حمله زنجیره تامین به PuTTY و OpenSSH

13 خرداد 1404 - خواندن 4 دقیقه - 21 بازدید

حمله زنجیره تامین به ابزارهای محبوب مانند PuTTY و OpenSSH یکی از تهدیدات جدی امنیت سایبری است که در سال های اخیر مشاهده شده است. این حمله به مهاجمان اجازه می دهد که از طریق نسخه های آلوده شده این نرم افزارها، دسترسی مداوم به سیستم های قربانی ایجاد کنند. در این یاداشت، به تحلیل فنی این حمله، کشورهای درگیر، آمار و راهکارهای مقابله پرداخته می شود.

۱. مقدمه 
حملات زنجیره تامین یکی از روش های پیچیده نفوذ سایبری هستند که در آن مهاجمان کد مخرب را در نرم افزارهای معتبر جاسازی می کنند. این نوع حمله معمولا تاثیر گسترده ای روی زیرساخت های حیاتی دارد، زیرا کاربران بدون اطلاع از آلوده بودن نرم افزار، از آن برای انجام کارهای روزمره خود استفاده می کنند. 

PuTTY و OpenSSH for Windows دو ابزار رایج مدیریت SSH و انتقال امن داده ها هستند که در سرورهای مختلف مورد استفاده قرار می گیرند. انتشار نسخه های جعلی این نرم افزارها منجر به نفوذ گسترده مهاجمان شده است.
۲. جزئیات فنی حمله 
این حمله شامل مراحل کلیدی زیر است: 
🔹 توزیع نرم افزارهای جعلی – مهاجمان نسخه های آلوده شده را در سطح اینترنت منتشر کرده اند. 
🔹 اجرای کد مخرب – فایل های آلوده با نام هایی مشابه فایل های سیستمی ویندوز (مانند dllhost.exe) در مسیر C:\Users\Public\ نصب می شوند. 
🔹 ایجاد کانال های ارتباطی مخفی – بدافزار فایل های پیکربندی SSH جعلی را در مسیر C:\Windows\Temp\config قرار می دهد که ارتباط با سرورهای فرمان و کنترل (C2 Servers) از طریق پورت 443 را برقرار می کنند. 
🔹 اتصال مجدد و اجرای زمان بندی شده – مهاجمان از قابلیت Auto-Reconnect و Scheduled Execution برای حفظ دسترسی طولانی مدت استفاده می کنند. 
۳. کشورهای درگیر و گروه های هکری 
این حمله در کشورهای زیر تاثیرگذار بوده است: 
🌍 ایالات متحده – هدف اصلی حمله، سازمان های دولتی و شرکت های فناوری 
🌍 روسیه – ارتباط احتمالی با گروه های وابسته به سرویس های اطلاعاتی 
🌍 اتحادیه اروپا – مورد حمله گروه های سایبری مرتبط با جرایم سایبری 
🌍 چین و کره شمالی – احتمال همکاری گروه های نفوذ با سازمان های دولتی 

گروه های هکری وابسته به سازمان اطلاعات نظامی روسیه (GRU) مانند Fancy Bear از این حملات برای نفوذ به زیرساخت های ارتباطی و شبکه های شرکتی غربی استفاده کرده اند. همچنین، در چین، گروه APT41 به انتشار نسخه های جعلی از ابزارهای مدیریتی پرداخت.
۴. آمار حمله و تاثیرات 
📊 تعداد دستگاه های آلوده – بیش از ۵۰۰،۰۰۰ دستگاه در سطح جهانی گزارش شده اند. 
📊 نرخ شناسایی آنتی ویروس ها – فقط ۱۸ از ۷۱ آنتی ویروس توانسته اند بدافزار را شناسایی کنند. 
📊 بیشترین تاثیرگذاری – در زیرساخت های حمل ونقل، مالی و دولتی مشاهده شده است. 

بررسی های جدید نشان داده است که بیش از ۳۰٪ از نسخه های آلوده شده، به سرورهای فرمان و کنترل در روسیه و چین متصل شده اند.
۵. لینک اکسپلویت و منابع تحقیقاتی 
🔗 تحلیل امنیتی حمله: اینجا 
🔗 آسیب پذیری های نسخه های قدیمی PuTTY: اینجا 
🔗 تحقیقات درباره گروه های APT و تهدیدات سایبری: اینجا 
۶. راهکارهای مقابله 
✅ به روزرسانی فوری نرم افزارها – ارتقا به نسخه های امن PuTTY و OpenSSH 
✅ بررسی سیستم برای فایل های مشکوک – جستجو در مسیرهای C:\Users\Public\ و C:\Windows\Temp\config 
✅ استفاده از ابزارهای امنیتی پیشرفته – SIEM و EDR برای شناسایی حملات مخفی 
✅ نظارت بر ارتباطات شبکه – تحلیل ترافیک برای شناسایی ارتباطات با C2 Servers 
۷. نتیجه گیری 
حملات زنجیره تامین مانند انتشار نسخه های آلوده PuTTY و OpenSSH نشان دهنده پیچیدگی تهدیدات سایبری هستند. سازمان ها و کاربران باید با استفاده از راهکارهای امنیتی مدرن از نفوذ مهاجمان جلوگیری کنند و اطلاعات حساس خود را محافظت نمایند.