مهاجمان تحت حمایت دولت كه گفته میشود برای روسیه كار میكنند خزانه داری آمریكا، اداره مخابرات و اطلاعات ملی (NTIA) و سایر نهادهای دولتی را برای نظارت بر ترافیك ایمیل داخلی، به عنوان بخشی از یك كاربرد گسترده جاسوسی سایبری، هدف قرار دادهاند.
واشنگتن پست با استناد به منابع ناشناس اعلام کرد که آخرین حملات مربوط به APT29 یا Cozy Bear، همان گروه هکری که گمان میرود چند روز پیش شرکت امنیت سایبری FireEye مستقر در ایالات متحده را مورد حمله قرار داده و منجر به سرقت ابزار تست نفوذ Red Team شده است.
انگیزه و دامنه کامل اطلاعاتی که به خطر افتاده همچنان نامشخص است، اما نشانهها حاکی از این است که مهاجمان بروزرسانی نرمافزاری که توسط تأمینکننده زیرساخت فناوری اطلاعات مستقر در تگزاس SolarWinds در اوایل سال جاری منتشر شد را دستکاری کردهاند تا به سیستمهای سازمانهای دولتی و همچنین FireEye نفوذ کرده و یک حمله Supply Chain بسیار پیچیده را انجام دهند.
محصولات شبکه و امنیتی SolarWinds توسط بیش از ۳۰۰۰۰۰ مشتری در سراسر جهان از جمله شرکتهای خصوصی، سازمانهای دولتی و موسسات آموزشی مورد استفاده قرار میگیرد.
این سرویس همچنین به شرکتهای بزرگ ارتباطی مخابراتی ایالات متحده، هر پنج شاخه ارتش ایالات متحده و سایر سازمانهای برجسته دولتی مانند پنتاگون، وزارت امور خارجه، ناسا، آژانس امنیت ملی (NSA)، خدمات پستی، NOAA، وزارت دادگستری و دفتر رئیس جمهور ایالات متحده نیز خدمات ارائه میدهد.
FireEye که تحت عنوان “UNC2452” فعالیت نفوذ مداوم را ردیابی میکند گفت: حمله زنجیره تامین از نرمافزار تجاری تروجان شده SolarWinds Orion به منظور توزیع Backdoor به نام SUNBURST بهره میبرد.
گفته میشود که این نسخه متقلب از افزونه SolarWinds Orion علاوه بر اینکه ترافیک شبکه خود را به عنوان پروتکل (Orion Improvement Program (OIP مخفی میکند، از طریق HTTP با سرورهای از راه دور ارتباط برقرار می کند تا دستورات مخرب (“jobs”) را بازیابی و اجرا کند. دامنه جاسوسی از جمله مواردی برای انتقال پروندهها، اجرای فایلها، پروفایل و راهاندازی مجدد سیستم هدف و غیرفعال کردن خدمات سیستم را پوشش میدهد.
Orion Improvement Program یا OIP عمدتا برای جمعآوری دادههای آمار عملکرد و استفاده از SolarWinds users برای اهداف بهبود محصول استفاده میشود.
علاوه بر این، آدرسهای IP مورد استفاده در این کمپین توسط سرورهای VPN واقع در همان کشور قربانی برای جلوگیری از شناسایی، پنهان شدهاند.
در یک مشاوره امنیتی منتشر شده توسط SolarWinds، این شرکت گفت که این حمله نسخههای ۲۰۱۹.۴ تا ۲۰۲۰.۲.۱ از نرم افزار SolarWinds Orion Platform را که بین مارس و ژوئن سال ۲۰۲۰ منتشر شده است هدف قرار میدهد و به کاربران توصیه میکند Orion Platform را هرچه سریعتر به نسخه ۲۰۲۰.۲.۱ HF 1 ارتقا دهند.
در نهایت، به نظر میرسد این کمپین یک حمله supply chain در مقیاس جهانی است، زیرا FireEye گفته است که این فعالیت را در چندین نهاد در سراسر جهان شناسایی کرده است، شامل بخشهایی از دولت، مشاوره، فناوری، مخابرات و شرکتهای استخراج در آمریکای شمالی، اروپا، آسیا و خاورمیانه.
یک نظر