هشدار CISA درباره حادثه SolarWinds
نهادهای محلی، ایالتی و فدرال آمریکا همگی از جمله قربانیان حملهای بوده اند که نرمافزار نظارت بر شبکه Orion که محصول شرکت سولارویندز است را هدف گرفته بود. شدت این حمله به حدی بوده است که بنا بر گفته آژانس امنیت زیرساخت و امنیت سایبری آمریکا (CISA[1])، «ممکن است قربانیان این حمله نیاز به بازسازی کامل شبکههای خود داشته باشند».
بررسیهای دولت آمریکا درباره چگونگی اجرای این حمله که با نظارت CISA و FBI انجام شده است، نشان می دهد که احتمالاً همه نهادهای دولتی در هر سطحی تحت تأثیر این حمله مخرب قرار گرفتهاند. بر اساس گزارش جدیدی که CISA منتشر کرده است، این نهاد: «در حال تحقیق درباره یک حمله سایبری مهم است که شبکههای سازمانی در بخشهای محلی، ایالتی، دولتی و همچنین زیرساختهای حیاتی و سایر سازمانهای بخش خصوصی را تحت تأثیر قرار داده است».
البته این سازمان هنوز اطلاعات بیشتری درباره اینکه کدام یک از نهادهای دولتی آمریکا تحت تأثیر این کمپین جاسوسی قرار گرفتهاند، منتشر نکرده است. لازم به ذکر است در این کمپین، یک درب پشتی بر روی نرمافزار نظارت بر شبکه Orion که توسط شرکت SolarWinds در تگزاس آمریکا تولید می شود، نصب شده است. به گفته سازمان CISA، «مهاجمان منابع، صبر و تخصص لازم برای دسترسی به اطلاعات بسیار حساس را داشتهاند».
CISA از همه سازمانها درخواست کرده که شناسایی و مقابله با این تهدید را در اولویت فعالیت های کاری خود قرار دهند و اعلام نموده: «پس از گزارش حادثه، ممکن است نیاز باشد سازمان شما تمامی سیستمهای شبکه تحت نظارت SolarWinds Orion را بازسازی کند؛ انجام چنین کاری نیازمند منابع زیادی بوده و کاری بسیار طولانی و پیچیده خواهد بود».
شرکت امنیتی فایرآی (FireEye) که در هنگام تحقیق در خصوص نفوذ به سیستمهای خود متوجه این کمپین شده بود و در ماه دسامبر 2020 میلادی خبر این نفوذ امنیتی را منتشر کرد، این درب پشتی را “Sunburst” نامگذاری کرده است. شرکت SolarWinds اعلام کرده 18 هزار مشتری این شرکت، نرمافزار آلوده به تروجان آن را که این شرکت نخستین بار در ماه مارس، به صورت ناخواسته آن را منتشر نموده، نصب کرده اند.
شرکت امنیت سایبری مککافی نیز اعلام کرده بر اساس اطلاعات این شرکت، نسخههایی از این نرمافزار که درب پشتی بر روی آنها قرار دارد حداقل در 51 کشور و حدود بیست بخش و صنعت مختلف نصب شدهاند. محققان هم اکنون در حال تلاش برای مشخص کردن سازمانهایی هستند که از این نسخه آلوده استفاده نموده اند و مهمتر از آن، شرکتهایی که احتمالاً به بدافزار مرحله دوم آلوده شدهاند. شرکت FireEye، این بدافزار دوم را “Teardrop” نامیده که توانایی افزایش قابلیتهایی را به نسخه اصلی دارد.
به گفته Steve Grobman، مدیر ارشد فناوری شرکت مک کافی، «این بدافزار ممکن است باعث سرقت و نابودی دادهها، در اختیار گرفتن کنترل سیستمهای حساس جهت دریافت باج، ایجاد نقص هماهنگ در سیستمها به منظور اجرای عملیات فاجعه بار یا نصب نسخههای جدید برای حفظ کنترل و دسترسی به سیستمهای سازمانها شود».
آژانس امنیت ملی آمریکا (NSA) هم هشدار داده که مهاجمان SolarWinds، قابلیت دور زدن سازوکارهای احراز هویت را داشته و ممکن است از این قابلیت برای نفوذ به سازمانها در مرحله دوم استفاده کنند.
دولت روسیه، متهم اصلی این حمله جاسوسی
مایک پومپئو وزیر امور خارجه و بیل بار دادستان کل آمریکا اعلام کردهاند روسیه مسئول انجام این حمله است ولی تاکنون هیچ شواهدی را برای اثبات این ادعای خود ارایه نکرده اند. منابع معتبری که البته نامی از آنها ذکر نشده است، در گفتگو با خبرنگاران اعلام نموده اند ظاهراً این حملات توسط سرویس اطلاعات خارجی روسیه (SVR) صورت گرفتهاند.
کیت الکساندر رئیس شرکت IronNet Cybersecurity که پیش از این هدایت آژانس امنیت ملی و فرماندهی سایبری آمریکا را بر عهده داشته است، میگوید: «پرسشی که به نظرم هنوز پاسخ آن را در اختیار نداریم این است که هدف این حمله چه گروه یا نهادی بوده است». به گفته الکساندر، «هدف مهاجمان، کل قربانیان نبوده بلکه یک زیرمجموعه کوچک بوده است. با این حال، قصد آنها از این حمله چه بوده و اینکه آمریکا باید چه واکنشی به آن نشان دهد، موضوعی است که در آینده مشخص خواهد شد».
جو بایدن رئیس جمهور منتخب آمریکا نیز وعده داده که حتماً به این اقدام واکنش نشان خواهد داد. به گفته او: «هنوز هم مسایل زیادی، از جمله محدوده نفوذ یا میزان آسیب ایجاد شده وجود دارد که پاسخ آنها را نمیدانیم؛ اما از طرفی اطلاعات زیادی داریم، از جمله اینکه این حمله تهدید بزرگی بر ضد امنیت ملی ما بوده است». وی همچنین گفته: «این اقدام را نمیتوانیم بی پاسخ رها کنیم. ما باید مشخص کنیم چه کسی مسئول این حمله بوده و گامهای لازم برای ملزم کردن آنها به پاسخگویی را دنبال کنیم».
مرحله دوم حمله، با حداقل 40 قربانی
شرکت مایکروسافت به حدود 40 مشتری خود که ظاهراً قربانی مرحله دوم این حمله هستند، هشدارهای لازم را داده است. کوین ماندیا مدیرعامل اجرایی FireEye تخمین زده که هکرها متمرکز بر حدود 50 هدف بسیار ارزشمند بودهاند. این اهداف نیز به بدافزار مرحله دوم آلوده شدهاند که امکان اجرای کد از راه دور، سرقت دادهها و نفوذ به سیستمهای سایر شرکتهای همکار را برای مهاجمان فراهم می کند.
دولت آمریکا یکی از مشتریان بزرگ سولارویندز است. همچنین مؤسسه ملی سلامت، وزارت امنیت میهن و وزارتخانههای امور خارجه، تجارت و انرژی، همگی از نسخه آلوده به تروجان Orion استفاده کرده اند. وزارت خزانه داری هم یکی از این نهادها است که در ماه جولای 2020 مورد هدف این حمله قرار گرفته است.
به گفته سناتور ران وایدن، «هک وزارت خزانه داری به نظر میرسد بسیار مهم و جدی است». چندین قانونگذار و سیاستمدار نیز به دنبال کسب اطلاعات بیشتر درباره یافتههای دولت آمریکا در این خصوص هستند. برای مثال، سناتور باب منندز از ترامپ خواسته که درباره تأثیر حمله SolarWinds بر وزارت امور خارجه، به کمیته روابط خارجی سنا توضیح بدهد. وی خواستار شفاف سازی درباره میزان موفقیت هکرها برای نفوذ به سیستمهای وزارت امور خارجه و سایر نهادهای خصوصی و دولتی آمریکا شده است.
پس از انتشار خبر این حمله، FireEye، Microsoft و شرکت GoDaddy (که در زمینه ثبت دامنههای اینترنتی فعالیت دارد) توانسته اند یکی از دامنههای تحت کنترل مهاجمان را در اختیار گرفته تا بتوانند در عملیات فرماندهی و کنترل آنها بر سیستمهای آلوده اختلال ایجاد کنند. همچنین محققان شرکت چینی RedDrip Team توانستند ابزاری تولید کنند که امکان رمزگشایی تعدادی از اطلاعات این سرورها را فراهم میکند. در پی این تلاش ها آنها موفق شده اند بعضی از سازمانهایی که آلوده به بدافزار Sunburst شده اند، از جمله شرکتهای Belkin، Cisco، Intel، NVidia و VMware همچنین دانشگاه آیووا و شرکت Hilton Grand Vacation را شناسایی کنند.
بازسازی کامل شبکههای فعلی
CISA در اطلاعیهای که منتشر کرده از همه سازمانهایی که از محصول Orion شرکت سولارویندز استفاده میکنند درخواست کرده که بلافاصله بررسی کنند آیا تحت تأثیر این حمله قرار گرفتهاند یا خیر.
به گفته CISA، «اگر شما هم مورد هدف این حمله قرار گرفته اید، واکنش به حادثه و مقابله با آثار آن را اولویت اصلی خودتان قرار دهید. منابع لازم را اختصاص داده و در مراحل واکنش به حادثه و مقابله با آثار حمله، عملیات امنیتی خودتان را حفظ کنید. سازمان شما ممکن است نیاز داشته باشد که پس از واکنش به این حادثه، همه سیستمهای شبکه که تحت نظارت SolarWinds Orion قرار داشتهاند را بازسازی کند؛ انجام این کار، مستلزم صرف منابع زیادی بوده و یک فرایند طولانی و پیچیده است».
رعایت نکردن این توصیهها ممکن است باعث حفظ دسترسی مهاجمان به شبکههای آلوده شود. گرگوری توهیل که اولین مدیر ارشد امنیت اطلاعات دولت فدرال آمریکا است در یک پست وبلاگی نوشته که: «شاید در این شرایط بسیاری از سازمانها به این نتیجه برسند که تنها راه برای از بین بردن تهدید، نابودی شبکه فعلی خودشان و بازسازی دوباره آن باشد».
بروس اشنایر کارشناس امنیت سایبری هم در مطلبی که در مجله گاردین منتشر شده است، گفته که: «بازیابی از این حمله کار آسانی نیست. از آنجا که هکرهای SVR امکان دسترسی دایم را برای خودشان فراهم کردهاند تنها راه برای اطمینان از اینکه شبکه شما پاکسازی شده، نابودی شبکه فعلی و بازسازی دوباره آن است که به نوعی شبیه نصب دوباره سیستم عامل پس از یک هک بد است. حتی در صورت انجام این کارها باز هم نمیتوانید نسبت به حفظ امنیت خودتان اطمینان داشته باشید».
[1] Cybersecurity and Infrastructure Security Agency