بیست روزی از بمب خبری سولارویندز (SolarWinds) می‌گذرد اما همچنان خبرهای جدیدی از آن منتشر می‌شود. در تازه‌ترین خبر، مایکروسافت اعلام کرد که مهاجمان قادر به دسترسی به کدهای منبع این شرکت بوده‌اند.

در یک عملیات پیچیده، مهاجمان با نفوذ به سیستم ساخت نرم‌افزار سولارویندز، موفق به جاسازی یک آسیب‌پذیری به نام Sunburst یا Solorigate در پلتفرم اوریون (Orion Platform) شده بودند. سپس سازمان‌هایی که از این پلتفرم استفاده می‌کردند را مورد هجوم قرار دادند. طی یک ماه اخیر این حملات کشف شدند و در 13 دسامبر مایکروسافت و فایرآی تحلیل‌هایی راجع به آن منتشر کردند.

در ادامه، تازه‌ترین اخبار مربوط به این رخداد را مرور می‌کنیم:

• 31 دسامبر: مایکروسافت اعلام کرد مهاجمان با نفوذ به یکی از اکانت‌های داخلی این شرکت، موفق به دیدن کد منبع در برخی مخازن شده‌اند، اما امکان تغییر کد را نداشته‌اند. در ضمن هنوز هیچ شواهدی مبنی بر دستیابی هکرها به داده مشتریان یا سوء استفاده آنها از مایکروسافت برای حمله به دیگران دیده نشده است.
• 30 دسامبر: وزارت امنیت داخلی آمریکا (DHS) سازمان‌های فدرال را موظف کرد تا در صورت استفاده از نسخه‌های غیر آسیب‌پذیر اما قدیمی نرم‌افزار اوریون، آن را به جدیدترین نسخه (2.1 HF 2) به‌روز کنند. قبلاً دستور داده شده بود سیستم‌هایی که از نسخه آسیب‌پذیر استفاده می‌کنند از شبکه جدا یا خاموش شوند.
• 28 دسامبر: مایکروسافت با انتشار توصیه‌نامه‌ای نحوه مقابله با آسیب‌پذیری را با استفاده از Microsoft 365 Defender شرح داد.

تاریخچه

اوریون نرم‌افزاری برای مدیریت و رصد زیرساخت IT است که در سازمان‌ها و شرکت‌های بسیاری در سراسر جهان مورد استفاده قرار می‌گیرد. در 13 دسامبر شرکت امنیتی فایرآی (FireEye) از کشف یک کمپین نفوذ خبر داد که با استفاده از اوریون انجام می‌شد. فایرآی بدافزار مورد استفاده در این حمله را Sunburst و مایکروسافت آن را Solorigate نام‌گذاری کرد.

در این حمله مهاجمان در یکی از فایل‌های dll اوریون، یک در پشتی جاسازی کردند که از طریق HTTP به سرورهای کنترل و فرمان متصل می‌شود.

مایکروسافت نیز مراحل بعدی حمله را این طور شرح داد: مهاجمان با استفاده از در پشتی به اعتبارنامه‌ها دسترسی پیدا می‌کنند، سطح دسترسی خود را ارتقاء می‌دهند، و درون سازمان حرکت می‌کنند با این هدف که بتوانند توکن معتبر SAML تولید کنند. سپس با استفاده از توکن SAML ساخته شده، به منابع ابری دسترسی یافته و عملیاتی مثل سرقت ایمیل‌ها را انجام می‌دهند و دسترسی خود به ابر را حفظ می‌کنند.

مدتی بعد، محققان پس از بررسی‌های بیشتر با یک فایل dll مخرب دیگر مواجه شدند. به نظر می‌رسد که استفاده از این فایل، کار گروه متفاوتی از هکرها است، زیرا بر خلاف فایل dll قبلی جزئی از نرم‌افزار سولارویندز نیست و فاقد امضای دیجیتال معتبر است. این فایل امکان اجرای دستور از راه دور را با استفاده از سرور وب سولارویندز فراهم می‌کند. این بدافزار Supernova نام‌گذاری شده است.

مهاجمان و قربانیان

به نظر می‌رسد این کمپین را یک گروه «تهدید مانای پیشرفته» (APT) به نام APT29 از کشور روسیه به راه انداخته است و هدف اصلی آن سازمان‌های آمریکایی بوده‌اند. در کل 18000 سازمان در سراسر جهان با نصب نسخه‌های آلوده سولارویندز مورد نفوذ واقع شدند، اما مهاجمین، فازهای بعدی حمله را تنها روی تعداد محدودی از اهداف اجرا کردند.

شش وزارتخانه آمریکا یعنی وزارت کشاورزی، بازرگانی، دفاع، بهداشت، کشور، خزانه، انرژی و حتی وزارت امنیت داخلی (DHS) از قربانیان این حمله بوده‌اند. همچنین شرکت‌های فناوری بزرگی مثل مایکروسافت، فایرآی، اینتل، انویدیا و وی ام ور نیز مورد نفوذ واقع شدند. هرچند این سازمان‌ها و شرکت‌ها اهداف اصلی کمپین بوده‌اند، مهاجمان دیگر ممکن است از در پشتی ایجاد شده سوء استفاده کنند.