هشدارهای افتایی
همان‌طور که پیش‌تر در اینجا به آن پرداخته شد در اواسط آذر ماه فاش شد که مهاجمان با اجرای یک حمله سایبری موفق بر ضد شرکت سولارویندز، اقدام به تزریق کد آلوده به یکی از فایل‌های نرم‌افزار SolarWinds Orion و تبدیل آن به یک در‌پشتی (Backdoor) با نام SUNBURST شده بودند. فایل مذکور نیز از طریق قابلیت به‌روزرسانی خودکار این نرم‌افزار به شبکه مشتریان سولارویندز راه یافته بود.

یافته‌های این حمله را می‌توان به موارد زیر خلاصه کرد:
  •     مهاجمان در قالب تکنیک "زنجیره تأمین" (Supply Chain) نرم‌افزار SolarWinds Orion را هدف قرار داده بودند.
  •     استراتژی مهاجمان و اقدامات صورت گرفته از سوی آن‌ها از دانش فنی و توان عملیاتی بسیار بالای این افراد حکایت دارد.
  •     از مهاجمان این حمله با عنوان UNC2452 و SolarStorm یاد شده است.
  •     بر طبق اعلام سولارویندز از میان بیش از 300 هزار مشتری این شرکت، کمتر از 18 هزار مشتری آن از نسخه آلوده Orion استفاده کرده‌اند.
  •     مهاجمان با ایجاد یک در‌پشتی امضا شده (Digitally Signed Backdoor) با نام SUNBURST و انتشار آن در قالب یک افزونه SolarWinds Orion به شبکه مشتریان این محصول راه پیدا کردند.
  •     کدهای مخرب منتقل شده از طریق SUNBURST، عمدتاً بدافزارهایی با نقش Dropper بوده‌اند که صرفاً بر روی حافظه اجرا می‌شده‌اند.
  •     ترافیک برقرار شده با سرور فرماندهی (C2)، ترافیک Orion Improvement Program به نظر می آمدند.
  •     بررسی‌های بعدی دو شرکت مایکروسافت و پالوآلتو نت‌ورکز نشان داد که بدافزار دیگری با نام SuperNova نیز با تکنیکی مشابه در کشورهای مختلف منتشر شده است. جزییات بیشتر در لینک‌های زیر:

در این گزارش آخرین نشانه‌های آلودگی(IoC) این بدافزار و راهکارهای ارائه شده از سوی برخی شرکت‌های امنیتی مورد بررسی قرار گرفته است.

فایلی با عملکرد Windows Installer Patch به‌عنوان ناقل نسخه مخرب SolarWinds Orion از طریق لینک زیر در دسترس قرار داشته است:
hxxps://downloads.solarwinds[.]com/solarwinds/CatalogResources/Core/2019.4/2019.4.5220.20574/SolarWinds-Core-v2019.4.5220-Hotfix5.msp

از قواعد Snort زیر می‌توان برای مقابله با این تهدید بهره برد:

شرکت فایرآی نیز مجموعه قواعدی از جمله از نوع Snort و Yara برای شناسایی نشانه‌های آلودگی مرتبط با سولار ویندز در دسترس قرار داده که در لینک زیر قابل دریافت است:
از داده‌های به اشتراک گذاشته شده در مسیر زیر می‌توان به‌منظور شناسایی حمله در بستر Splunk Enterprise Security استفاده کرد:
توصیه‌نامه شرکت مک‌آفی در خصوص در‌پشتی Sunburst و راهکارهای مقابله با آن در لینک زیر قابل مطالعه است:
به تمامی راهبران محصولات SolarWinds Orion توصیه می‌شود تا با مراجعه به لینک زیر از به‌روز بودن این محصول اطمینان حاصل کنند:
مطالعه منابع زیر پیشنهاد می‌شود:


(با سپاس از شرکت مهندسی شبکه گستر برای همکاری در تهیه این گزارش)
 

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.