خبر

آسیب پذیری امنیتی SolarWinds و هک نهادهای دولتی آمریکا

تعدادی از هکرها که ظاهراً برای دولت روسیه کار می‌کنند، سیستم‌های وزارت خزانه داری آمریکا، اداره اطلاعات و ارتباطات ملی وزارت تجارت (NTIA) و سایر نهادهای دولتی آمریکا را مورد هدف قرار داده اند تا بتوانند بر ایمیل های داخلی این سازمان‌ها نظارت کنند. پس از بررسی­‌ها و مطالعات انجام شده مشخص گردیده که این حملات توسط گروهی به نام “APT29” یا “Cozy Bear” که مدتی پیش به شرکت امنیت سایبری FireEye نیز نفوذ کرده و توانسته بودند ابزارهای آزمون نفوذپذیری تیم قرمز این شرکت را سرقت کنند، انجام شده است.

با وجود آنکه هنوز انگیزه این گروه هکری از انجام این حملات مشخص نشده اما شواهد بیانگر آن است این گروه از یک به­‌روزرسانی امنیتی که به ­‌تازگی توسط شرکت SolarWinds که ارایه دهنده خدمات زیرساخت فناوری اطلاعات است، منتشر شده برای نفوذ به سیستم‌های نهادهای دولتی آمریکا و همچنین شرکت امنیتی FireEye استفاده کرده و یک زنجیره حمله بسیار پیچیده را بر ضد نهادهای دولتی آمریکا اجرا نموده است.

مدیر آژانس امنیت سایبری و زیرساخت آمریکا (CISA[۱]) در این­‌ خصوص گفته: «در حال حاضر CISA یک بخشنامه اضطراری منتشر و از نهادهای فدرال درخواست کرده شبکه‌های خودشان را بررسی کنند تا هر گونه فعالیت مشکوک احتمالی را در اسرع وقت شناسایی نموده یا محصولات شرکت SolarWinds را غیرفعال کنند».

لازم به ذکر است امروزه محصولات امنیتی و شبکه شرکت SolarWinds بیش از ۳۰۰ هزار مشتری در سطح جهان از جمله شرکت‌های عضو فورچون ۵۰۰، نهادهای دولتی و خصوصی و نیز مراکز آموزشی دارد. این شرکت همچنین به چندین شرکت مخابراتی بزرگ، ارتش آمریکا و سایر سازمان‌های دولتی مهم همچون پنتاگون، وزارتخانه‌ها، ناسا، آژانس امنیت ملی، اداره پست، NOAA، وزارت دادگستری و دفتر ریاست جمهوری آمریکا هم خدماتی را ارایه می‌دهد.

نبردی فراگیر برای توزیع درب پشتی SUNBURST

FireEye که این حمله را با نام UNC2452 رهگیری می‌کند، اعلام کرده مهاجمان از به‌روزرسانی‌های نرم‌افزار SolarWinds Orion آلوده به تروجان برای توزیع یک درب پشتی به نام “SUNBURST” استفاده کرده اند. این شرکت امنیت سایبری در تحلیلی که منتشر کرده، گفته است: «این حمله که ممکن است از اوایل بهار ۲۰۲۰ شروع شده باشد، همچنان ادامه دارد. فعالیت‌های پس از این نفوذ نیز شامل حرکات جانبی در شبکه و سرقت داده‌ها بوده اند. این حمله توسط یک هکر ماهر و در سطح بسیار بالایی از امنیت عملیاتی اجرا شده است».

این نسخه از برنامه SolarWinds Orion به جز این که ترافیک خودش را به عنوان ترافیک پروتکل Orion Improvement Program (OIP) جلوه می‌دهد، از طریق پروتکل HTTP نیز با سرورهای راه دور در ارتباط است تا بتواند فرمان‌های مخرب از جمله انتقال و اجرای فایل‌ها، مشخص کردن اطلاعات سیستم هدف، راه اندازی مجدد آن و غیرفعال کردن سرویس‌های سیستمی را دریافت و اجرا کند.

معمولاً از پروتکل OIP برای جمع آوری اطلاعات درباره عملکرد سیستم و داده‌های آماری مربوط به استفاده از سیستم توسط کاربران SolarWinds و با هدف ارتقای قابلیت‌های این محصول استفاده می‌شود. نکته مهم این است که آی‌پی‌های مورد استفاده برای این حمله با کمک سرورهای وی‌پی‌ان مستقر در کشور قربانی مبهم سازی شده بودند تا امکان شناسایی آنها وجود نداشته باشد.

شرکت مایکروسافت نیز در یک تحلیل مجزا این یافته را تأیید و اعلام کرده که در این حمله (که به آن Solorigate می‌گوید) از نرم‌افزار SolarWinds برای تزریق کدهای مخرب سوءاستفاده شده است. به گفته شرکت مایکروسافت، «یک کلاس از نرم‌افزارهای مخرب که مجهز به یک درب پشتی بوده بین سایر کلاس‌های معمولی قرار گرفته و سپس با دقت در سازمان‌های مورد نظر توزیع شده است».

انتشار یک راهنمای امنیتی توسط SolarWinds

شرکت SolarWinds در راهنمای امنیتی خود که منتشر کرده، اعلام نموده در این حمله نسخه‌های ۲۰۱۹.۴ تا ۲۰۲۰.۲.۱ از نرم‌افزار پلتفرم Orion شرکت SolarWinds مورد هدف قرار گرفته که در سال ۲۰۲۰ منتشر شده‌اند. این شرکت به کاربران توصیه کرده در اسرع وقت پلتفرم Orion را به نسخه ۲۰۲۰.۲.۱ HF 1 ارتقا دهند.

این شرکت که هم اکنون با همراهی FireEye و اداره تحقیقات فدرال آمریکا در حال تحقیق و بررسی درباره جزییات این حمله است، اخیراً یک اصلاحیه دیگر به شماره ۲۰۲۰.۲.۱ HF 2 منتشر کرده که بخش‌های آسیب‌پذیر از آن حذف شده و امنیت آن ارتقا یافته است.

چندی پیش نیز FireEye اعلام کرد قربانی یک حمله دولتی بسیار پیچیده شده است. این حمله، ابزارهای نرم‌افزاری این شرکت شامل ابزارهای عمومی و نسخ اصلاح یافته آنها و نیز ابزارهای طراحی شده که برای آزمون نفوذپذیری سیستم‌های مشتریان خود از آن استفاده می‌شوند را هدف گرفته است. این سرقت همچنین شامل اکسپلویت‌های خاصی بوده که از آسیب‌پذیری‌های مهم موجود در Pulse Secure SSL VPN (CVE-2019-11510)، Microsoft Active Directory (CVE-2020-1472)، Zoho ManageEngine Desktop Central (CVE-2020-10189) و Windows Remote Desktop Services (CVE-2019-0708)  استفاده می‌کنند.

به نظر می‌رسد این کمپین، یک حمله بسیار گسترده و در سطح جهانی بوده است. شرکت FireEye اعلام کرده فعالیت‌های مختلفی از آن در سطح جهان مشاهده شده که دولت‌ها، شرکت‌های مشاوره حوزه فناوری، مخابرات و غیره را در آمریکای شمالی، اروپا، آسیا و خاورمیانه مورد هدف قرار داده است. نشانه های نفوذ و سایر علایمی که برای شناسایی SUNBURST طراحی شده‌اند، از طریق این لینک در دسترس عموم قرار دارند.

 

[۱] US Cybersecurity and Infrastructure Security Agency

 

منبع: thehackernews

نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

5 × پنج =

دکمه بازگشت به بالا