خبر

هشدار CISA درباره حادثه SolarWinds

نهادهای محلی، ایالتی و فدرال آمریکا همگی از جمله قربانیان حمله‌ای بوده اند که نرم‌افزار نظارت بر شبکه Orion که محصول شرکت سولارویندز است را هدف گرفته بود. شدت این حمله به حدی بوده است که بنا بر گفته آژانس امنیت زیرساخت و امنیت سایبری آمریکا (CISA[۱])، «ممکن است قربانیان این حمله نیاز به بازسازی کامل شبکه‌های خود داشته باشند».

بررسی‌های دولت آمریکا درباره چگونگی اجرای این حمله که با نظارت CISA و FBI انجام شده است، نشان می دهد که احتمالاً همه نهادهای دولتی در هر سطحی تحت تأثیر این حمله مخرب قرار گرفته‌اند. بر اساس گزارش جدیدی که CISA منتشر کرده است، این نهاد: «در حال تحقیق درباره یک حمله سایبری مهم است که شبکه‌های سازمانی در بخش‌های محلی، ایالتی، دولتی و همچنین زیرساخت‌های حیاتی و سایر سازمان‌های بخش خصوصی را تحت تأثیر قرار داده است».

البته این سازمان هنوز اطلاعات بیشتری درباره اینکه کدام یک از نهادهای دولتی آمریکا تحت تأثیر این کمپین جاسوسی قرار گرفته‌اند، منتشر نکرده است. لازم به ذکر است در این کمپین، یک درب پشتی بر روی نرم‌افزار نظارت بر شبکه Orion که توسط شرکت SolarWinds در تگزاس آمریکا تولید می شود، نصب شده است. به گفته سازمان CISA، «مهاجمان منابع، صبر و تخصص لازم برای دسترسی به اطلاعات بسیار حساس را داشته‌اند».

CISA از همه سازمان‌ها درخواست کرده که شناسایی و مقابله با این تهدید را در اولویت فعالیت های کاری خود قرار دهند و اعلام نموده: «پس از گزارش حادثه، ممکن است نیاز باشد سازمان شما تمامی سیستم‌های شبکه تحت نظارت SolarWinds Orion را بازسازی کند؛ انجام چنین کاری نیازمند منابع زیادی بوده و کاری بسیار طولانی و پیچیده خواهد بود».

شرکت امنیتی فایرآی (FireEye) که در هنگام تحقیق در خصوص نفوذ به سیستم‌های خود متوجه این کمپین شده بود و در ماه دسامبر ۲۰۲۰ میلادی خبر این نفوذ امنیتی را منتشر کرد، این درب پشتی را “Sunburst” نام‌گذاری کرده است. شرکت SolarWinds اعلام کرده ۱۸ هزار مشتری این شرکت، نرم‌افزار آلوده به تروجان آن را که این شرکت نخستین بار در ماه مارس، به صورت ناخواسته آن را منتشر نموده، نصب کرده اند.

شرکت امنیت سایبری مک‌کافی نیز اعلام کرده بر اساس اطلاعات این شرکت، نسخه‌هایی از این نرم‌افزار که درب پشتی بر روی آنها قرار دارد حداقل در ۵۱ کشور و حدود بیست بخش و صنعت مختلف نصب شده‌اند. محققان هم اکنون در حال تلاش برای مشخص کردن سازمان‌هایی هستند که از این نسخه آلوده استفاده نموده اند و مهمتر از آن، شرکت‌هایی که احتمالاً به بدافزار مرحله دوم آلوده شده‌اند. شرکت FireEye، این بدافزار دوم را “Teardrop” نامیده که توانایی افزایش قابلیت‌هایی را به نسخه اصلی دارد.

به گفته Steve Grobman، مدیر ارشد فناوری شرکت مک کافی، «این بدافزار ممکن است باعث سرقت و نابودی داده‌ها، در اختیار گرفتن کنترل سیستم‌های حساس جهت دریافت باج، ایجاد نقص هماهنگ در سیستم‌ها به منظور اجرای عملیات فاجعه بار یا نصب نسخه‌های جدید برای حفظ کنترل و دسترسی به سیستم‌های سازمان‌ها شود».

آژانس امنیت ملی آمریکا (NSA) هم هشدار داده که مهاجمان SolarWinds، قابلیت دور زدن سازوکارهای احراز هویت را داشته و ممکن است از این قابلیت برای نفوذ به سازمان‌ها در مرحله دوم استفاده کنند.

دولت روسیه، متهم اصلی این حمله جاسوسی

مایک پومپئو وزیر امور خارجه و بیل بار دادستان کل آمریکا اعلام کرده‌اند روسیه مسئول انجام این حمله است ولی تاکنون هیچ شواهدی را برای اثبات این ادعای خود ارایه نکرده اند. منابع معتبری که البته نامی از آنها ذکر نشده است، در گفتگو با خبرنگاران اعلام نموده اند ظاهراً این حملات توسط سرویس اطلاعات خارجی روسیه (SVR) صورت گرفته‌اند.

کیت الکساندر رئیس شرکت IronNet Cybersecurity که پیش از این هدایت آژانس امنیت ملی و فرماندهی سایبری آمریکا را بر عهده داشته است، می‌گوید: «پرسشی که به نظرم هنوز پاسخ آن را در اختیار نداریم این است که هدف این حمله چه گروه یا نهادی بوده است». به گفته الکساندر، «هدف مهاجمان، کل قربانیان نبوده بلکه یک زیرمجموعه کوچک بوده است. با این حال، قصد آنها از این حمله چه بوده و اینکه آمریکا باید چه واکنشی به آن نشان دهد، موضوعی است که در آینده مشخص خواهد شد».

جو بایدن رئیس جمهور منتخب آمریکا نیز وعده داده که حتماً به این اقدام واکنش نشان خواهد داد. به گفته او: «هنوز هم مسایل زیادی، از جمله محدوده نفوذ یا میزان آسیب ایجاد شده وجود دارد که پاسخ آنها را نمی‌دانیم؛ اما از طرفی اطلاعات زیادی داریم، از جمله اینکه این حمله تهدید بزرگی بر ضد امنیت ملی ما بوده است». وی همچنین گفته: «این اقدام را نمی‌توانیم بی پاسخ رها کنیم. ما باید مشخص کنیم چه کسی مسئول این حمله بوده و گام‌های لازم برای ملزم کردن آنها به پاسخگویی را دنبال کنیم».

مرحله دوم حمله، با حداقل ۴۰ قربانی

شرکت مایکروسافت به حدود ۴۰ مشتری خود که ظاهراً قربانی مرحله دوم این حمله هستند، هشدارهای لازم را داده است. کوین ماندیا مدیرعامل اجرایی FireEye تخمین زده که هکرها متمرکز بر حدود ۵۰ هدف بسیار ارزشمند بوده‌اند. این اهداف نیز به بدافزار مرحله دوم آلوده شده‌اند که امکان اجرای کد از راه دور، سرقت داده‌ها و نفوذ به سیستم‌های سایر شرکت‌های همکار را برای مهاجمان فراهم می کند.

دولت آمریکا یکی از مشتریان بزرگ سولارویندز است. همچنین مؤسسه ملی سلامت، وزارت امنیت میهن و وزارتخانه‌های امور خارجه، تجارت و انرژی، همگی از نسخه آلوده به تروجان Orion استفاده کرده اند. وزارت خزانه داری هم یکی از این نهادها است که در ماه جولای ۲۰۲۰ مورد هدف این حمله قرار گرفته است.

به گفته سناتور ران وایدن، «هک وزارت خزانه داری به نظر می‌رسد بسیار مهم و جدی است». چندین قانونگذار و سیاستمدار نیز به دنبال کسب اطلاعات بیشتر درباره یافته‌های دولت آمریکا در این خصوص هستند. برای مثال، سناتور باب منندز از ترامپ خواسته که درباره تأثیر حمله SolarWinds بر وزارت امور خارجه، به کمیته روابط خارجی سنا توضیح بدهد. وی خواستار شفاف سازی درباره میزان موفقیت هکرها برای نفوذ به سیستم‌های وزارت امور خارجه و سایر نهادهای خصوصی و دولتی آمریکا شده است.

پس از انتشار خبر این حمله، FireEye، Microsoft و شرکت GoDaddy (که در زمینه ثبت دامنه‌های اینترنتی فعالیت دارد) توانسته اند یکی از دامنه‌های تحت کنترل مهاجمان را در اختیار گرفته تا بتوانند در عملیات فرماندهی و کنترل آنها بر سیستم‌های آلوده اختلال ایجاد کنند. همچنین محققان شرکت چینی RedDrip Team توانستند ابزاری تولید کنند که امکان رمزگشایی تعدادی از اطلاعات این سرورها را فراهم می‌کند. در پی این تلاش ها آنها موفق شده اند بعضی از سازمان‌هایی که آلوده به بدافزار Sunburst شده اند، از جمله شرکت‌های Belkin، Cisco، Intel، NVidia و VMware همچنین دانشگاه آیووا و شرکت Hilton Grand Vacation را شناسایی کنند.

بازسازی کامل شبکه‌های فعلی

CISA در اطلاعیه‌ای که منتشر کرده از همه سازمان‌هایی که از محصول Orion شرکت سولارویندز استفاده می‌کنند درخواست کرده که بلافاصله بررسی کنند آیا تحت تأثیر این حمله قرار گرفته‌اند یا خیر.

به گفته CISA، «اگر شما هم مورد هدف این حمله قرار گرفته اید، واکنش به حادثه و مقابله با آثار آن را اولویت اصلی خودتان قرار دهید. منابع لازم را اختصاص داده و در مراحل واکنش به حادثه و مقابله با آثار حمله، عملیات امنیتی خودتان را حفظ کنید. سازمان شما ممکن است نیاز داشته باشد که پس از واکنش به این حادثه، همه سیستم‌های شبکه که تحت نظارت SolarWinds Orion قرار داشته‌اند را بازسازی کند؛ انجام این کار، مستلزم صرف منابع زیادی بوده و یک فرایند طولانی و پیچیده است».

رعایت نکردن این توصیه‌ها ممکن است باعث حفظ دسترسی مهاجمان به شبکه‌های آلوده شود. گرگوری توهیل که اولین مدیر ارشد امنیت اطلاعات دولت فدرال آمریکا است در یک پست وبلاگی نوشته که: «شاید در این شرایط بسیاری از سازمان‌ها به این نتیجه برسند که تنها راه برای از بین بردن تهدید، نابودی شبکه فعلی خودشان و بازسازی دوباره آن باشد».

بروس اشنایر کارشناس امنیت سایبری هم در مطلبی که در مجله گاردین منتشر شده است، گفته که: «بازیابی از این حمله کار آسانی نیست. از آنجا که هکرهای SVR امکان دسترسی دایم را برای خودشان فراهم کرده‌اند تنها راه برای اطمینان از اینکه شبکه شما پاکسازی شده، نابودی شبکه فعلی و بازسازی دوباره آن است که به نوعی شبیه نصب دوباره سیستم عامل پس از یک هک بد است. حتی در صورت انجام این کارها باز هم نمی‌توانید نسبت به حفظ امنیت خودتان اطمینان داشته باشید».

 

[۱] Cybersecurity and Infrastructure Security Agency

نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

17 − هفت =

دکمه بازگشت به بالا