ایرانیان جهان - تکنیک هکرهای SolarWinds برای نفوذ به شبکه‌های شرکتی، چالش‌برانگیز اما بسیار مؤثر بود؛ این موضوع شانس استفاده از آن را توسط هکرهای دیگر بالا می‌برد.

حمله‌ی گسترده‌ی اخیر به نرم‌افزار سازمانی شرکت سولار ویندز (SolarWinds) تعداد بسیار زیادی از شرکت‌های فعال در ایالات متحده‌ی آمریکا را متأثر کرد که در بین آن‌ها آژانس‌های دولتی آمریکایی نیز به ‌چشم می‌خورند. تحلیلگران می‌گویند منبع اصلی حملات به روسیه برمی‌گردد. براساس مقاله‌ی وایرد ، یکی از ترسناک‌ترین جنبه‌های حمله به SolarWinds،‌ استفاده‌ی موفقیت‌آمیز از تکنیک حمله‌ی زنجیره‌ی تأمین (S upply Chain Attack) بود که در نتیجه‌ی آن، ده‌ها هزار شرکتی که مشغول استفاده یک نرم‌افزار سازمانی بودند، تبدیل ‌به هدف بالقوه شدند. این موضوع تنها ویژگی برجسته‌ی حمله‌‌ی سایبری به SolarWinds محسوب نمی‌شود. پس از هدف قرار دادن نرم‌افزار سازمانی SolarWinds، هکرها با اتکا بر استراتژی‌هایی ساده و ظریف، عمیق‌تر وارد شبکه‌های شرکتی قربانیان شدند. در همین راستا به‌تازگی محققان امنیتی نگرانی خود را از افزایش این تکنیک در حملات سایبری ابراز کرد‌ه‌اند. هکرهای SolarWinds در بسیاری از مواقع از دسترسی‌‌شان برای نفوذ به سرویس‌های ایمیل مایکروسافت 365 (Microsoft 365) و زیرساخت ابری مایکروسافت آژور (Microsoft Azure Cloud) استفاده کردند. مایکروسافت 365 و مایکروسافت آژور دو سرویس بسیار بزرگ و محبوب هستند و گنجینه‌ای از داده‌های ارزشمند دارند. چالش جلوگیری از این نوع نفوذ به مایکروسافت 365 و آژور این است که وابسته ‌به آسیب‌پذیری خاصی نیستند که بتوان به‌راحتی آن را با ارتقا سیستم، بهبود داد. به‌ جای آن، هکرها با استفاده از حمله‌ای اولیه، در موقعیتی قرار می‌گیرند که بتوانند سرویس‌های مایکروسافت 365 و آژور را به‌ گونه‌ای اصلاح کنند که انگار یکی از کارمندان مایکروسافت چنین کاری انجام داده است؛ با این کار عملا همه ‌چیز طبیعی به ‌نظر می‌رسد. در مورد حملات سایبری SolarWinds، این تکنیک به‌ شکل گسترده اثرگذار بود. تکنیک هکرها ده ‌هزار شرکت مجهز به نرم‌افزار سازمانی SolarWinds را تبدیل به هدف بالقوه کرد
متیو مک‌ویرت ، از مدیران Mandiant Fireeye که پیش از بقیه موفق شد در اوایل ماه دسامبر 2020 (اواسط آذر 1399) پویش هک روسیه را برای SolarWinds شناسایی کند، می‌گوید امروزه هکرهای دیگری وجود دارند که قطعا سراغ استفاده از این نوع تکنیک‌ خواهند رفت؛ زیرا دنبال راهکاری می‌گردند که حملات سایبری را به ‌نتیجه برساند. در حملات اخیر هکرها سراغ یکی از نرم‌افزارهای SolarWinds رفتند که با نام Orion شناخته می‌شود؛ سپس به‌روزرسانی‌ حاوی بدافزار را برای Orion منتشر کردند که باعث شد امکان دسترسی به شبکه‌ی تمامی مشتریان SolarWinds که به‌روزرسانی را دانلود کرده بودند فراهم شود. از این مرحله به بعد، هکرها می‌توانستند به ‌لطف بدافزار، به سیستم قربانیان دسترسی پیدا کنند و کنترل گواهی‌ها و کلیدهایی که برای تولید توکن‌ تصدیق هویت سیستم (SAML) در مایکروسافت 365 و مایکروسافت آژور استفاده می‌شود به ‌دست بگیرند. سازمان‌های مختلف به‌طور محلی از طریق سرویس‌ Active Directory Federation مایکروسافت، زیرساخت‌های سیستم تصدیق هویت را مدیریت می‌کنند و به سرورهای ابری متکی نمی‌شوند.

از زمان حملات SolarWinds، مایکروسافت ابزارهای نظارتی Azure Sentinel را افزایش داده است. به‌علاوه شرکت Mandiant ابزاری منتشر کرده است که به سازمان‌ها و افراد امکان می‌دهد استفاده از توکن‌های دسترسی به مایکروسافت 365 و آژور را بررسی کنند. حال ‌که جزئیات تکنیک‌های حملات SolarWinds به‌صورت کاملا عمومی در دسترس قرار گرفته، ممکن است هکرهای بیشتری مشغول استفاده از آن‌ها شوند و سازمان‌های بیشتری در معرض خطر باشند. برخی از محققان امنیتی سال‌ها است هشدار می‌دهند که دست‌کاری توکن‌ SAML برای تقریبا تمامی کاربران سرویس‌های ابری، پرمخاطره محسوب می‌شود؛ نه فقط برای کسانی که متکی ‌بر پلتفرم آژور هستند. در سال 2017 شیکد راینر ، محققی در شرکت CyberArk، جزئیات برخی از یافته‌های خود درباره‌ی تکنیک موردبحث (GoldenSAML) را منتشر کرد. راینر می‌گوید هکرها در چند سال گذشته زیاد از GoldenSAML استفاده نکرده‌اند؛ زیرا این روش به دسترسی سطح بالا نیاز دارد. بااین‌حال او همواره شاهد افزایش استفاده از این تکنیک بوده است که با توجه به اثرگذاری آن، اجتناب‌ناپذیر است. این محقق امنیتی وقتی متوجه شده هکرهای SolarWinds از این تکنیک استفاده کرده‌اند، متعجب نشده است؛ زیرا با تمام چالش‌های این تکنیک، استفاده از آن کاملا ارزش دارد و دسترسی‌های زیادی در اختیار هکر قرار می‌دهد. شیکد راینر می‌گوید: «از آن‌جایی که هکرهای SolarWinds به ‌شکل بسیار موفقیت‌آمیز از آن استفاده کردند، مطمئن هستم که هکرهای دیگر از فرایند این حمله یادداشت‌برداری خواهند کرد و از این پس بیشتر و بیشتر سراغ استفاده از آن خواهند رفت.»

مایکروسافت از هک گسترده و پیچیده SolarWinds که روی ایران نیز اثر گذاشته است خبر داد هکرهای SolarWinds به بخشی از سورس کد مایکروسافت دسترسی پیدا کرده‌اند سیستم‌های اینتل، انویدیا و سیسکو در حملات سایبری SolarWinds آلوده شده‌اند
به گفته‌ی محققان امنیتی، برای مثال باید حواستان به توکن‌هایی باشد که ماه‌ها یا سال‌ها پیش صادر شده‌اند؛ اما چند هفته‌ی پیش برای انجام فرایند تصویق هویت از آن‌ها استفاده شده است. راینر می‌گوید سازمان‌هایی که سیستم نظارتی قوی دارند، می‌توانند اقدامات هکرها برای از بین ‌بردن سرنخ‌ها را تشخیص بدهند. مثلا اگر توکنی می‌بینید که به ‌شکل گسترده مورد استفاده قرار می‌گیرد اما نمی‌توانید به داده‌های مربوط به زمان صدور آن دسترسی پیدا کنید، ممکن است برای انجام فعالیت‌های مخرب مورد استفاده قرار گرفته باشد. راینر می‌گوید هرچه تعداد سازمان‌های متکی ‌بر سرور ابری افزایش می‌یابد، استفاده‌ از SAML بیشتر می‌شود. سازمان‌ها باید آماده باشند؛ زیرا این تکنیک‌ را نمی‌توانیم آسیب‌پذیری خطاب کنیم؛ بلکه بخشی از ذات پروتکل است. به‌همین دلیل فعلا قرار است با مشکلی که SolarWinds را متأثر کرد روبه‌رو شویم.