در ماههای پایانی سال گذشته میلادی بود که یک کمپین بدافزار بسیار پیچیده آژانسهای فدرال، دولتی و محلی ایالات متحده را همراه با چند کمپانی خصوصی مانند مایکروسافت تحت تاثیر قرار داد، حملهای که هکرهای روسی پشت آن بودند. تحلیل محققان امنیتی در ماه دسامبر نشان داد که یک گروه ثانویه نیز در حال استفاده از نرمافزار شرکت SolarWinds برای هدف قرار دادن سازمانهای دولتی بوده است و رویترز هم گزارش کرد که به زعم مقامات دولتی، گروهی از هکرهای چینی مسئولیت مجموعهای از رخنههای امنیتی به آژانسهای فدرال را برعهده داشتهاند.
حمله چینیها به صورت کاملا جداگانه از رخنه بزرگی که در ماه دسامبر اعلام شده بود صورت گرفت. حمله نخست ابعاد بسیار بزرگتری داشت و بنابر گزارشها سیستم ایمیل مورد استفاده از سوی مدیران وزارت خزانهداری و سیستمهای چندین آژانس فدرال دیگر در آمریکا را تحت تاثیر قرار بود. اما رخنههای امنیتی از مدتها پیش و در واقع از مارس ۲۰۲۰ آغاز شده بودند، زمانی که هکرها نرمافزار مدیریت آیتی SolarWinds را مورد سوء استفاده قرار دادند.
شرکت SolarWinds که در تگزاس فعالیت دارد، نرمافزاری میفروشد که به سازمانها اجازه میدهد قادر به پایش هرآنچه در شبکههای کامپیوتری میگذرد باشند. در حمله مربوط به روسها، هکرها یک کد بدخواهانه را درون یکی از بهروزرسانیهای پلتفرم نرمافزار قرار دادند که تحت عنوان Orion شناخته میشود. حدودا ۱۸ هزار مورد از مشتریان SolarWinds این بهروزرسانی را روی کامپیوترهای خود نصب کردند. به این ترتیب با فاجعهای در ابعاد بسیار بزرگ روبهرو شدیم که هر روز اطلاعات بیشتری از آن به دست میآید.
در بیانیهای مشترک که در روز ۱۲ دسامبر منتشر شد، آژانسهای امنیتی ملی آمریکا گفتند رخنه امنیتی «بسیار عظیم و همچنان در جریان» است. بنابر تحلیل مشترک مایکروسافت و شرکت امنیتی FireEye، که هر دو خود آلوده شده بودند، بدافزار مورد نظر به هکرها اجازه میداد به شکلی عمیق به سیستمهای آلوده دسترسی پیدا کنند. در طرف عکس، گروه چینی در حمله جداگانه خود به سیستمهای SolarWinds نفوذ نکرد و در عوض به سیستمهای هدف خود دسترسی یافت و از آسیبپذیری موجود در نرمافزار Orion که روی آنها اجرا میشد سوء استفاده کرد.
مایکروسافت گفت که قادر به شناسایی دستکم ۴۰ مشتری بوده که در حمله روسها هدف قرار داده شدند. هنوز مشخص نیست که چند آژانس دولتی تحت تاثیر کمپین حمله ثانویه قرار گرفتند و کماکان باید منتظر اطلاعات بیشتر ماند. اما تا ارائه جزییات بیشتر، آنچه درباره ماجرای هک SolarWinds میدانیم به شرح زیر است:
بنابر توضیحات رسمی SolarWinds، هکرها توانستند به سیستمی دسترسی یابند که این کمپانی برای سرهم کردن بهروزرسانیهای Orion از آن استفاده میکند. از این لحظه به بعد، آنها توانستند کد بدخواهانه را درون بهروزرسانی نرمافزاری معتبر Orion قرار دهند. به این اتفاق «حمله زنجیره تامین» گفته میشود، زیرا نرمافزار درحالی که در دست اسمبل است آلوده میشود.
هکرها باید حسابی ماهر باشند تا بتوانند حمله زنجیره تامین را پیادهسازی کند، زیرا بدافزار باید درون یک نرمافزار قابل اعتماد پنهان شود. هکرها معمولا باید از آسیبپذیریهای نرمافزاری پچ نشده در سیستمهای هدف خود سوء استفاده کنند یا با کمپینهای فیشینگ، مردم را فریب دهند تا قادر به دسترسی یافتن به سیستمهای مد نظر خود باشند. با حمله زنجیره تامین، هکرها میتوانستند صرفا منتظر این باشند که بهروزرسانی نرمافزاری سر از سیستمهای آژانسهای دولتی و کمپانیهای خصوصی سر در آورد و کار را آغاز کنند.
این رویکرد از آن جهت بسیار موثر واقع شده که هزاران کمپانی و آژانس دولتی در سراسر جهان از نرمافزار Orion استفاده میکنند. با عرضه بهروزرسانی نرمافزاری آلوده، تقریبا تمام مشتریان Orion به هدفی بالقوه برای هکرها تبدیل شدند.
در روندی مجزا از ماجرای هک، SolarWinds نیز به خاطر آسیبپذیریهای موجود در نرمافزارش به باد انتقاد گرفته شده است. اینها خطاهای کدنویسی هستند و ارتباطی به تعبیه بدافزار در سیستمهای SolarWinds ندارند.
در ماه دسامبر، محققان امنیتی گفتند که کالبدشکافیهای امنیتی Orion روی سیستمهای آلوده نشان میدهند که یک گروه مجزای دیگر از هکرها هم در تلاش بودهاند با Orion برخی سازمانها را هدف قرار دهند. در روز دوم فوریه رویترز گزارش کرد که گروهی از هکرهای احتمالا چینی، آژانسهای دولتی فدرال را با استفاده از یک نقص در Orion هک کردهاند. یکی از مرکز امور مالی دپارتمان کشاورزی آمریکا اما گزارش رویترز مبنی بر رخنه هکرها به سیستمهایش را تکذیب کرد.
در روز سوم فوریه، محققان موسسه امنیت سایبری Trustwave اطلاعاتی راجع به سه آسیبپذیری گوناگون در محصولات نرمافزاری SolarWinds منتشر کردند. البته این باگها اکنون پچ شدهاند و شواهدی از استفاده از آنها در حملات هک وجود ندارد.
مقامات اطلاعاتی آمریکا به صورت عمومی، حمله زنجیره تامین به سیستمهای داخلی SolarWinds را گردن روسیه انداختهاند. پلیس فدرال آمریکا و آژانس امنیت ملی این کشور در همراهی با آژانس امنیت زیرساخت و امنیت سایبری اعلام کردند که هک «به احتمال زیاد ریشههای روسی داشته»، اما نامی از یک گروه هک مشخص یا یک آژانس دولتی در روسیه نبردهاند.
بعد از این نیز مایک پمپئو، سخنگوی امور خارجه وقت آمریکا در مصاحبهای جداگانه، بار دیگر روسیه را مسئول حملات دانست. همین رویه سپس توسط دیگر مقامات دولت آمریکا در پیش گرفته شد. اما از طرف دیگر، دونالد ترامپ، رییس جمهور وقت آمریکا، کشور چین را مقصر تلقی میکرد. SolarWinds و سایر شرکتهای فعال در حوزه امنیت سایبری را هک را کار «بازیگرانی که حامی دولتی داشتهاند» اعلام کردهاند، اما نامی از یک کشور خاص نبردهاند.
سفارت روسیه در آمریکا طی روز ۱۳ دسامبر در بیانیهای هرگونه ارتباط با کمپین هک SolarWinds را تکذیب کرد و گفت: «فعالیتهای بدخواهانه در فضای اطلاعات، قواعد روابط خارجی روسیه، منافع ملی و درک ما از ارتباطات میان دولتها را نقض میکند». سفارت روسیه افزود که «روسیه عملیاتهای نتهاجمی در دنیای سایبری ترتیب نمیدهد».
افزون بر دسترسی یافتن به سیستمهای دولتی گوناگون، هکرها توانستهاند نرمافزاری در دست توسعه را تبدیل به سلاح کنند. این سلاح سپس به سمت هزاران گروه و نه فقط آژانسها و کمپانیهایی که هکرها روی آنها متمرکز بودند و بهروزرسانی آلوده Orion را دریافت کردند نشانه گرفته شد.
برد اسمیت، یکی از مدیران مایکروسافت این اتفاق «بیپروایی محض» خواند. او مستقیما مسئولیت هک را به گردن دولت روسیه نینداخت، اما این بحث را پیش کشید که کمپینهای هک پیشین این کشور، اثباتی بر این موضوع است که تنش در فضای سایبری روز به روز بالا میگیرد.
اسمیت گفت: «این صرفا حملهای به اهداف مشخص نیست، بلکه حملهای به اتکاپذیری زیرساختهای حیاتی جهان است تا آژانسهای امنیتی یک کشور بتوانند دست بالا را داشته باشند». او سپس خواستار توافقنامهای بینالمللی شد تا ساخت ابزارهای هک محدود شود و امنیت سایبری جهان بیش از این به خطر نیفتد.
الکس استاموس، مدیر امنیت سایبری پیشین فیسبوک در روز ۱۸ دسامبر گفت که بعد از این هک، حملات زنجیره تامین شکلی رایجتر به خود خواهند گرفت. البته او در عین حال گفت که برای یک آژانس امنیتی که به تمام منابع مورد نیاز خود دسترسی دارد، چنین هکی آنقدرها خرق عادت به حساب نمیآید.
بله. مایکروسافت در روز ۱۷ دسامبر تایید کرد که شواهدی از وجود بدافزار را در سیستمهایش یافته است و چند روز پیشتر نیز تایید کرده بود که این رخنه برخی از مشتریانش را تحت تاثیر قرار داده. در یکی از گزارشهای رویترز نیز آمده که از سیستمهای خود مایکروسافت برای پیشبرد هرچه بیشتر کمپین هک استفاده شده، اما مایکروسافت ادعای این خبرگزاری را رد کرد. در روز ۱۶ دسامبر، مایکروسافت تصمیم به قرنطینه کردن آن ورژنها از Orion که حاوی بدافزار بودند گرفت تا دسترسی هکرها به سیستمهای مشتریانش قطع شود.
FireEye هم تایید کرده که شبکهاش به بدافزار آلوده بوده و رد پای آن را در سیستمهای مشتریان خود نیز دیده است.
وال استریت ژورنال در روز ۲۱ دسامبر گفت که حداقل ۲۴ کمپانی را شناسایی کرده که نرمافزار بدخواهانه را نصب کردهاند. از جمله این شرکتها میتوان به سیسکو، اینتل، انویدیا، VMWare و بلکین اشاره کرد. هکرها ظاهرا به بیمارستانهای ایالت کالیفرنیا و همینطور دانشگاه کنت استیت هم دسترسی یافتند.
هنوز مشخص نیست دیگر کدام مشتریان خصوصی SolarWinds به بدافزار آلوده شدهاند. اما برای اینکه ذهنیتی روشن از ماجرا داشته باشید باید گفت که در لیست مشتریان SolarWinds نامهایی نظیر AT&T ،Procter & Gamble و مکدونالدز هم به چشم میخورد. این کمپانی ضمنا تنها به مشتریان آمریکایی خدمات نمیرساند و مشتریان دولتی و خصوصی در سراسر جهان دارد. FireEye میگوید بسیاری از آن مشتریان هم آلوده شدهاند.