Sibex سیبکس
مروری بر وضعیت امنیت سایبری ایران و جهان سال ۱۳۹۹

حمله وسیع سولارویندز، داستان سایبری قرن

حمله وسیع سولارویندز، داستان سایبری قرن به گزارش سیبکس خیلی از شرکتهای مطرح حوزه امنیت اطلاعات برای شناسایی بدافزارهای مرتبط با حملات سایبری، روش ها و دستورالعمل هایی را صادر کرده اند، با این حال،  هنوز خیلی از سازمان ها مبادرت به بروزرسانی سیستم های خود نکرده اند، درحالی که حمله به زیرساخت های شرکتهای مهم و مطرحی مانند سولارویندز، مایکروسافت و سیسکو نشان داده است حمله به هر شرکت یا سازمان دیگر هم امکان دارد.


به گزارش سیبکس به نقل از ایسنا، باآنکه به علت انتشار کرونا و شرایط دوکاری انتظار می رفت که سال ۱۳۹۹ سالی پرهیاهو در حوزه فناوری اطلاعات باشد، اما شاید کمتری کسی حدس می زد که این سال حتی در اولین روزهای خود در حوزه امنیت سایبری غوغا به پا کند. در نخستین روزهای فروردین سال ۱۳۹۹، نه اخبار در ارتباط با کرونا، بلکه خبر نشت اطلاعات ۴۲ میلیون کاربر ایرانی تلگرام فضای مجازی کشور را تکان داد.
اما این تنها روزهای ابتدایی سال بود. با نگاهی به اخبار و رخدادهای سال ۱۳۹۹ میتوان دریافت که این سال یکی از پرهیجان ترین و پرالتهاب ترین سال ها از دید امنیت سایبری چه برای مردم ایران و چه مردم جهان بوده است.
حملات سولارویندز، zerologon، نشت های اطلاعاتی گسترده و پیشرفت پروژه های کلان کشوری در حوزه فناوری اطلاعات تنها بخشی از اخبار داغ سال ۱۳۹۹ بودند. مرکز تخصصی آپا دانشگاه صنعتی اصفهان در گزارش خود به حمله وسیع سولارویندز تحت عنوان داستان سال پرداخته و اعتقاد دارد اهمیت این حمله میتوان آنرا به داستان سایبری قرن هم تبدیل کند.
داستان سال، حملات سولارویندز
شرکت فایرآی در هجدهم آذرماه سال ۱۳۹۹ اعلام نمود مورد هجوم حملات گسترده ای واقع شده که طی این حملات، خیلی از ابزارها و اطلاعات حساس این شرکت به سرقت رفته است. پنج روز بعد، کریس بینگ از رویترز از نفوذ به وزارت خزانه داری ایالات متحده آمریکا پرده برداشت. الن ناکاشیما، تحلیل گر امنیت اطلاعات واشنگتن پست با عرضه مدرکی، این دو حمله را به هم مرتبط دانست و ادعا نمود که هر دو بوسیله ی یک گروه تهدید روسی به نام APT۲۹ پیاده شده اند و در هر دو حمله از پلت فرم SolarWinds Orion سو استفاده شده است.
محصول Orion شرکت سولارویندز، یک سیستم مدیریت شبکه (Network Management System) یا NMS است که قابلیت های بسیاری برای نظارت و مدیریت سیستم های شبکه از سرورها و ایستگاه های کاری، تا تجهیزات شبکه مانند مسیریاب ها، دیوار آتش و... دارد. برای مهاجمین، NMSها اهداف بسیار مهمی هستند؛ چرا که: سیستم NMS بایستی با تمامی دستگاههای شبکه درارتباط باشد و از این حیث مکانیزم های فهرست دسترسی یا ACLs بر آن اثر ندارد.
بعلاوه، NMS ها اغلب بگونه ای پیکربندی می شوند که بتوانند شبکه را نظارت کنند و به رویدادهای آن پاسخ دهند. در صورت نفوذ به NMS این امکان، قابلیت های بسیاری را در اختیار مهاجم قرار خواهد داد. حتی اگر NMS فقط برای نظارت شبکه پیکربندی شده باشد، با به دست آوردن اعتبارنامه ها، مهاجم سطح دسترسی خوبی در شبکه هدف خواهد داشت. «در صورت نفوذ، هر کاری که NMS قادر به انجام آن است؛ مهاجم هم می تواند انجام دهد.»
حمله زنجیره تأمین، حمله ای است که برای نفوذ به یک نهاد، سازمان یا شرکت از ضعیف ترین عنصر (ضعیف ترین حلقه) در زنجیره هدف سو استفاده می شود. در حمله زنجیره تأمین سولارویندز هم از سولارویندز بعنوان حلقه ضعیف برای نفوذ به بزرگ ترین شرکت ها، نهادها و سازمان ها مانند پنتاگون ایالات متحده آمریکا، ناتو، اتحادیه اروپا، چندین وزارت خانه ایالات متحده آمریکا، چندین شرکت دارویی فعال در تولید واکسن کووید ۱۹ و خوش نام ترین شرکت ها مانند مایکروسافت، VMware، سیسکو، اینتل، فایرآی و... استفاده شد.
روایت حمله سولارویندز برای نخستین بار در آذرماه سال ۱۳۹۹ گفته شد؛ ولی در واقع زمان این حمله به ماه ها قبل تر یعنی اواخر ۱۳۹۸ باز می گردد. مایکروسافت فهرستی از DLL۱۹ آلوده سولارویندز را در گزارشی منتشر نمود که زمان دیده شدن این فایل ها بهمن ماه و اسفندماه ۱۳۹۸ است. هنوز معلوم نیست در این بازه زمانی، مهاجمین چه اطلاعاتی را به سرقت برده اند؟ تا چه اندازه کنترل شبکه های تسخیر شده را به دست گرفته اند و در آینده با عنایت به قابلیت های جدید چه می کنند؟
نیمه پر این داستان این است که خیلی از شرکتهای مطرح حوزه امنیت اطلاعات برای شناسایی بدافزارهای در رابطه با این حملات روش ها و دستورالعمل هایی را صادر کرده اند. همینطور شرکت سولارویندز وصله هایی را برای رفع صدمه پذیری های مورد سو استفاده در این حملات منتشر نمود. اما نیمه خالی لیوان آن است که هنوز خیلی از سازمان ها مبادرت به بروزرسانی سیستم های خود نکرده اند. برای مثال با گذشت چندین ماه از انتشار اخبار در رابطه با این حملات پیچیده و گسترده، هنوز نسخه صدمه پذیر سولارویندز بر ۳۰ آدرس IP ایرانی نصب است.
درس هایی برای مدیران امنیت و ناظران شبکه
حملاتی مانند زنجیره تأمین سولارویندز درس هایی زیادی برای مدیران امنیت و ناظران شبکه دارند. این که حتی بهترین ها، کامل نیستند. محصول Solarwinds Orion از مهم ترین و محبوب ترین محصولات NMS است که در سرتاسر جهان استفاده می شود ولیکن این بدین مفهوم نیست که از همه نظر – همچون از نظر امنیتی – بی نقص باشد. در نتیجه جهت استفاده از چنین محصولاتی با استفاده از نگاههای اعتماد صفر یا Zero Trust، بایستی ورودی و خروجی هایشان کاملا کنترل و نظارت شود.
گزارش وقوع حمله، کمک به خود و سایر قربانیان است. با اینکه هنوز ابعاد دقیق این حمله کاملا روشن نیست؛ ولیکن چراغ اول شناخت حمله را فایرآی با انتشار وقوع حملات به زیرساخت هایش روشن کرد. اگر شرکت ها و سازمان های قربانی حملات سایبری به جای توضیح و تشریح حمله، وقوع آنرا کتمان کنند نه تنها به جای سایر قربانیان به مهاجم کمک می کنند؛ بلکه کمک دیگران را از خود دریغ کرده اند. برای مثال در حمله سولارویندز، بدافزار Sunburst توسط FireEye شناسایی و ارائه شد. بعد از آن CrowdStrike بدافزار SunSpot را شناسایی کرد؛ شرکت هایی مانند مایکروسافت آنها را تحلیل و روش هایی برای شناسایی شان عرضه کردند و این روند هم افزایی همچنان ادامه دارد.
از آنجائیکه کد بدخواهانه در این حمله به فایل بروزرسانی محصول Solarwinds Orion تزریق شده بود؛ سوال معمول آن است که آیا بروزرسانی ها نباید نصب و اعمال شوند؟! در پاسخ باید گفت حتما باید بروزرسانی ها اعمال شوند ولی نه به صورت خودکار و بدون تحلیل. در رویکرد اعتماد صفر، شما نباید هر وصله یا فایل را بدون تحلیل بارگذاری و نصب کنید. علاوه بر این بدافزار Sunburst با دوره خاموشی ۱۴ روزه اش نشان داده است که تحلیل و بررسی کوتاه مدت ابدا کافی نیست.
مهم تر از همه آن که اهمیت شرکت یا سازمان وابسته تان را جدی بگیرید. به زنجیره تأمین شرکت یا سازمان خود توجه کنید و هرگونه ارتباط با حلقه های ضعیف تر این زنجیره را رصد کنید. توجه کنید که اگر به زیرساخت های پیچیده شرکتهای مطرح و مهمی مانند سولارویندز، فایرآی، مایکروسافت، سیسکو و سازمان هایی مانند پنتاگون، وزارت خانه های ایالات متحده، ناتو حمله شده است؛ حمله به شرکت یا سازمان شما هم امکان دارد.




1400/04/21
18:46:07
5.0 / 5
772
تگهای خبر: آمریكا , بدافزار , تلگرام , دستگاه
این مطلب سیبکس را پسندیدید؟
(1)
(0)
تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب
نظر شما در مورد این مطلب
نام:
ایمیل:
نظر:
سوال:
= ۷ بعلاوه ۴
سیبکس - SibeX

سیبكس

فناوری و محصولات اپل

sibex.ir - حقوق مادی و معنوی سایت سیبكس محفوظ است