هشدارهای افتایی
شرکت امنیتی CrowdStrike اعلام کرده که سومین بدافزار بکار رفته توسط گردانندگان هک SolarWinds را کشف کرده است.
به گزارش مرکز مدیریت راهبردی افتا، به نقل از سایت zdnet، شرکت CrowdStrike یکی از شرکت‌هایی است که مستقیماً در بررسی و تحلیل حمله به SolarWinds که موجب هک تعداد بی‌شماری از سازمان‌ها و شرکت‌ها در کشورهای مختلف شده نقش دارد.
از این بدافزار جدید با عنوان Sunspot یاد شده و اکنون نام آن در کنار دو بدافزار شناسایی شده قبلی، یعنی، Sunburst – یا Solorigate – و Teardrop قرار می‌گیرد.
در حالی که Sunspot آخرین یافته در کالبدشکافی یکی از کم‌نظیرترین حملات سایبری تاریخ است اما به گفته Crowdstrike، این اولین بدافزاری است که در جریان این حمله زنجیره تأمین (Supply Chain Attack) مورد استفاده مهاجمان قرار می‌گرفته است.
بر طبق گزارشی که CrowdStrike آن را در 22 دی ماه منتشر کرد Sunspot در سپتامبر 2019 به فرایند ساخت نرم‌افزارهای SolarWinds و به اصطلاح سرورهای Software Build آن راه یافته بوده است.
به گفته CrowdStrike بدافزار Sunburst تنها یک هدف داشته و آن چیزی نبوده جز رصد Software Build برای ایجاد فرامینی که نرم‌افزار Orion را اسمبل می‌کرده‌اند. Orion از اصلی‌ترین محصولات SolarWinds و یکی از پرطرفدارترین بسترهای رصد منابع فناوری اطلاعات است که توسط 33 هزار مشتری این شرکت در کشورهای مختلف استفاده می‌شود.
به‌محض ایجاد فرمان، بدافزار، بی‌سروصدا فایل‌های کد منبع در Orion را با کدهای مخربی که Sunburst آنها را فراخوانی می‌کرده جایگزین نموده و عملاً نسخ نهایی و پایدار Orion را آلوده می‌کرده است.
نسخ آلوده Orion نیز در نهایت به سرورهای رسمی به‌روزرسانی SolarWinds راه پیدا می‌کردند و به دنبال آن از طریق راهبران Orion یا از طریق به روزرسانی خودکار این نرم‌افزار بر روی شبکه بسیاری از مشتریان این شرکت نصب می‌شده است.
Sunburst پس از ورود به شبکه قربانی اطلاعاتی را در خصوص آن شبکه در قالب درخواست‌های DNS به هکرها ارسال می‌کرده است.
مهاجمان در صورتی که قربانی را به اندازه کافی مهم می‌دانستند بدافزار قدرتمندتر خود را یعنی درب‌پشتی Teardrop را بر روی سیستم‌ها توزیع می‌کردند. در مواقعی نیز به دلیل بی‌اهمیت پنداشتن قربانی یا ریسک‌ها و تبعات بالای ادامه حمله، به Sunburst دستور می‌دادند که خود را از روی شبکه حذف کند.
علاوه بر خبر شناسایی بدافزار سوم این حملات در 22 دی ماه، در همین تاریخ SolarWinds نیز اقدام به انتشار یک جدول زمانی از هک شرکتش کرد. به گفته این شرکت آمریکایی قبل از راهیابی Sunburst به شبکه مشتریان SolarWinds در فاصله مارس تا ژوئن 2020 هکرها بین سپتامبر تا نوامبر 2019 حمله را پایلوت کرده بودند.
دیگر رخداد مهم جدید در مورد هک SolarWinds، اعلام تطابق بخش‌هایی از کد Sunburst با کد Kazuar است. برخی محققان، Kazuar را محصول Turla که گروهی حرفه‌ای، منتسب به مهاجمان روسی است می‌دانند.
در عین حال Kaspersky در توصیف همپوشانی کد بسیار محتاط عمل کرده و لزوما Turla را گرداننده این حمله SolarWinds ندانسته است. این شرکت معتقد است که همپوشانی کد می‌تواند نتیجه استفاده از ایده‌های یکسان در کدنویسی، خرید بدافزار از یک کدنویس مشترک، جابجایی کدنویسان در گروه‌های مختلف یا حتی تشابهی عمدی برای دور کردن شرکت‌های امنیتی از تشخیص مهاجمان واقعی حمله بوده باشد.
در حال حاضر از هکرهای SolarWinds با عناوین مختلفی همچون UNC2452 (شرکت‌های FireEye و Microsoft)، DarkHalo (شرکت Volexity) و StellarParticle (شرکت CrowdStrike) یاد می‌شود. اما انتظار می‌رود که با کشف یافته‌های جدید شرکت‌های امنیتی در نهایت به یک اجماع برسند.
اما آنچه تا کنون نامشخص مانده، نحوه رخنه مهاجمان به شبکه SolarWinds است . این که آیا هک از طریق یک VPN آسیب‌پذیر صورت گرفته؟ نفوذ در نتیجه اجرای یک حمله فیشینگ هدفمند بوده؟ و یا سروری با رمز عبور قابل حدس بر روی اینترنت در دسترس قرار داشته؟!
همچنان باید انتظار داشت که در روزها، هفته‌ها و حتی شاید ماه‌های آتی ابعادی دیگر از یکی از کم‌نظیرترین حملات سایبری تاریخ روشن شود.
گزارش CrowdStrike، به همراه مجموعه‌ای از قواعد Yara در خصوص بدافزار Sunspot در لینک زیر قابل دریافت و مطالعه است:
نشانه‌های آلودگی

منبع:
(با تشکر از شرکت مهندسی شبکه گستر برای همکاری در تهیه این گزارش)

 

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.