الإثنين, ديسمبر 23, 2024

الأكثر شهرة

الرئيسيةالحماية والأمانهاك SolarWinds: الأساسيات

هاك SolarWinds: الأساسيات

ربما تكون قد سمعت الآن عن تسوية سلسلة التوريد الخاصة بشركة SolarWinds والتي أثرت على الحكومة والشركات في جميع أنحاء العالم. لا تزال هذه القصة تتكشف لذا لن أحاول شرح كل شيء بالتفصيل، بل سأحاول شرح الموقف للقارئ الأقل تقنية وربطه ببعض الموارد حتى تتمكن من متابعة القصة.

ملخص

اندلعت القصة الأسبوع الماضي عندما كشفت شركة الأمن السيبراني FireEye في مشاركة مدونة أن “خصمًا متطورًا للغاية ترعاه الدولة سرق أدوات فريق FireEye Red Team.” وبعد خمسة أيام، في مشاركة مدونة لاحقةكتب FireEye: “لقد اكتشفنا حملة اقتحام عالمية” و”اكتشفنا هجومًا على سلسلة التوريد يقوم بتروجان تحديثات برامج الأعمال SolarWinds Orion من أجل توزيع البرامج الضارة التي نسميها SUNBURST.”

بالإضافة إلى تعرض FIreEye للخطر في هذا الهجوم، جراهام كلولي “تعرضت شبكات وزارة التجارة والخزانة والخارجية والمعاهد الوطنية للصحة والأمن الداخلي والبنتاغون للخطر في ما يبدو أنه هجوم ضخم على سلسلة التوريد على أنظمة الحكومة الأمريكية.” وفقا ل إيداع SECتعتقد شركة SolarWinds أن ما يصل إلى 18000 من عملائها لديهم تثبيت ضعيف لأدوات Orion الخاصة بهم.

ما هو سولارويندز؟

SolarWinds هي شركة تكنولوجيا تأسست منذ 21 عامًا ومقرها في أوستن، تكساس، وتقوم بتصنيع أدوات إدارة ومراقبة الشبكات التي تستخدمها الشركات والمؤسسات لتتبع أجهزة الكمبيوتر الموجودة على شبكتها وإدارة سلامة وحالة أجهزة الكمبيوتر هذه.

إذا لم يساعدك هذا التفسير على الفهم، تخيل لو كان لديك جهاز كمبيوتر على شبكتك المنزلية يمكنه التعرف على كل جهاز كمبيوتر وطابعة وجهاز محمول وجهاز ذكي/جهاز إنترنت الأشياء (أجهزة التلفاز، وأجهزة تنظيم الحرارة، وأجراس الأبواب، وكاميرات الأمان، ومصابيح الإضاءة، وما إلى ذلك) ونبهك إذا أصبح أحد هذه الأجهزة غير متصل بالإنترنت أو يحتاج إلى تصحيح، أو كانت مساحة التخزين على وشك النفاد. حسنًا، هذا ما يفعله منتج SolarWinds Orion على مستوى عالٍ جدًا. تستخدم الشركات والحكومات والمنظمات في جميع أنحاء العالم برنامج SolarWinds لإدارة أصول تكنولوجيا المعلومات الخاصة بها.

عملاء سولارويندز

لقطة شاشة لعملاء SolarWinds كما ذكرت KrebsOnSecurity

لدى SolarWinds أكثر من 300000 عميل حول العالم. العديد منهم من العملاء البارزين، بما في ذلك 425 من قائمة Fortune 500 الأمريكية، وجميع الشركات العشر من أكبر عشر شركات اتصالات أمريكية، وجميع الفروع الخمسة للجيش الأمريكي، والبنتاغون الأمريكي، ووزارة الخارجية، ووكالة ناسا، ووكالة الأمن القومي، وخدمة البريد، وإدارة المحيطات والغلاف الجوي (NOAA). ووزارة العدل ومكتب رئيس الولايات المتحدة وجميع شركات المحاسبة الخمس الكبرى في الولايات المتحدة ومئات الجامعات والكليات في جميع أنحاء العالم، وفقًا للقطة شاشة لموقع SolarWinds الإلكتروني، المنشورة في صورة مدونة بواسطة KrebsOnSecurity.

كانت قائمة العملاء الرائعة هذه موجودة على موقع SolarWinds حتى وقت سابق من هذا الأسبوع عندما قامت The Verge ذكرت أن “SolarWinds قامت بإزالة قائمة من العملاء البارزين من موقعها على الإنترنت في أعقاب حدوث اختراق كبير.”

ماذا حدث؟

تقوم شركة SolarWinds بإنشاء تحديثات وتصحيحات لمنتجاتها بشكل منتظم. تهدف بعض هذه التحديثات إلى إضافة ميزات وبعضها يعمل على إصلاح المشكلات أو نقاط الضعف في البرنامج.

في 24 مارس 2020، تم نشر تحديث برنامج على موقع SolarWinds ليتمكن العملاء من تنزيله وتثبيته على نظام Orion الخاص بهم. يتضمن هذا التحديث برامج ضارة منحت الجهات التهديدية إمكانية الوصول عن بعد إلى أي نظام Orion تم تثبيته عليه.

ما يبدو أنه قد حدث هو أن جهة تهديد تابعة للدولة القومية تم تحديدها على أنها فريق قرصنة روسي (رمزها Cozy Bear أو APT 29) كانت قادرة على إصابة تحديث التصحيح هذا ببرامج ضارة خلقت بابًا خلفيًا لـ Cozy Bear الوصول إلى أنظمة Orion على شبكات عملاء SolarWinds. هذه ليست عملية سهلة نظرًا لأن أنظمة Orion لن تسمح بتثبيت التصحيحات أو التحديثات ما لم يتم توقيع التصحيح بشهادة رقمية من SolarWinds.

يتعامل مطورو البرامج مع شهادات توقيع التعليمات البرمجية الخاصة بهم باعتبارها واحدة من أصولهم الأكثر قيمة، لذا فإن الحصول على واحدة أمر صعب للغاية ولكنه قوي جدًا إذا تم تحقيقه. في هذه الحالة، تم توقيع تحديث التصحيح باستخدام شهادة SolarWinds الرسمية. هناك عدة طرق يمكن لـ Cozy Bear أن تنجزها، ولكن بغض النظر عن كيفية القيام بذلك، هناك عدد هائل من التنازلات التي يجب تحقيقها دون الوقوع في قبضة 9 أشهر.

البرامج الضارة

عندما يقوم أي من عملاء SolarWinds Orion البالغ عددهم 18000 بتثبيت هذا التحديث الضار، فإن البرامج الضارة الموجودة على نظام Orion ستنتظر لفترة من الوقت، تصل إلى أسبوعين، ثم تقوم بتشغيل بعض المهام والاتصال بخادم القيادة والتحكم في المجال، com.avsvmcloud[.]com للحصول على التحديثات وتوفير باب خلفي للشبكات التي تم تثبيت Orion فيها. وكان هذا المجال عاملاً رئيسياً في الاحتفاظ بالسيطرة على الأنظمة المصابة. وبمجرد اكتشاف مجتمع الأمان لهذا الأمر، عملت Microsoft مع الوكالات الحكومية الأمريكية وGoDaddy، للسيطرة على هذا النطاق وبالتالي إزالة وصول CozyBear إلى أنظمة Orion المصابة. في 15 ديسمبر، بريان كريبس غرد“يبدو أن المجال المستخدم للتحكم في البنية التحتية للبرامج الضارة في اختراق SolarWinds يتم التحكم فيه الآن بواسطة Microsoft.” وهذا يعني أن Microsoft كانت قادرة على التحكم في اسم المجال وبالتالي لن تتمكن أجهزة Orion المصابة من الوصول إلى خادم الأوامر والتحكم.

هجمات سلسلة التوريد

لقد كان عالم تكنولوجيا المعلومات يتحدث عن هجمات سلسلة التوريد منذ سنوات، ويؤكد هذا الهجوم على الحاجة المستمرة إلى التركيز على الدفاع ضد هذه الهجمات. سايبرسكوب “هذه ليست المرة الأولى التي يفاجئ فيها هجوم على سلسلة التوريد مجتمع الأمن السيبراني. في عام 2017،قام المتسللون باختراق HandBrake، أداة تحويل الفيديو، لتوزيع مجموعة أدوات الوصول عن بعد. وفي العام نفسه، قام قراصنة يشتبه في صلاتهم بالصين بربط برامج ضارةفي برنامج تنظيف الملفات CCleanerلاستهداف أكثر من مليوني مستخدم في النهاية. وفي ما قد يكون الكابوس الأمني ​​الأكثر شهرة على مستوى العالم حتى الآن، استغل المتسللون الروس ثغرة أمنية في برنامج الضرائب الأوكراني لإغلاق أجهزة الكمبيوتر في جميع أنحاء العالم. واتهمت الولايات المتحدة قراصنة مرتبطين بـمديرية المخابرات الروسية الرئيسية، أو GRU، لليس بيتياهجوم. الكما فرض الاتحاد الأوروبي عقوبات على المتسللين الروسللهجوم.”


التحديثات

تداعيات قانونية

يوم الاربعاء 16 ديسمبر, كتب بريان كريبس“، “إن التداعيات القانونية المحتملة لشركة SolarWinds في أعقاب هذا الانتهاك لا تزال تتفاقم. واشنطن بوست ذكرت الثلاثاء أن كبار المستثمرين في SolarWinds باعوا أسهمًا بملايين الدولارات في الأيام التي سبقت الكشف عن الاختراق. انخفض سعر سهم SolarWinds بأكثر من 20 بالمائة في الأيام القليلة الماضية. ونقلت الصحيفة عن مسؤولين تنفيذيين سابقين في هيئة الأوراق المالية والبورصة الأمريكية (SEC) قائلة إن المبيعات من المرجح أن تؤدي إلى إجراء تحقيق في التداول من الداخل.

ضحايا إضافيين

[Dec 17, 2020] تقارير ZDNet، أفادت رويترز اليوم نقلاً عن مصادر مطلعة على التحقيق أن المتسللين الذين ترعاهم الدولة والذين اخترقوا مزود البرمجيات الأمريكي SolarWinds في وقت سابق من هذا العام، تمحوروا حول شبكة Microsoft الداخلية، ثم استخدموا أحد منتجات Microsoft الخاصة لشن هجمات ضد شركات أخرى.

تنضم Microsoft الآن إلى قائمة الكيانات البارزة التي تم اختراقها عبر تحديث خلفي لتطبيق مراقبة شبكة SolarWinds Orion.

الغالبية العظمى من هؤلاء الضحايا هم وكالات حكومية أمريكية، مثل:

  • وزارة الخزانة الأمريكية

  • الإدارة الوطنية للاتصالات والمعلومات (NTIA) التابعة لوزارة التجارة الأمريكية

  • المعاهد الوطنية للصحة التابعة لوزارة الصحة (NIH)

  • وكالة الأمن السيبراني والبنية التحتية (CISA)

  • وزارة الأمن الداخلي (DHS)

  • وزارة الخارجية الأمريكية

  • الإدارة الوطنية للأمن النووي (NNSA)أيضًا تم الكشف عنها اليوم)

  • وزارة الطاقة الأمريكية (DOE) (أيضًا تم الكشف عنها اليوم)

  • ثلاث ولايات أمريكية (أيضًا تم الكشف عنها اليوم)

  • مدينة أوستن (أيضًا تم الكشف عنها اليوم)”


مراجع إضافية

كريبس على المقالات الأمنية

اكتشفت FireEye اختراق SolarWinds أثناء التحقيق في الاختراق الخاص بها [Dec 14, 2020]

يقف قراصنة الحكومة الروسية وراء حملة تجسس واسعة النطاق أضرت بالوكالات الأمريكية، بما في ذلك وزارة الخزانة والتجارة [Dec 14, 2020]

رسم بياني بواسطة شارع الأمن [Dec 17, 2020]

لحظة حساب: الحاجة إلى استجابة قوية وعالمية للأمن السيبراني [Dec 17, 2020]

أجرى المتسللون العام الماضي “تجربة تجريبية” لاختراق SolarWinds [Dec 18, 2020]



رابط المصدر

ADVTUT
ADVTUThttps://advtut.com
رحلتي تتمحور حول شغفه بأمان البيانات والشبكات، مما قاده إلى إنشاء مدونة توب ديلي. من خلالها، يشارك رؤى ونصائح عملية لجعل الأمان الرقمي متاحًا للجميع. بفضل خلفيته التعليمية القوية، نفهم أمان البيانات في عالم اليوم الذي تتطور فيه التهديدات الإلكترونية أمر ضروري لجميع المستخدمين، وليس فقط للخبراء التقنيين. يهدف إلى تمكين القراء - سواء كانوا من عشاق التقنية المحترفين أو مجرد أشخاص يسعون لحماية معلوماتهم الشخصية. انضموا الينا بينما يستكشف عالم أمان البيانات المثير، ويساعدكم على تعزيز سلامتكم الرقمية على طول الطريق!
مقالات ذات صلة

ترك الرد

من فضلك ادخل تعليقك
من فضلك ادخل اسمك هنا