کمیته رکن چهارم– یک گروه هکری منتسب به دولت چین با نام Flax Typhoon برای بیش از یک سال از سرور نرمافزار ArcGIS بهعنوان در پشتی استفاده کردهاند. این گروه با تغییر یکی از افزونههای جاوا، موفق به ایجاد دسترسی مخفی و پایدار به شبکه قربانی شده است.
به گزارش کمیته رکن چهارم، مهاجمان با بارگذاری یک افزونه دستکاریشده به نام JavaSimpleRESTSOE، از طریق آن توانستند دستورات دلخواه را روی سرور اجرا کنند. این کد شامل کلیدی سختکد شده بود و حتی پس از بازیابی کامل سیستم نیز باقی میماند. مهاجمان همچنین با استفاده از نرمافزار SoftEther VPN و ایجاد سرویس جعلی SysBridge، ارتباط دائمی با شبکه داخلی قربانی برقرار کردند.
این ارتباط از طریق تونل HTTPS در پورت ۴۴۳ به سروری تحت کنترل مهاجمان متصل میشد و به آنها اجازه میداد از دید ابزارهای امنیتی پنهان بمانند. طبق بررسیها، این گروه بهطور خاص ایستگاههای کاری کارکنان فناوری اطلاعات را هدف گرفته و حتی موفق به تغییر رمز عبور ادمین شدهاند.
این حمله بدون بهرهگیری از آسیبپذیری نرمافزاری خاصی انجام شده و تمرکز آن بر سوءاستفاده از ضعف در شیوههای امنیت عملیاتی قربانی بوده است. استفاده از ابزارهای قانونی مانند افزونههای رسمی ArcGIS باعث شده فعالیت مخرب مهاجمان برای مدت طولانی شناسایی نشود.
تحقیقات نشان میدهد هدف اصلی این گروه، جمعآوری اطلاعات و دستیابی به سطح دسترسی بالا در شبکه بوده است. این نمونه، هشداری روشن درباره تبدیل ابزارهای قابل اعتماد به ابزار نفوذ و لزوم تقویت نظارت امنیتی بر منابع داخلی است.
