احمد باطبی
روز یکشنبه، ۲۳ آذر ماه، خبرگزاری «رویترز» در گزارشی اختصاصی فاش کرد که دستکم وزارت خزانهداری آمریکا و اداره اطلاعات و ارتباطات ملی وزارت بازرگانی، دو نهاد دولتی هستند که هکرهای وابسته به یک دولت خارجی به شبکه داخلی آنها نفوذ کرده و ایمیل کارکنان آنها را زیر نظر گرفتهاند.
بنا بر این گزارش، مهاجمان با نفوذ به دفتر نرمافزاری اداره اطلاعات و ارتباطات ملی آمریکا، ایمیلهایی را که با نرمافزار «آفیس ۳۶۵» فعال بودهاند، هک کردهاند و گویا ضمن عبور از بخش پیچیده احراز هویت شرکت «مایکروسافت»، دستکم از تابستان امسال به اکثر ایمیلهای کارکنان دولت ایالات متحده دسترسی داشتند.
این نفوذ سایبری به حدی جدی بود که شورای امنیت «کاخ سفید»، روز شنبه سیزدهم دسامبر تشکیل جلسه داده است و به بخشهای مختلف دولت ایالات متحده اعلام آمادهباش داده است.
رویترز به نقل از منابع آگاه در این مورد نوشته است، بعید نیست که هکرها با استفاده از همان ابزار و سازوکاری که به وزارتخانههای خزانهداری و بازرگانی نفوذ کردهاند، بخشهای دیگری از دولت ایالات متحده، شرکتهای مطرح اقتصادی و کمپانیهای فعال در حوزه اینترنت نیز نفوذ کرده و در حال جاسوسی از آنها باشند.
هر چند مظنون اول این حمله بیسابقه سایبری، هکرهای تحت حمایت روسیه اعلام شدند، اما سفارت روسیه در واشنگتن اتهام تهاجم سایبری به سیستمهای دولتی آمریکا را رد کرده و انجام آن را در تضاد با منافع ملی و اصول روابط خارجی روسیه دانسته است. با این حال، پلیس فدرال آمریکا «FBI» تحقیقات خود را درباره هکرهای روسی، از جمله گروه «تهدید پیشرفته مستمر۲۹» (APT29) یا (Cozy Bear) آغاز کرده است.
چند روز پیش از این حمله، شرکت امنیتی «فایرآی» (FireEye) اعلام کرده بود که ایالات متحده، بخشهایی از آمریکای شمالی، اروپا، آسیا، خاورمیانه و حتی خود شرکت فایرآی، از سوی یک کشور خارجی در بالاترین سطح مورد تهاجم سایبری قرار گرفتهاند.
این شرکت همزمان با انتشار خبر رویترز، گزارشی را در وبسایت خود منتشر کرد و از کشف یک کمپین نفوذ بینالمللی با عنوان «UNC2452» خبر داد. فایرآی فاش کرد که حملات گسترده صورتگرفته، از طریق نسخه بهروزرسانیشده بدافزار موسوم به «SUNBURST» انجام شده و احتمالا از اوایل بهار سال جاری میلادی، امکان یک زنجیره از حملات وسیع به محصول تجاری «SolarWinds Orion» را فراهم کرده است.
«سولار ویندز» یک بستر نرمافزاری محصول شرکت «SolarWinds Inc» مستقر در ایالت تگزاس آمریکا است که از طریق آن میتوان شبکههای بزرگ، حاوی سرورها، ایستگاههای کاری، تلفنهای همراه و اینترنت اشیا را مدیریت کرد و بر آن کنترل داشت. حالا نسخههای بهروزرسانی Orion 2019.4 تا 2020.2.1 که بین ماه مارس تا ژوئن امسال منتشر شدهاند، همه آلوده به بدافزار هستند.
بخشی از سولار ویندز به نام «SolarWinds.Orion.Core.BusinessLayer.dll» که با افزونههایی از نرمافزار «Orion» امضاشده، دارای یک در پشتی است که قادر است از طریق پروتکل HTTP با شخص ثالث ارتباط برقرار کند. بدافزار «SUNBURST» در حقیقت نسخه تروجانشده این پلاگین است که امکان ایجاد یک مسیر نفوذ یا «Backdoor» را فراهم میکند. این تروجان بعد از یک دوره سکوت دو هفتهای در سیستم قربانی، اقدام به اجرای دستورهایی موسوم به «Jobs» میکند که شامل انتقال پروندهها، اجرای فایلها، پروفایل کردن سیستم، ریبوت کردن سیستم و غیرفعال کردن خدمات سیستم است. این بدافزار بار ترافیک خود را با استفاده از پروتکل Orion Improvement Program»» یا OIP مخفی و ضمن ذخیره فایلهای مربوط به فعالیتهای خود به شکل قانونی، اجازه میدهد که این فایلها با فایلهای خود سولار ویندز نیز ترکیب شوند. این بدافزار همچنین، با استفاده از ابزارها و فرایندهای قانونی سیستم، خود را از دید آنتیویروسها پنهان میکند.
از جمله قابلیتهای منحصر به فرد این بدافزار توسعهیافته، استفاده از الگوریتم تولید دامنه (DomainName یا DGA) برای درخواستهای DNS، پاسخهای CNAME برای اتصال بدافزار به دامنه C2، استفاده از ماسک کنترل و فرمان، برای مشروع جلوه دادن رفتار تروجان و استفاده از مولفه و متغیرهای جعلی برای پیوند با افزونههای قانونی سیستم است، که در نوع خود کمنظیر است.
اگر چه شرکت فایرآی راهکاری را برای ترمیم این نقطهضعفها ارائه کرده است و شرکتهای ارائهدهنده آنتیویروس و همچنین آنتیویروس پیشفرض ویندوز این بسته ترمیمی را به محصولات خود افزودهاند، اما نکته فاجعهبار اینجاست که به احتمال فراوان، آغاز این بحران به دلیل بیاحتیاطی سولار ویندز و بارگزاری گواهیهای اعتبار سرورهایش در مخزن گیتهاب در سال ۲۰۱۹ است.
«کلی هانسلوان»، متخصص بدافزار و مدیر آزمایشگاه هک اخلاقی «هانترزلب»، در یک رشته توییت به شکل کامل نشان داده است که چهطور هکرها با استفاده از بدافزار «SUNBURST backdoor» از محصول سولار ویندز دسترسی گرفتهاند.
«وینوت کومار»، یکی از کارشناسان امنیت سایبری، نیز سندی را از سال ۲۰۱۹ میلادی در صفحه توییتر خود منتشر کرده است که نشان میدهد او یک سال پیش، یک نشت اطلاعات را در پروتکل FTP سولار ویندز کشف کرده است که روی وبسایت گیتهاب در دسترس عموم قرار داشت.
تصویری که وینوت کومار در صفحه توییتر خود منتشر کرده، بیانگر این است که او در سال ۲۰۱۹ توانسته است از طریق این ضعف امنیتی به سرور «SolarWinds FTP» دسترسی پیدا کند. این دسترسی به حدی بود که امکان ویرایش و بارگذاری در سرور را نیز فراهم میکرد. کومار برای آزمایش، یک فایل را در سرور حساس و حیاتی « FTP - downloads.solarwinds.com» بارگذاری کرد که میزبان پروندههای مهمی در مجموعه سرور است. به نظر میرسد، شرکت فایرآی نیز دقیقا از همین نقطه ضعف هک شده باشد.
قرار دادن رمز عبور در مخزن گیتهاب یکی از اشتباهات معمول برنامهنویسان و توسعهدهندگان است که هر ساله هزاران بار روی داده است و در بسیاری از موارد نیز با احساس مسئولیت مخاطبان وبسایت گیتهاب، به اطلاع صاحبان آن میرسد و تصحیح میشود. کومار نیز بنا بر حس مسئولیت، این ضعف را به اطلاع تیم «SolarWinds PSIRT» منتقل کرده بود. توییت دیگری از کومار نشان میدهد که تیم امنیتی سولار ویندز، سه روز بعد به ایمیل او پاسخ داده و گفتهاند که منبع نشت مورد اشاره او در گیتهاب را تصحیح کردهاند.
علاوه بر این ضعف امنیتی، مورد دیگر نحوه انتخاب رمز عبور در سرور سولار ویندز است. آقای کومار در توییت خود، رمز سرور افتیپی کشفشده را « 123 ******» اعلام کرده است که با توجه به ادبیات بهکاربرده در این توییت، به احتمال زیاد این رمز عبور «FTP Admin123» و یا «Admin123» است که در نوع خود یکی از سادهترین رمزها است و با ابتداییترین نرمافزارهای هک رمز در کمتر از چند ثانیه قابل کشف است. نشت اطلاعات در گیتهاب و عدم رعایت اصول اولیه انتخاب رمز کافی است که حتی هکرهای غیرحرفهای نیز به مهمترین زیرساختهای شرکتها دسترسی پیدا کنند و کل مجموعه را به خطر بیاندازند.
اگرچه موضوع نشت اطلاعات در گیتهاب و عدم رعایت سیاستهای امنیتی هنوز به شکل رسمی به عنوان عامل این هک گسترده اعلام نشده است، اما تایید آن بیانگر این حقیقت است که حمله وسیع سایبری به زیرساختهای دولت ایالات متحده، و بسیاری دیگر از مصرفکنندگان محصول سولار ویندز در سراسر جهان، حملهای چندان پیچیده نبوده و تمام دسترسیها به احتمال فراوان از همین ضعف امنیتی حاصل شدهاند.
از بخش پاسخگویی دیدن کنید
در این بخش ایران وایر میتوانید با مسوولان تماس بگیرید و کارزار خود را برای مشکلات مختلف راهاندازی کنید
ثبت نظر