تکنیک حمله به SolarWinds میتواند توسط هکرهای دیگر استفاده شود
ایالات متحده آمریکا
بزرگنمايي:
ایرانیان جهان - تکنیک هکرهای SolarWinds برای نفوذ به شبکههای شرکتی، چالشبرانگیز اما بسیار مؤثر بود؛ این موضوع شانس استفاده از آن را توسط هکرهای دیگر بالا میبرد.
حملهی گستردهی اخیر به نرمافزار سازمانی شرکت سولار ویندز (SolarWinds) تعداد بسیار زیادی از شرکتهای فعال در ایالات متحدهی آمریکا را متأثر کرد که در بین آنها آژانسهای دولتی آمریکایی نیز به چشم میخورند. تحلیلگران میگویند منبع اصلی حملات به روسیه برمیگردد. براساس مقالهی وایرد ، یکی از ترسناکترین جنبههای حمله به SolarWinds، استفادهی موفقیتآمیز از تکنیک حملهی زنجیرهی تأمین (S upply Chain Attack) بود که در نتیجهی آن، دهها هزار شرکتی که مشغول استفاده یک نرمافزار سازمانی بودند، تبدیل به هدف بالقوه شدند. این موضوع تنها ویژگی برجستهی حملهی سایبری به SolarWinds محسوب نمیشود. پس از هدف قرار دادن نرمافزار سازمانی SolarWinds، هکرها با اتکا بر استراتژیهایی ساده و ظریف، عمیقتر وارد شبکههای شرکتی قربانیان شدند. در همین راستا بهتازگی محققان امنیتی نگرانی خود را از افزایش این تکنیک در حملات سایبری ابراز کردهاند. هکرهای SolarWinds در بسیاری از مواقع از دسترسیشان برای نفوذ به سرویسهای ایمیل مایکروسافت 365 (Microsoft 365) و زیرساخت ابری مایکروسافت آژور (Microsoft Azure Cloud) استفاده کردند. مایکروسافت 365 و مایکروسافت آژور دو سرویس بسیار بزرگ و محبوب هستند و گنجینهای از دادههای ارزشمند دارند. چالش جلوگیری از این نوع نفوذ به مایکروسافت 365 و آژور این است که وابسته به آسیبپذیری خاصی نیستند که بتوان بهراحتی آن را با ارتقا سیستم، بهبود داد. به جای آن، هکرها با استفاده از حملهای اولیه، در موقعیتی قرار میگیرند که بتوانند سرویسهای مایکروسافت 365 و آژور را به گونهای اصلاح کنند که انگار یکی از کارمندان مایکروسافت چنین کاری انجام داده است؛ با این کار عملا همه چیز طبیعی به نظر میرسد. در مورد حملات سایبری SolarWinds، این تکنیک به شکل گسترده اثرگذار بود. تکنیک هکرها ده هزار شرکت مجهز به نرمافزار سازمانی SolarWinds را تبدیل به هدف بالقوه کرد
متیو مکویرت ، از مدیران Mandiant Fireeye که پیش از بقیه موفق شد در اوایل ماه دسامبر 2020 (اواسط آذر 1399) پویش هک روسیه را برای SolarWinds شناسایی کند، میگوید امروزه هکرهای دیگری وجود دارند که قطعا سراغ استفاده از این نوع تکنیک خواهند رفت؛ زیرا دنبال راهکاری میگردند که حملات سایبری را به نتیجه برساند. در حملات اخیر هکرها سراغ یکی از نرمافزارهای SolarWinds رفتند که با نام Orion شناخته میشود؛ سپس بهروزرسانی حاوی بدافزار را برای Orion منتشر کردند که باعث شد امکان دسترسی به شبکهی تمامی مشتریان SolarWinds که بهروزرسانی را دانلود کرده بودند فراهم شود. از این مرحله به بعد، هکرها میتوانستند به لطف بدافزار، به سیستم قربانیان دسترسی پیدا کنند و کنترل گواهیها و کلیدهایی که برای تولید توکن تصدیق هویت سیستم (SAML) در مایکروسافت 365 و مایکروسافت آژور استفاده میشود به دست بگیرند. سازمانهای مختلف بهطور محلی از طریق سرویس Active Directory Federation مایکروسافت، زیرساختهای سیستم تصدیق هویت را مدیریت میکنند و به سرورهای ابری متکی نمیشوند.
از زمان حملات SolarWinds، مایکروسافت ابزارهای نظارتی Azure Sentinel را افزایش داده است. بهعلاوه شرکت Mandiant ابزاری منتشر کرده است که به سازمانها و افراد امکان میدهد استفاده از توکنهای دسترسی به مایکروسافت 365 و آژور را بررسی کنند. حال که جزئیات تکنیکهای حملات SolarWinds بهصورت کاملا عمومی در دسترس قرار گرفته، ممکن است هکرهای بیشتری مشغول استفاده از آنها شوند و سازمانهای بیشتری در معرض خطر باشند. برخی از محققان امنیتی سالها است هشدار میدهند که دستکاری توکن SAML برای تقریبا تمامی کاربران سرویسهای ابری، پرمخاطره محسوب میشود؛ نه فقط برای کسانی که متکی بر پلتفرم آژور هستند. در سال 2017 شیکد راینر ، محققی در شرکت CyberArk، جزئیات برخی از یافتههای خود دربارهی تکنیک موردبحث (GoldenSAML) را منتشر کرد. راینر میگوید هکرها در چند سال گذشته زیاد از GoldenSAML استفاده نکردهاند؛ زیرا این روش به دسترسی سطح بالا نیاز دارد. بااینحال او همواره شاهد افزایش استفاده از این تکنیک بوده است که با توجه به اثرگذاری آن، اجتنابناپذیر است. این محقق امنیتی وقتی متوجه شده هکرهای SolarWinds از این تکنیک استفاده کردهاند، متعجب نشده است؛ زیرا با تمام چالشهای این تکنیک، استفاده از آن کاملا ارزش دارد و دسترسیهای زیادی در اختیار هکر قرار میدهد. شیکد راینر میگوید: «از آنجایی که هکرهای SolarWinds به شکل بسیار موفقیتآمیز از آن استفاده کردند، مطمئن هستم که هکرهای دیگر از فرایند این حمله یادداشتبرداری خواهند کرد و از این پس بیشتر و بیشتر سراغ استفاده از آن خواهند رفت.»
مایکروسافت از هک گسترده و پیچیده SolarWinds که روی ایران نیز اثر گذاشته است خبر داد هکرهای SolarWinds به بخشی از سورس کد مایکروسافت دسترسی پیدا کردهاند سیستمهای اینتل، انویدیا و سیسکو در حملات سایبری SolarWinds آلوده شدهاند
به گفتهی محققان امنیتی، برای مثال باید حواستان به توکنهایی باشد که ماهها یا سالها پیش صادر شدهاند؛ اما چند هفتهی پیش برای انجام فرایند تصویق هویت از آنها استفاده شده است. راینر میگوید سازمانهایی که سیستم نظارتی قوی دارند، میتوانند اقدامات هکرها برای از بین بردن سرنخها را تشخیص بدهند. مثلا اگر توکنی میبینید که به شکل گسترده مورد استفاده قرار میگیرد اما نمیتوانید به دادههای مربوط به زمان صدور آن دسترسی پیدا کنید، ممکن است برای انجام فعالیتهای مخرب مورد استفاده قرار گرفته باشد. راینر میگوید هرچه تعداد سازمانهای متکی بر سرور ابری افزایش مییابد، استفاده از SAML بیشتر میشود. سازمانها باید آماده باشند؛ زیرا این تکنیک را نمیتوانیم آسیبپذیری خطاب کنیم؛ بلکه بخشی از ذات پروتکل است. بههمین دلیل فعلا قرار است با مشکلی که SolarWinds را متأثر کرد روبهرو شویم.
لینک کوتاه:
https://www.iranianejahan.ir/Fa/News/218498/