سولاریگیت و دسترسی مهاجمان به کد منبع مایکروسافت
بیست روزی از بمب خبری سولارویندز (SolarWinds) میگذرد اما همچنان خبرهای جدیدی از آن منتشر میشود. در تازهترین خبر، مایکروسافت اعلام کرد که مهاجمان قادر به دسترسی به کدهای منبع این شرکت بودهاند.
بیست روزی از بمب خبری سولارویندز (SolarWinds) میگذرد اما همچنان خبرهای جدیدی از آن منتشر میشود. در تازهترین خبر، مایکروسافت اعلام کرد که مهاجمان قادر به دسترسی به کدهای منبع این شرکت بودهاند. |
در یک عملیات پیچیده، مهاجمان با نفوذ به سیستم ساخت نرمافزار سولارویندز، موفق به جاسازی یک آسیبپذیری به نام Sunburst یا Solorigate در پلتفرم اوریون (Orion Platform) شده بودند. سپس سازمانهایی که از این پلتفرم استفاده میکردند را مورد هجوم قرار دادند. طی یک ماه اخیر این حملات کشف شدند و در 13 دسامبر مایکروسافت و فایرآی تحلیلهایی راجع به آن منتشر کردند. |
در ادامه، تازهترین اخبار مربوط به این رخداد را مرور میکنیم: |
|
تاریخچه |
اوریون نرمافزاری برای مدیریت و رصد زیرساخت IT است که در سازمانها و شرکتهای بسیاری در سراسر جهان مورد استفاده قرار میگیرد. در 13 دسامبر شرکت امنیتی فایرآی (FireEye) از کشف یک کمپین نفوذ خبر داد که با استفاده از اوریون انجام میشد. فایرآی بدافزار مورد استفاده در این حمله را Sunburst و مایکروسافت آن را Solorigate نامگذاری کرد. در این حمله مهاجمان در یکی از فایلهای dll اوریون، یک در پشتی جاسازی کردند که از طریق HTTP به سرورهای کنترل و فرمان متصل میشود. مایکروسافت نیز مراحل بعدی حمله را این طور شرح داد: مهاجمان با استفاده از در پشتی به اعتبارنامهها دسترسی پیدا میکنند، سطح دسترسی خود را ارتقاء میدهند، و درون سازمان حرکت میکنند با این هدف که بتوانند توکن معتبر SAML تولید کنند. سپس با استفاده از توکن SAML ساخته شده، به منابع ابری دسترسی یافته و عملیاتی مثل سرقت ایمیلها را انجام میدهند و دسترسی خود به ابر را حفظ میکنند. مدتی بعد، محققان پس از بررسیهای بیشتر با یک فایل dll مخرب دیگر مواجه شدند. به نظر میرسد که استفاده از این فایل، کار گروه متفاوتی از هکرها است، زیرا بر خلاف فایل dll قبلی جزئی از نرمافزار سولارویندز نیست و فاقد امضای دیجیتال معتبر است. این فایل امکان اجرای دستور از راه دور را با استفاده از سرور وب سولارویندز فراهم میکند. این بدافزار Supernova نامگذاری شده است. |
مهاجمان و قربانیان |
به نظر میرسد این کمپین را یک گروه «تهدید مانای پیشرفته» (APT) به نام APT29 از کشور روسیه به راه انداخته است و هدف اصلی آن سازمانهای آمریکایی بودهاند. در کل 18000 سازمان در سراسر جهان با نصب نسخههای آلوده سولارویندز مورد نفوذ واقع شدند، اما مهاجمین، فازهای بعدی حمله را تنها روی تعداد محدودی از اهداف اجرا کردند. شش وزارتخانه آمریکا یعنی وزارت کشاورزی، بازرگانی، دفاع، بهداشت، کشور، خزانه، انرژی و حتی وزارت امنیت داخلی (DHS) از قربانیان این حمله بودهاند. همچنین شرکتهای فناوری بزرگی مثل مایکروسافت، فایرآی، اینتل، انویدیا و وی ام ور نیز مورد نفوذ واقع شدند. هرچند این سازمانها و شرکتها اهداف اصلی کمپین بودهاند، مهاجمان دیگر ممکن است از در پشتی ایجاد شده سوء استفاده کنند.
|
منبع: مایکروسافت (+ +)، فایرآی، سولارویندز، DHS
|