حمله گسترده و پیچیده سایبری به شرکت سولارویندز (SolarWinds) که روسیه عامل اصلی اجرای آن شناخته می شود، مؤسسههای محلی، ایالتی و فدرال آمریکا و بعضی از شرکتهای بزرگ این کشور را با تهدیدات جدی و بزرگترین نشت اطلاعاتی تاریخ آمریکا مواجه ساخته است.
بر اساس اطلاعات منتشر شده توسط وزارت امور خارجه، مؤسسه امنیت زیرساخت و امنیت سایبری (CISA[1]) و شرکتهای امنیت سایبری آمریکا یک آژانس اطلاعاتی روسی حمله بدافزاری پیچیدهای را بر ضد مؤسسههای محلی، ایالتی و فدرال آمریکا و همچنین شرکتهای خصوصی این کشور از جمله مایکروسافت اجرا کرده است. این رخنه اطلاعاتی گسترده که بر اساس گزارشهای منتشر شده منجر به نفوذ به یکی از سیستمهای ایمیل مورد استفاده مدیران ارشد وزارت خزانه داری آمریکا شده است، از چندین ماه قبل و از طریق نفوذ هکرها به یکی از نرمافزارهای پرکاربرد شرکت سولارویندز آغاز شده است.
شرکت آمریکایی SolarWinds، نرمافزارهایی به سازمانها میفروشد که امکان نظارت بر شبکههای آنها را فراهم میکند. هکرها توانسته اند در عملیاتی پیچیده، کد مخربی را در بهروزرسانیهای یکی از نرمافزارهای این شرکت که “Orion” نام دارد، تزریق کنند. به گفته سولارویندز، نسخه آلوده در حدود 18 هزار رایانه که از محصول Orion این شرکت استفاده می کنند، نصب شده است. این حمله ابعاد گستردهای داشته و هر چه بیشتر درباره آن اطلاعات جمع میشود، گستردگی آن هم بیشتر نمایان میشود.
نوزدهم دسامبر 2020، دونالد ترامپ در توئیتر این ایده را مطرح کرد که ممکن است این حمله کار دولت چین باشد. ترامپ، مثل همیشه علاوه بر اینکه هیچ گونه شواهدی را برای اثبات این ادعای خود ارایه نکرد، مایک پومپئو وزیر امور خارجه این کشور را نیز در این مطلب تگ کرده بود؛ هرچند پومپئو ساعاتی بعد، برخلاف این ادعا در یک مصاحبه رادیویی گفت: «ما با قاطعیت میتوانیم اعلام کنیم که روسیه در این حمله دست داشته است».
نهادهای امنیت ملی آمریکا در بیانیهای مشترک، این حمله را یک حمله قابل توجه و ادامه دار نامیدند. اگرچه هنوز مشخص نیست تعداد سازمان ها و شرکت هایی که مورد حمله قرار گرفته اند چقدر است یا هکرها توانسته اند در طول این مدت چه اطلاعاتی را سرقت کنند اما چنین می توان گفت که این بدافزار از همه نظر بسیار قدرتمند می باشد. بر اساس تحلیلهای صورت گرفته توسط شرکت های مایکروسافت و امنیت سایبری فایرآی (FireEye) که هر دو به بدافزار مربوطه آلوده شدهاند، هکرها توانستهاند با استفاده از این بدافزار نفوذ گستردهای را به سیستمهای مورد هدفشان انجام دهند.
شرکت مایکروسافت هم اعلام کرده که بیش از 40 مشتری این شرکت مورد هدف این حمله قرار گرفتهاند. به احتمال زیاد به زودی اطلاعات بیشتری درباره این هک و پیامدهای آن منتشر میشود. در ادامه این مطلب از فراست، به بررسی اطلاعاتی که در حال حاضر از این حمله وجود دارد، میپردازیم.
مجرمان سایبری چگونه توانستند بدافزارشان را در یک بهروزرسانی نرمافزاری تزریق کنند؟
بر اساس توضیحاتی که در اختیار کمیسیون بورس و اوراق بهادار آمریکا قرار گرفته است، هکرها توانسته اند به سیستمی دسترسی پیدا کنند که شرکت سولاروبندز از آن برای آماده سازی بهروزرسانیهای محصول Orion استفاده میکند. سپس مهاجمان، کدهای مخربی را در بهروزرسانی اصلی این نرمافزار وارد کرده اند. به چنین حملهای، «حمله زنجیره تأمین» گفته میشود چون نرمافزاری که در دست طراحی و آماده سازی است را هدف قرار میدهد.
اجرای چنین حملهای یک حرکت بسیار بزرگ محسوب میشود چرا که هکرها با این کار میتوانند بدافزارهای مدنظرشان را در یک نرمافزار مورد اطمینان جایگذاری کرده و به جای تلاش برای فریب اشخاص جهت دانلود یک نرمافزار مخرب از طریق اجرای حملات گسترده فیشینگ، فقط نهادهای دولتی و سازمانهایی که این بهروزرسانی را برای SolarWinds نصب کنند، آلوده نمایند.
با توجه به اینکه هزاران شرکت و مؤسسه دولتی در سطح جهان از نرمافزار Orion استفاده میکنند بنابراین رویکرد مورد استفاده هکرها در این مورد خاص بسیار قدرتمند بوده است. با انتشار نسخ آلوده، تمام مشتریان SolarWinds میتوانند جزو اهداف و قربانیان این حمله مخرب باشند.
کدام نهادهای دولتی با این بدافزار آلوده شدهاند؟
بر اساس گزارشهای منتشر شده توسط رویترز، واشنگتن پست و وال استریت ژورنال، این بدافزار وزارتخانههای امنیت میهن، امور خارجه، بازرگانی و خزانه داری و همچنین مؤسسه مالی سلامت آمریکا را مورد هدف حملات خود قرار داده است. هفدهم دسامبر 2020، Politico گزارش داد که این حمله توانسته برنامههای هستهای وزارت انرژی و اداره امنیت هستهای آمریکا را نیز تحت الشعاع خود قرار دهد.
بیست و سوم دسامبر 2020، رویترز گزارش داد که CISA نهادهای دولتی و فدرال آمریکا را به فهرست قربانیان این حمله اضافه کرده است. بر اساس اطلاعات وب سایت CISA، این مؤسسه شاهد اجرای «یک رخداد سایبری بزرگ بوده که شبکههای سازمانی دولتی، محلی، فدرال و همچنین زیرساختهای حیاتی و سازمانهای بخش خصوصی را مورد هدف قرار داده است».
با وجود آنکه هنوز مشخص نیست چه اطلاعاتی از این مؤسسههای دولتی سرقت شده است اما اینطور به نظر میرسد که حجم اطلاعات سرقتی بسیار چشمگیر باشد. هر چند وزارتخانه های انرژی، بازرگانی و خزانه داری وقوع این حملات را تأیید کردهاند ولی تاکنون هیچ تأییدیه رسمی مبنی بر هک سایر مؤسسههای فدرال منتشر نشده است. با این وجود، آژانس امنیت زیرساخت و امنیت سایبری بخشنامهای منتشر کرده و در آن از مؤسسههای فدرال درخواست نموده اقدامات لازم برای مقابله با این بدافزار که هم اکنون مهاجمان در حال سوءاستفاده گسترده از آن هستند را انجام دهند.
جو بایدن، رئیس جمهور منتخب آمریکا نیز هفدهم دسامبر در بیانیهای اعلام کرد که بلافاصله پس از به دست گرفتن قدرت، کارهای لازم برای رسیدگی به این نفوذ بزرگ را انجام میدهد.
دلیل اهمیت بسیار زیاد این هک چیست؟
هکرها علاوه بر دسترسی به چندین سیستم دولتی بسیار حساس، یک بهروزرسانی نرمافزاری را تبدیل به سلاحی برای خودشان کردند. این سلاح به غیر از شرکتها و مؤسسههای گفته شده، هزاران شرکت و سازمان را در سطح جهان هدف حملات خود قرار داده است.
برد اسمیت رئیس شرکت مایکروسافت در یک پست وبلاگی که 17 دسامبر منتشر کرد، به بررسی پیامدهای این هک پرداخته و آن را یک «اقدام جسورانه» نامیده است. او این هک را به روسیه نسبت نداده ولی کمپینهای هک قبلی (این کشور) را نشان دهنده شدت گرفتن نبرد سایبری دانسته است. وی همچنین گفته که: «این فقط یک حمله بر ضد اهداف خاصی نبوده است بلکه حمله بر ضد قابلیت اعتماد و اطمینان به زیرساخت حیاتی جهانی برای پیش بردن اهداف اطلاعاتی یک کشور بوده است». او خواستار شکل گیری معاهدههای بین المللی برای محدود کردن تولید ابزارهای حمله و نفوذی شده که امنیت سایبری جهان را دچار مخاطره میکنند.
الکس استیموس مدیر ارشد امنیت اطلاعات شرکت فیسبوک هم هجدهم دسامبر در توئیتر اعلام کرد که این هک میتوانست منجر به متداولتر شدن حملات زنجیره تأمین شود. او این پرسش را مطرح کرده که آیا این هک باید برای یک آژانس اطلاعاتی مجهز، غیرطبیعی باشد؟ به گفته وی، «تا امروز همه فعالیتهایی که به صورت عمومی تشریح شدهاند، در محدوده اقداماتی قرار دارند که خود دولت آمریکا هم دایماً آنها را انجام میدهد».
آیا بخش خصوصی یا سایر دولتها نیز مورد هدف این بدافزار قرار گرفتهاند؟
بله، شرکت مایکروسافت هفدهم دسامبر 2020 تأیید کرد که نشانههایی از وجود این بدافزار را در سیستمهای خود مشاهده کرده است. مدتی قبل مایکروسافت اعلام کرده بود که این حمله بر مشتریان این شرکت هم تأثیرگذار بوده است. در گزارش رویترز هم اعلام شده که از سیستمهای شرکت مایکروسافت برای اجرای کمپین هک استفاده شده، هر چند که مایکروسافت این ادعا را تکذیب کرد. شانزدهم دسامبر، این شرکت شروع به انتشار نام نسخههایی از Orion که بدافزار در آنها وجود داشت کرد تا بتواند دسترسی هکرها را به سیستمهایش قطع کند.
شرکت امنیت سایبری فایرآی هم تأیید کرده که به این بدافزار آلوده شده و این آلودگی را در سیستمهای مشتریانش نیز مشاهده کرده است. بیست و یکم دسامبر، وال استریت ژورنال اعلام نمود که این بدافزار در سیستمهای حداقل 24 شرکت از جمله شرکتهای سیسکو، اینتل، Nvidia، VMware و Belkin نصب شده است. ظاهراً هکرها به سیستمهای بیمارستانهای کالیفرنیا و دانشگاه ایالتی کنت هم دسترسی پیدا کردهاند.
هنوز به صورت کامل مشخص نیست که کدام یک از مشتریان بخش خصوصی شرکت سولارویندز به این بدافزار آلوده شدهاند. این شرکت از چندین سازمان بزرگ از جمله AT&T، Procter & Gamble و McDonald’s به عنوان هدف این حمله نام برده است. همچنین SolarWinds چندین شرکت خصوصی و دولتی در سطح جهان را به عنوان مشتریان خود نام برده است که دچار این حمله شده اند. فایرآی اعلام کرده که بسیاری از این مشتریان، به بدافزار مربوطه آلوده شدهاند.
چه اطلاعاتی درباره دخالت روسیه در این حمله وجود دارد؟
هجدهم دسامبر 2020، پمپئو این حمله را به روسیه نسبت داد. این اقدام پس از آنکه رسانههای خبری در طول هفته بارها اعلام کرده بودند مقامهای دولتی بر این باورند که یکی از آژانسهای اطلاعاتی روسیه مسئول اجرای این حمله است، صورت گرفت. سولارویندز و شرکتهای امنیت سایبری این حمله را به عوامل دولتی نسبت داده اند اما با این حال نامی از هیچ کشوری نبرده اند.
سیزدهم دسامبر، سفیر روسیه در آمریکا با انتشار بیانیهای در فیسبوک هرگونه دخالت در این کمپین هکری را رد کرد. وی گفت: «فعالیتهای مخرب در حوزه اطلاعاتی با اصول سیاست خارجی روسیه، منافع ملی و دیدگاه ما نسبت به روابط بین الملل در تناقض است. روسیه هیچ گونه عملیات خصمانهای را در حوزه سایبری اجرا نمیکند».
گروه هکری موسوم به “APT29” یا همان خرس تنبل (CozyBear) که رسانهها آن را عامل اجرای این حملات میدانند، مسئول هدف گرفتن سیستمهای ایمیل وزارت امور خارجه و کاخ سفید در دوره ریاست جمهوری اوباما شناخته میشود. آژانسهای اطلاعاتی آمریکا این گروه را یکی از گروههایی نامیدهاند که در سال 2015 میلادی به سیستمهای کمیته ملی حزب دموکرات نفوذ کرده است. به تازگی دولتهای آمریکا، بریتانیا و کانادا این گروه را مسئول تلاشهای صورت گرفته برای دسترسی به مطالعات واکسن کووید 19 نیز اعلام کرده اند.
[1] Cybersecurity and Infrastructure Security Agency