجال الأمن السيبراني يواصل العمل مع شركائنا لاكتشاف هذا النشاط والتخفيف منه.

ويأتي التأكيد على أن وكالة الأمن القومي تتعقب هذه الهجمات الإلكترونية بعد أيام من إعلان مانديانت أن قراصنة التجسس الصينيين المشتبه بهم قاموا “بمحاولات جماعية” لاستغلال نقاط الضعف المتعددة التي تؤثر على برنامج Ivanti Connect Secure، وهو برنامج VPN الشهير للوصول عن بعد والذي تستخدمه آلاف الشركات والمنظمات الكبيرة في جميع أنحاء العالم.

قال مانديانت في وقت سابق من هذا الأسبوع إن المتسللين المدعومين من الصين الذين تم تتبعهم كمجموعة تهديد تسميها UNC5325 استهدفوا مؤسسات عبر مجموعة متنوعة من الصناعات. وقال مانديانت، نقلاً عن نتائج سابقة توصلت إليها شركة Volexity الأمنية، إن ذلك يشمل قطاع القواعد الصناعية الدفاعية الأمريكية، وهو شبكة عالمية تضم آلاف منظمات القطاع الخاص التي توفر المعدات والخدمات للجيش الأمريكي.

في تحليلها، قالت مانديانت إن UNC5325 يُظهر “معرفة كبيرة” بجهاز Ivanti Connect Secure وقد استخدم تقنيات العيش خارج الأرض – استخدام الأدوات والميزات المشروعة الموجودة بالفعل في النظام المستهدف – لتجنب الكشف بشكل أفضل، مانديانت قال. كما نشر المتسللون المدعومين من الصين برامج ضارة جديدة “في محاولة للبقاء مدمجًا في أجهزة Ivanti، حتى بعد إعادة ضبط المصنع، وترقية النظام، والتصحيحات”.

وقد تردد هذا في الاستشارة الصادرة عن وكالة الأمن السيبراني الأمريكية CISA يوم الخميس، والتي حذرت من أن المتسللين الذين يستغلون أجهزة Ivanti VPN الضعيفة قد يكونون قادرين على الحفاظ على استمرار مستوى الجذر حتى بعد إجراء عمليات إعادة ضبط المصنع. وقالت وكالة الأمن السيبراني الفيدرالية إن اختباراتها المستقلة أظهرت أن المهاجمين الناجحين قادرون على خداع أداة التحقق من النزاهة الخاصة بشركة Ivanti، والتي يمكن أن تؤدي إلى “الفشل في اكتشاف التسوية”.

ردًا على نتائج CISA، قلل مايك ريمر، كبير مسؤولي أمن المعلومات الميداني في Ivanti، من أهمية النتائج التي توصلت إليها CISA، وأخبر TechCrunch أن Ivanti لا تعتقد أن اختبارات CISA ستعمل ضد بيئة العملاء المباشرة. وأضاف ريمر أن إيفانتي “ليست على علم بأي حالات لاستمرار ممثل التهديد الناجح بعد تنفيذ التحديثات الأمنية وإعادة ضبط المصنع التي أوصت بها إيفانتي”.

ولا يزال من غير المعروف على وجه التحديد عدد عملاء Ivanti المتأثرين بالاستغلال واسع النطاق لثغرات Connect Secure، والذي بدأ في يناير.

وقال أكاماي في تحليل نشر الأسبوع الماضي، إن المتسللين يطلقون ما يقرب من 250 ألف محاولة استغلال يوميًا واستهدفوا أكثر من 1000 عميل.