آسیب پذیری امنیتی SolarWinds و هک نهادهای دولتی آمریکا
هک سیستمهای وزارت خزانه داری آمریکا توسط هکرهای روسی
تعدادی از هکرها که ظاهراً برای دولت روسیه کار میکنند، سیستمهای وزارت خزانه داری آمریکا، اداره اطلاعات و ارتباطات ملی وزارت تجارت (NTIA) و سایر نهادهای دولتی آمریکا را مورد هدف قرار داده اند تا بتوانند بر ایمیل های داخلی این سازمانها نظارت کنند. پس از بررسیها و مطالعات انجام شده مشخص گردیده که این حملات توسط گروهی به نام “APT29” یا “Cozy Bear” که مدتی پیش به شرکت امنیت سایبری FireEye نیز نفوذ کرده و توانسته بودند ابزارهای آزمون نفوذپذیری تیم قرمز این شرکت را سرقت کنند، انجام شده است.
با وجود آنکه هنوز انگیزه این گروه هکری از انجام این حملات مشخص نشده اما شواهد بیانگر آن است این گروه از یک بهروزرسانی امنیتی که به تازگی توسط شرکت SolarWinds که ارایه دهنده خدمات زیرساخت فناوری اطلاعات است، منتشر شده برای نفوذ به سیستمهای نهادهای دولتی آمریکا و همچنین شرکت امنیتی FireEye استفاده کرده و یک زنجیره حمله بسیار پیچیده را بر ضد نهادهای دولتی آمریکا اجرا نموده است.
مدیر آژانس امنیت سایبری و زیرساخت آمریکا (CISA[1]) در این خصوص گفته: «در حال حاضر CISA یک بخشنامه اضطراری منتشر و از نهادهای فدرال درخواست کرده شبکههای خودشان را بررسی کنند تا هر گونه فعالیت مشکوک احتمالی را در اسرع وقت شناسایی نموده یا محصولات شرکت SolarWinds را غیرفعال کنند».
لازم به ذکر است امروزه محصولات امنیتی و شبکه شرکت SolarWinds بیش از 300 هزار مشتری در سطح جهان از جمله شرکتهای عضو فورچون 500، نهادهای دولتی و خصوصی و نیز مراکز آموزشی دارد. این شرکت همچنین به چندین شرکت مخابراتی بزرگ، ارتش آمریکا و سایر سازمانهای دولتی مهم همچون پنتاگون، وزارتخانهها، ناسا، آژانس امنیت ملی، اداره پست، NOAA، وزارت دادگستری و دفتر ریاست جمهوری آمریکا هم خدماتی را ارایه میدهد.
نبردی فراگیر برای توزیع درب پشتی SUNBURST
FireEye که این حمله را با نام UNC2452 رهگیری میکند، اعلام کرده مهاجمان از بهروزرسانیهای نرمافزار SolarWinds Orion آلوده به تروجان برای توزیع یک درب پشتی به نام “SUNBURST” استفاده کرده اند. این شرکت امنیت سایبری در تحلیلی که منتشر کرده، گفته است: «این حمله که ممکن است از اوایل بهار 2020 شروع شده باشد، همچنان ادامه دارد. فعالیتهای پس از این نفوذ نیز شامل حرکات جانبی در شبکه و سرقت دادهها بوده اند. این حمله توسط یک هکر ماهر و در سطح بسیار بالایی از امنیت عملیاتی اجرا شده است».
این نسخه از برنامه SolarWinds Orion به جز این که ترافیک خودش را به عنوان ترافیک پروتکل Orion Improvement Program (OIP) جلوه میدهد، از طریق پروتکل HTTP نیز با سرورهای راه دور در ارتباط است تا بتواند فرمانهای مخرب از جمله انتقال و اجرای فایلها، مشخص کردن اطلاعات سیستم هدف، راه اندازی مجدد آن و غیرفعال کردن سرویسهای سیستمی را دریافت و اجرا کند.
معمولاً از پروتکل OIP برای جمع آوری اطلاعات درباره عملکرد سیستم و دادههای آماری مربوط به استفاده از سیستم توسط کاربران SolarWinds و با هدف ارتقای قابلیتهای این محصول استفاده میشود. نکته مهم این است که آیپیهای مورد استفاده برای این حمله با کمک سرورهای ویپیان مستقر در کشور قربانی مبهم سازی شده بودند تا امکان شناسایی آنها وجود نداشته باشد.
شرکت مایکروسافت نیز در یک تحلیل مجزا این یافته را تأیید و اعلام کرده که در این حمله (که به آن Solorigate میگوید) از نرمافزار SolarWinds برای تزریق کدهای مخرب سوءاستفاده شده است. به گفته شرکت مایکروسافت، «یک کلاس از نرمافزارهای مخرب که مجهز به یک درب پشتی بوده بین سایر کلاسهای معمولی قرار گرفته و سپس با دقت در سازمانهای مورد نظر توزیع شده است».
انتشار یک راهنمای امنیتی توسط SolarWinds
شرکت SolarWinds در راهنمای امنیتی خود که منتشر کرده، اعلام نموده در این حمله نسخههای 2019.4 تا 2020.2.1 از نرمافزار پلتفرم Orion شرکت SolarWinds مورد هدف قرار گرفته که در سال 2020 منتشر شدهاند. این شرکت به کاربران توصیه کرده در اسرع وقت پلتفرم Orion را به نسخه 2020.2.1 HF 1 ارتقا دهند.
این شرکت که هم اکنون با همراهی FireEye و اداره تحقیقات فدرال آمریکا در حال تحقیق و بررسی درباره جزییات این حمله است، اخیراً یک اصلاحیه دیگر به شماره 2020.2.1 HF 2 منتشر کرده که بخشهای آسیبپذیر از آن حذف شده و امنیت آن ارتقا یافته است.
چندی پیش نیز FireEye اعلام کرد قربانی یک حمله دولتی بسیار پیچیده شده است. این حمله، ابزارهای نرمافزاری این شرکت شامل ابزارهای عمومی و نسخ اصلاح یافته آنها و نیز ابزارهای طراحی شده که برای آزمون نفوذپذیری سیستمهای مشتریان خود از آن استفاده میشوند را هدف گرفته است. این سرقت همچنین شامل اکسپلویتهای خاصی بوده که از آسیبپذیریهای مهم موجود در Pulse Secure SSL VPN (CVE-2019-11510)، Microsoft Active Directory (CVE-2020-1472)، Zoho ManageEngine Desktop Central (CVE-2020-10189) و Windows Remote Desktop Services (CVE-2019-0708) استفاده میکنند.
به نظر میرسد این کمپین، یک حمله بسیار گسترده و در سطح جهانی بوده است. شرکت FireEye اعلام کرده فعالیتهای مختلفی از آن در سطح جهان مشاهده شده که دولتها، شرکتهای مشاوره حوزه فناوری، مخابرات و غیره را در آمریکای شمالی، اروپا، آسیا و خاورمیانه مورد هدف قرار داده است. نشانه های نفوذ و سایر علایمی که برای شناسایی SUNBURST طراحی شدهاند، از طریق این لینک در دسترس عموم قرار دارند.
[1] US Cybersecurity and Infrastructure Security Agency
منبع: thehackernews