کمیته رکن چهارم – شرکت امنیتی CrowdStrike اعلام کرد که Sunspot سومین بدافزار بهکار رفته توسط گردانندگان هک SolarWinds است.
شرکت CrowdStrike یکی از شرکتهایی است که مستقیماً در بررسی و تحلیل حمله به SolarWinds که موجب هک تعداد بیشماری از سازمانها و شرکتها در کشورهای مختلف شده نقش دارد.
نام بدافزار Sunspot اکنون در کنار دو بدافزار شناسایی شده قبلی، یعنی، Sunburst یا Solorigate و Teardrop قرار میگیرد.
در حالی که Sunspot آخرین یافته در کالبدشکافی یکی از کمنظیرترین حملات سایبری تاریخ است اما به گفته Crowdstrike، این اولین بدافزاری است که در جریان این حمله زنجیره تأمین (Supply Chain Attack) مورد استفاده مهاجمان قرار میگرفته است.
بر طبق گزارشی که CrowdStrike آن را در ۲۲ دی ماه منتشر کرد Sunspot در سپتامبر ۲۰۱۹ به فرایند ساخت نرمافزارهای SolarWinds و به اصطلاح سرورهای Software Build آن راه یافته بوده است.
به گفته CrowdStrike بدافزار Sunburst تنها یک هدف داشته و آن چیزی نبوده جز رصد Software Build برای ایجاد فرامینی که نرمافزار Orion را اسمبل میکردهاند. Orion از اصلیترین محصولات SolarWinds و یکی از پرطرفدارترین بسترهای رصد منابع فناوری اطلاعات است که توسط ۳۳ هزار مشتری این شرکت در کشورهای مختلف استفاده میشود.
بهمحض ایجاد فرمان، بدافزار، بیسروصدا فایلهای کد منبع در Orion را با کدهای مخربی که Sunburst آنها را فراخوانی میکرده جایگزین نموده و عملاً نسخ نهایی و پایدار Orion را آلوده میکرده است.
نسخ آلوده Orion نیز درنهایت به سرورهای رسمی بهروزرسانی SolarWinds راه پیدا میکردند و به دنبال آن از طریق راهبران Orion یا از طریق به روزرسانی خودکار این نرمافزار بر روی شبکه بسیاری از مشتریان این شرکت نصب میشده است.
Sunburst پس از ورود به شبکه قربانی اطلاعاتی را در خصوص آن شبکه در قالب درخواستهای DNS به هکرها ارسال میکرده است.
مهاجمان در صورتی که قربانی را به اندازه کافی مهم میدانستند بدافزار قدرتمندتر خود را یعنی درِ پشتی Teardrop را بر روی سیستمها توزیع میکردند. در مواقعی نیز به دلیل بیاهمیت پنداشتن قربانی یا ریسکها و تبعات بالای ادامه حمله، به Sunburst دستور میدادند که خود را از روی شبکه حذف کند.
علاوه بر خبر شناسایی بدافزار سوم این حملات در ۲۲ دی ماه، در همین تاریخ SolarWinds نیز اقدام به انتشار یک جدول زمانی از هک شرکتش کرد. به گفته این شرکت آمریکایی قبل از راهیابی Sunburst به شبکه مشتریان SolarWinds در فاصله مارس تا ژوئن ۲۰۲۰ هکرها بین سپتامبر تا نوامبر ۲۰۱۹ حمله را پایلوت کرده بودند.
دیگر رخداد مهم جدید در مورد هک SolarWinds، اعلام تطابق بخشهایی از کد Sunburst با کد Kazuar است. برخی محققان، Kazuar را محصول Turla که گروهی حرفهای، منتسب به مهاجمان روسی است میدانند.
در عین حال Kaspersky در توصیف همپوشانی کد بسیار محتاط عمل کرده و لزوما Turla را گرداننده این حمله SolarWinds ندانسته است. این شرکت معتقد است که همپوشانی کد میتواند نتیجه استفاده از ایدههای یکسان در کدنویسی، خرید بدافزار از یک کدنویس مشترک، جابجایی کدنویسان در گروههای مختلف یا حتی تشابهی عمدی برای دور کردن شرکتهای امنیتی از تشخیص مهاجمان واقعی حمله بوده باشد.
در حال حاضر از هکرهای SolarWinds با عناوین مختلفی همچون UNC۲۴۵۲ (شرکتهای FireEye و Microsoft)، DarkHalo (شرکت Volexity) و StellarParticle (شرکت CrowdStrike) یاد میشود. اما انتظار میرود که با کشف یافتههای جدید شرکتهای امنیتی در نهایت به یک اجماع برسند.
اما آنچه تا کنون نامشخص مانده، نحوه رخنه مهاجمان به شبکه SolarWinds است . این که آیا هک از طریق یک VPN آسیبپذیر صورت گرفته؟ نفوذ در نتیجه اجرای یک حمله فیشینگ هدفمند بوده؟ و یا سروری با رمز عبور قابل حدس بر روی اینترنت در دسترس قرار داشته؟!
همچنان باید انتظار داشت که در روزها، هفتهها و حتی شاید ماههای آتی ابعادی دیگر از یکی از کمنظیرترین حملات سایبری تاریخ روشن شود.
منبع : مرکز مدیریت راهبردی افتا
