ماجرای یکی از کم‌نظیرترین حملات سایبری تاریخ

در یک هفته گذشته در جریان حملاتی پیچیده شرکت امنیتی فایرآی (FireEye) و وزارت خزانه‌داری ایالات متحده و احتمالا بسیاری از شرکت‌ها و سازمان‌های معروف دیگر توسط گروهی از مهاجمان هک شدند.
به گزارش معاونت بررسی مرکز افتا به نقل از سایت blog.malwarebytes، اکنون مشخص شده که پیش‌تر این مهاجمان با رخنه به سولار ویندز (SolarWinds) موفق به تزریق کد آلوده به یکی از محصولات ساخت این شرکت با نام Orion Platform شده بودند و از طریق نرم‌افزار مذکور زمینه را برای نفوذ به بیش از ۱۸ هزار مشتری آن محصول از جمله شرکت‌ها و سازمان‌هایی که در روزهای اخیر هک شدند فراهم کرده بودند.
این روش حمله به زنجیره تأمین (Supply Chain Attack) معروف است. در این حملات، مهاجمان با بهره‌جویی از اجزای آسیب‌پذیر در زنجیره تأمین یک سازمان به آن رخنه و یا آن را دچار اختلال می‌کنند.
وزارت امنیت داخله ایالات متحده با انتشار یک بخشنامه اضطراری از تمامی سازمان‌های فدرال این کشور خواسته تا به‌سرعت نسبت به قطع ارتباط نسخ آسیب‌پذیر Orion Platform اقدام کنند.
هفته گذشته فایرآی اعلام کرد که مهاجمان موفق به سرقت ابزارهایی دیجیتال شده‌اند که این شرکت از آنها با عنوان Red Team یاد می‌کند. فایرآی از ابزارهای Red Team به‌منظور شناسایی آسیب‌پذیری سیستم‌ها در شبکه مشتریان خود استفاده می‌کرده است. در آن زمان این احتمال مطرح شده بود که هدف مهاجمان از آن حمله، سرقت ابزارهای Red Team و استفاده از آنها در حملات آتی خود بوده باشد. اما حال به نظر می‌رسد که مهاجمان در پی رسیدن به مقاصدی مهم‌تر بوده‌اند و دامنه حملات آنها بسیار گسترده‌تر از آن‌چه قبلا تصور می‌شد بوده است. 
انتظار می‌رود در روزها، هفته‌ها و حتی شاید ماه‌های آتی ابعادی دیگر از یکی از کم‌نظیرترین حملات سایبری روشن شود.
توصیه‌نامه سولار ویندز در خصوص رخداد اخیر در لینک زیر قابل دریافت و مطالعه است:

https://www.solarwinds.com/securityadvisory

فهرست برخی از گزارش‌های منتشر شده از سوی شرکت‌های امنیتی به شرح زیر است:

https://www.fireeye.com/blog/threat-research/۲۰۲۰/۱۲/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.htmlhttps://news.sophos.com/en-us/۲۰۲۰/۱۲/۱۴/solarwinds-breach-how-to-identify-if-you-have-been-affected/https://blog.malwarebytes.com/threat-analysis/۲۰۲۰/۱۲/advanced-cyber-attack-hits-private-and-public-sector-via-supply-chain-software-update/https://msrc-blog.microsoft.com/۲۰۲۰/۱۲/۱۳/customer-guidance-on-recent-nation-state-cyber-attacks/

شرکت فایرآی مجموعه قواعدی از جمله از نوع Snort و Yara برای شناسایی نشانه‌های آلودگی مرتبط با سولار ویندز در دسترس قرار داده که در لینک زیر قابل دریافت است:

https://github.com/fireeye/sunburst_countermeasures/tree/main/rules

انجام اقدامات زیر با اولویت بالا توصیه می‌شود:

  •     در اسرع وقت نسبت به جدا کردن هر سیستمی که بر روی آن Version ۲۰۱۹,۴ HF ۵ تا Version ۲۰۲۰.۲.۱ محصول SolarWinds Orion Platform نصب است اقدام شود. این نسخ در فاصله مارس ۲۰۲۰ تا ژوئن ۲۰۲۰ عرضه شده بودند.
  •     با استفاده از محصولات ضدویروس و ابزارهای امنیتی وجود هر گونه نشانه آلودگی که در انتهای این گزارش به فهرست آنها اشاره شده بررسی شود.
  •     با انجام یک بررسی امنیتی دقیق، فراگیر و جامع زیرساخت‌های فیزیکی و ابری بازبینی و مقاوم‌سازی شوند.
  •     SolarWinds Orion Platform به Version ۲۰۲۰,۲.۱ HF ۱ ارتقا داده شده و پس از اطمینان از عدم وجود هر گونه آلودگی، سیستم‌ها به حالت قبل بازگردانده شوند.

نشانه‌های آلودگی (IoC)

https://blog.malwarebytes.com/threat-analysis/۲۰۲۰/۱۲/advanced-cyber-attack-hits-private-and-public-sector-via-supply-chain-software-update/

دیدگاه شما

نشانی ایمیل شما منتشر نخواهد شد.