تب و تاب های امنیتی حمله به سولارویندز و پیامدهای جهانی آن

حمله گسترده و پیچیده سایبری به شرکت سولارویندز (SolarWinds) که روسیه عامل اصلی اجرای آن شناخته می شود، مؤسسه‌های محلی، ایالتی و فدرال آمریکا و بعضی از شرکت‌های بزرگ این کشور را با تهدیدات جدی و بزرگترین نشت اطلاعاتی تاریخ آمریکا مواجه ساخته است.

بر اساس اطلاعات منتشر شده توسط وزارت امور خارجه، مؤسسه امنیت زیرساخت و امنیت سایبری (CISA[1]) و شرکت‌های امنیت سایبری آمریکا یک آژانس اطلاعاتی روسی حمله بدافزاری پیچیده‌ای را بر ضد مؤسسه‌های محلی، ایالتی و فدرال آمریکا و همچنین شرکت‌های خصوصی این کشور از جمله مایکروسافت اجرا کرده است. این رخنه اطلاعاتی گسترده که بر اساس گزارش‌های منتشر شده منجر به نفوذ به یکی از سیستم‌های ایمیل مورد استفاده مدیران ارشد وزارت خزانه داری آمریکا شده است، از چندین ماه قبل و از طریق نفوذ هکرها به یکی از نرم‌افزارهای پرکاربرد شرکت سولارویندز آغاز شده است.

شرکت آمریکایی SolarWinds، نرم‌افزارهایی به سازمان‌ها می‌فروشد که امکان نظارت بر شبکه‌های آنها را فراهم می‌کند. هکرها توانسته اند در عملیاتی پیچیده، کد مخربی را در به‌روزرسانی‌های یکی از نرم‌افزارهای این شرکت که “Orion” نام دارد، تزریق کنند. به گفته سولارویندز، نسخه آلوده در حدود 18 هزار رایانه که از محصول Orion این شرکت استفاده می کنند، نصب شده است. این حمله ابعاد گسترده‌ای داشته و هر چه بیشتر درباره آن اطلاعات جمع می‌شود، گستردگی آن هم بیشتر نمایان می‌شود.

نوزدهم دسامبر 2020، دونالد ترامپ در توئیتر این ایده را مطرح کرد که ممکن است این حمله کار دولت چین باشد. ترامپ، مثل همیشه علاوه بر اینکه هیچ گونه شواهدی را برای اثبات این ادعای خود ارایه نکرد، مایک پومپئو وزیر امور خارجه این کشور را نیز در این مطلب تگ کرده بود؛ هرچند پومپئو ساعاتی بعد، برخلاف این ادعا در یک مصاحبه رادیویی گفت: «ما با قاطعیت می‌توانیم اعلام کنیم که روسیه در این حمله دست داشته است».

نهادهای امنیت ملی آمریکا در بیانیه‌ای مشترک، این حمله را یک حمله قابل توجه و ادامه دار نامیدند. اگرچه هنوز مشخص نیست تعداد سازمان ها و شرکت هایی که مورد حمله قرار گرفته اند چقدر است یا هکرها توانسته اند در طول این مدت چه اطلاعاتی را سرقت کنند اما چنین می توان گفت که این بدافزار از همه نظر بسیار قدرتمند می باشد. بر اساس تحلیل‌های صورت گرفته توسط شرکت های مایکروسافت و امنیت سایبری فایرآی (FireEye) که هر دو به بدافزار مربوطه آلوده شده‌اند، هکرها توانسته‌اند با استفاده از این بدافزار نفوذ گسترده‌ای را به سیستم‌های مورد هدفشان انجام دهند.

شرکت مایکروسافت هم اعلام کرده که بیش از 40 مشتری این شرکت مورد هدف این حمله قرار گرفته‌اند. به احتمال زیاد به زودی اطلاعات بیشتری درباره این هک و پیامدهای آن منتشر می‌شود. در ادامه این مطلب از فراست، به بررسی اطلاعاتی که در حال حاضر از این حمله وجود دارد، می‌پردازیم.

مجرمان سایبری چگونه توانستند بدافزارشان را در یک به‌روزرسانی نرم‌افزاری تزریق کنند؟

بر اساس توضیحاتی که در اختیار کمیسیون بورس و اوراق بهادار آمریکا قرار گرفته است، هکرها توانسته اند به سیستمی دسترسی پیدا کنند که شرکت سولاروبندز از آن برای آماده سازی به‌روزرسانی‌های محصول Orion استفاده می‌کند. سپس مهاجمان، کدهای مخربی را در به‌روزرسانی اصلی این نرم‌افزار وارد کرده اند. به چنین حمله‌ای، «حمله زنجیره تأمین» گفته می‌شود چون نرم‌افزاری که در دست طراحی و آماده سازی است را هدف قرار می‌دهد.

اجرای چنین حمله‌ای یک حرکت بسیار بزرگ محسوب می‌شود چرا که هکرها با این کار می‌توانند بدافزارهای مدنظرشان را در یک نرم‌افزار مورد اطمینان جایگذاری کرده و به جای تلاش برای فریب اشخاص جهت دانلود یک نرم‌افزار مخرب از طریق اجرای حملات گسترده فیشینگ، فقط نهادهای دولتی و سازمان‌هایی که این به‌روزرسانی را برای SolarWinds نصب کنند، آلوده نمایند.

با توجه به اینکه هزاران شرکت و مؤسسه دولتی در سطح جهان از نرم‌افزار Orion استفاده می‌کنند بنابراین رویکرد مورد استفاده هکرها در این مورد خاص بسیار قدرتمند بوده است. با انتشار نسخ آلوده، تمام مشتریان SolarWinds می‌توانند جزو اهداف و قربانیان این حمله مخرب باشند.

کدام نهادهای دولتی با این بدافزار آلوده شده‌اند؟

بر اساس گزارش‌های منتشر شده توسط رویترز، واشنگتن پست و وال استریت ژورنال، این بدافزار وزارتخانه‌های امنیت میهن، امور خارجه، بازرگانی و خزانه داری و همچنین مؤسسه مالی سلامت آمریکا را مورد هدف حملات خود قرار داده است. هفدهم دسامبر 2020، Politico گزارش داد که این حمله توانسته برنامه‌های هسته‌ای وزارت انرژی و اداره امنیت هسته‌ای آمریکا را نیز تحت الشعاع خود قرار دهد.

بیست و سوم دسامبر 2020، رویترز گزارش داد که CISA نهادهای دولتی و فدرال آمریکا را به فهرست قربانیان این حمله اضافه کرده است. بر اساس اطلاعات وب سایت CISA، این مؤسسه شاهد اجرای «یک رخداد سایبری بزرگ بوده که شبکه‌های سازمانی دولتی، محلی، فدرال و همچنین زیرساخت‌های حیاتی و سازمان‌های بخش خصوصی را مورد هدف قرار داده است».

با وجود آنکه هنوز مشخص نیست چه اطلاعاتی از این مؤسسه‌های دولتی سرقت شده است اما اینطور به نظر می‌رسد که حجم اطلاعات سرقتی بسیار چشمگیر باشد. هر چند وزارتخانه های انرژی، بازرگانی و خزانه داری وقوع این حملات را تأیید کرده‌اند ولی تاکنون هیچ تأییدیه رسمی مبنی بر هک سایر مؤسسه‌های فدرال منتشر نشده است. با این وجود، آژانس امنیت زیرساخت و امنیت سایبری بخشنامه‌ای منتشر کرده و در آن از مؤسسه‌های فدرال درخواست نموده اقدامات لازم برای مقابله با این بدافزار که هم اکنون مهاجمان در حال سوءاستفاده گسترده از آن هستند را انجام دهند.

جو بایدن، رئیس جمهور منتخب آمریکا نیز هفدهم دسامبر در بیانیه‌ای اعلام کرد که بلافاصله پس از به دست گرفتن قدرت، کارهای لازم برای رسیدگی به این نفوذ بزرگ را انجام می‌دهد.

دلیل اهمیت بسیار زیاد این هک چیست؟

هکرها علاوه بر دسترسی به چندین سیستم دولتی بسیار حساس، یک به‌روزرسانی نرم‌افزاری را تبدیل به سلاحی برای خودشان کردند. این سلاح به غیر از شرکت‌ها و مؤسسه‌های گفته شده، هزاران شرکت و سازمان را در سطح جهان هدف حملات خود قرار داده است.

برد اسمیت رئیس شرکت مایکروسافت در یک پست وبلاگی که 17 دسامبر منتشر کرد، به بررسی پیامدهای این هک پرداخته و آن را یک «اقدام جسورانه» نامیده است. او این هک را به روسیه نسبت نداده ولی کمپین‌های هک قبلی (این کشور) را نشان دهنده شدت گرفتن نبرد سایبری دانسته است. وی همچنین گفته که: «این فقط یک حمله بر ضد اهداف خاصی نبوده است بلکه حمله بر ضد قابلیت اعتماد و اطمینان به زیرساخت حیاتی جهانی برای پیش بردن اهداف اطلاعاتی یک کشور بوده است». او خواستار شکل گیری معاهده‌های بین المللی برای محدود کردن تولید ابزارهای حمله و نفوذی شده که امنیت سایبری جهان را دچار مخاطره می‌کنند.

الکس استیموس مدیر ارشد امنیت اطلاعات شرکت فیسبوک هم هجدهم دسامبر در توئیتر اعلام کرد که این هک می‌توانست منجر به متداول‌تر شدن حملات زنجیره تأمین شود. او این پرسش را مطرح کرده که آیا این هک باید برای یک آژانس اطلاعاتی مجهز، غیرطبیعی باشد؟ به گفته وی، «تا امروز همه فعالیت‌هایی که به صورت عمومی تشریح شده‌اند، در محدوده اقداماتی قرار دارند که خود دولت آمریکا هم دایماً آنها را انجام می‌دهد».

آیا بخش خصوصی یا سایر دولت‌ها نیز مورد هدف این بدافزار قرار گرفته‌اند؟

بله، شرکت مایکروسافت هفدهم دسامبر 2020 تأیید کرد که نشانه‌هایی از وجود این بدافزار را در سیستم‌های خود مشاهده کرده است. مدتی قبل مایکروسافت اعلام کرده بود که این حمله بر مشتریان این شرکت هم تأثیرگذار بوده است. در گزارش رویترز هم اعلام شده که از سیستم‌های شرکت مایکروسافت برای اجرای کمپین هک استفاده شده، هر چند که مایکروسافت این ادعا را تکذیب کرد. شانزدهم دسامبر، این شرکت شروع به انتشار نام نسخه‌هایی از Orion که بدافزار در آنها وجود داشت کرد تا بتواند دسترسی هکرها را به سیستم‌هایش قطع کند.

شرکت امنیت سایبری فایرآی هم تأیید کرده که به این بدافزار آلوده شده و این آلودگی را در سیستم‌های مشتریانش نیز مشاهده کرده است. بیست و یکم دسامبر، وال استریت ژورنال اعلام نمود که این بدافزار در سیستم‌های حداقل 24 شرکت از جمله شرکت‌های سیسکو، اینتل، Nvidia، VMware و Belkin نصب شده است. ظاهراً هکرها به سیستم‌های بیمارستان‌های کالیفرنیا و دانشگاه ایالتی کنت هم دسترسی پیدا کرده‌اند.

هنوز به صورت کامل مشخص نیست که کدام یک از مشتریان بخش خصوصی شرکت سولارویندز به این بدافزار آلوده شده‌اند. این شرکت از چندین سازمان بزرگ از جمله AT&T، Procter & Gamble و McDonald’s به عنوان هدف این حمله نام برده است. همچنین SolarWinds چندین شرکت خصوصی و دولتی در سطح جهان را به عنوان مشتریان خود نام برده است که دچار این حمله شده اند. فایرآی اعلام کرده که بسیاری از این مشتریان، به بدافزار مربوطه آلوده شده‌اند.

چه اطلاعاتی درباره دخالت روسیه در این حمله وجود دارد؟

هجدهم دسامبر 2020، پمپئو این حمله را به روسیه نسبت داد. این اقدام پس از آنکه رسانه‌های خبری در طول هفته بارها اعلام کرده بودند مقام‌های دولتی بر این باورند که یکی از آژانس‌های اطلاعاتی روسیه مسئول اجرای این حمله است، صورت گرفت. سولارویندز و شرکت‌های امنیت سایبری این حمله را به عوامل دولتی نسبت داده اند اما با این حال نامی از هیچ کشوری نبرده اند.

سیزدهم دسامبر، سفیر روسیه در آمریکا با انتشار بیانیه‌ای در فیسبوک هرگونه دخالت در این کمپین هکری را رد کرد. وی گفت: «فعالیت‌های مخرب در حوزه اطلاعاتی با اصول سیاست خارجی روسیه، منافع ملی و دیدگاه ما نسبت به روابط بین الملل در تناقض است. روسیه هیچ گونه عملیات خصمانه‌ای را در حوزه سایبری اجرا نمی‌کند».

گروه هکری موسوم به “APT29” یا همان خرس تنبل (CozyBear) که رسانه‌ها آن را عامل اجرای این حملات می‌دانند، مسئول هدف گرفتن سیستم‌های ایمیل وزارت امور خارجه و کاخ سفید در دوره ریاست جمهوری اوباما شناخته می‌شود. آژانس‌های اطلاعاتی آمریکا این گروه را یکی از گروه‌هایی نامیده‌اند که در سال 2015 میلادی به سیستم‌های کمیته ملی حزب دموکرات نفوذ کرده است. به تازگی دولت‌های آمریکا، بریتانیا و کانادا این گروه را مسئول تلاش‌های صورت گرفته برای دسترسی به مطالعات واکسن کووید 19 نیز اعلام کرده اند.

 

[1] Cybersecurity and Infrastructure Security Agency