در یک هفته گذشته در جریان حملاتی پیچیده شرکت امنیتی فایرآی (FireEye) و وزارت خزانهداری ایالات متحده و احتمالا بسیاری از شرکتها و سازمانهای معروف دیگر توسط گروهی از مهاجمان هک شدند.
به گزارش معاونت بررسی مرکز افتا به نقل از سایت blog.malwarebytes، اکنون مشخص شده که پیشتر این مهاجمان با رخنه به سولار ویندز (SolarWinds) موفق به تزریق کد آلوده به یکی از محصولات ساخت این شرکت با نام Orion Platform شده بودند و از طریق نرمافزار مذکور زمینه را برای نفوذ به بیش از ۱۸ هزار مشتری آن محصول از جمله شرکتها و سازمانهایی که در روزهای اخیر هک شدند فراهم کرده بودند.
این روش حمله به زنجیره تأمین (Supply Chain Attack) معروف است. در این حملات، مهاجمان با بهرهجویی از اجزای آسیبپذیر در زنجیره تأمین یک سازمان به آن رخنه و یا آن را دچار اختلال میکنند.
وزارت امنیت داخله ایالات متحده با انتشار یک بخشنامه اضطراری از تمامی سازمانهای فدرال این کشور خواسته تا بهسرعت نسبت به قطع ارتباط نسخ آسیبپذیر Orion Platform اقدام کنند.
هفته گذشته فایرآی اعلام کرد که مهاجمان موفق به سرقت ابزارهایی دیجیتال شدهاند که این شرکت از آنها با عنوان Red Team یاد میکند. فایرآی از ابزارهای Red Team بهمنظور شناسایی آسیبپذیری سیستمها در شبکه مشتریان خود استفاده میکرده است. در آن زمان این احتمال مطرح شده بود که هدف مهاجمان از آن حمله، سرقت ابزارهای Red Team و استفاده از آنها در حملات آتی خود بوده باشد. اما حال به نظر میرسد که مهاجمان در پی رسیدن به مقاصدی مهمتر بودهاند و دامنه حملات آنها بسیار گستردهتر از آنچه قبلا تصور میشد بوده است.
انتظار میرود در روزها، هفتهها و حتی شاید ماههای آتی ابعادی دیگر از یکی از کمنظیرترین حملات سایبری روشن شود.
توصیهنامه سولار ویندز در خصوص رخداد اخیر در لینک زیر قابل دریافت و مطالعه است:
https://www.solarwinds.com/securityadvisory
فهرست برخی از گزارشهای منتشر شده از سوی شرکتهای امنیتی به شرح زیر است:
https://www.fireeye.com/blog/threat-research/۲۰۲۰/۱۲/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.htmlhttps://news.sophos.com/en-us/۲۰۲۰/۱۲/۱۴/solarwinds-breach-how-to-identify-if-you-have-been-affected/https://blog.malwarebytes.com/threat-analysis/۲۰۲۰/۱۲/advanced-cyber-attack-hits-private-and-public-sector-via-supply-chain-software-update/https://msrc-blog.microsoft.com/۲۰۲۰/۱۲/۱۳/customer-guidance-on-recent-nation-state-cyber-attacks/
شرکت فایرآی مجموعه قواعدی از جمله از نوع Snort و Yara برای شناسایی نشانههای آلودگی مرتبط با سولار ویندز در دسترس قرار داده که در لینک زیر قابل دریافت است:
https://github.com/fireeye/sunburst_countermeasures/tree/main/rules
انجام اقدامات زیر با اولویت بالا توصیه میشود:
دیدگاه شما