در حالی که محققان امنیت سایبری همچنان درحال تحقیق در مورد حمله گسترده SolarWinds هستند، مدیران ارشد این شرکت خدمات نرمافزاری یک کارآموز را بخاطر انتخاب رمز عبور ضعیف مقصر میدانند.
در ابتدا اعتقاد بر این بود که رمز عبور “solarwinds123” از ۱۷ ژوئن ۲۰۱۸، قبل از اینکه به misconfiguration در ۲۲ نوامبر ۲۰۱۹ پرداخته شود، از طریق مخزن GitHub در دسترس عموم بوده است.
اما مدیرعامل این شرکت در جلسه روز جمعه در برابر کمیتههای نظارت و اصلاحات و امنیت داخلی مجلس شهادت داد که این رمز عبور از اوایل سال ۲۰۱۷ مورد استفاده قرار گرفته است.
در حالی که تحقیقات مقدماتی در مورد این حمله نشان میدهد که مهاجمها موفق شدهاند از اوایل اکتبر ۲۰۱۹ با بارگذاری Sunburst به هدف خود برسند، نتایج تحقیقات Crowdstrike نشان میدهد که اولین نفوذ به شبکه SolarWinds در ۴ سپتامبر ۲۰۱۹ رخ داده است.
تا به امروز دست کم ۹ سازمان دولتی و ۱۰۰ شرکت خصوصی در پی این حمله که به عنوان یکی از پیچیدهترین و برنامهریزی شدهترین عملیات سایبری دنیا شناخته میشود، آسیب دیدهاند.
کتی پورتر نماینده کالیفرنیا گفت: من یک رمز عبور قویتر از ‘solarwinds123’ دارم تا از تماشای بیش از حد YouTube توسط فرزندانم جلوگیری کنم، شما و شرکت شما قرار بود مانع از خواندن ایمیلهای وزارت دفاع توسط روسها شوید.
راماکریشنا، مدیرعامل SolarWinds در پاسخ به پورتر گفت: من معتقدم که این رمز عبوری بود که یک کارآموز در سال ۲۰۱۷ در یکی از سرورها استفاده کرد که به تیم امنیتی ما گزارش شد و بلافاصله برداشته شد.
مدیرعامل سابق، کوین تامپسون نیز اظهارات راماکریشنا را در صحبتهای خود تکرار کرد. تامپسون گفت: این مربوط به اشتباهی بود كه یك كارآموز مرتكب شد، آنها خط مشیهای رمز عبور ما را نقض كردند و این رمز عبور را در حساب خصوصی GitHub خود قرار دادند.
اعتقاد بر این است که حدود ۱۸۰۰۰ مشتری از SolarWinds با بروزرسانی، تروجان Orion را دریافت کردهاند، عامل این عملیات با دقت اهداف خود را انتخاب کرده و تصمیم گرفته است که با استفاده از بدافزار Teardrop مبتنیبر Intel حملات را فقط در چند مورد تشدید کند.
به گزارش واشنگتنپست: علاوه بر نفوذ به شبکههای مایکروسافت، FireEye ،Malwarebytes ،CrowdStrike و Mimecast، مهاجمان از SolarWinds برای نفوذ به اداره ملی هوانوردی و فضایی (NSA) و اداره هواپیمایی فدرال (FAA) استفاده کردهاند.
هفت سازمان شامل وزارت امور خارجه، دادگستری، بازرگانی، امنیت داخلی، انرژی، خزانه داری و مؤسسات ملی بهداشت از دیگر قربانیان این حمله هستند.
آنگونه که ادعا میشود گروه مهاجم یک گروه روسی است که تحت عناوین مختلف از جملهUNC2452 (FireEye) SolarStorm (پالو آلتو واحد ۴۲)، StellarParticle (CrowdStrike) و Dark Halo (Volexity) شناخته میشوند.
یک نظر