کمیته رکن چهارم – تکنیک هکرهای SolarWinds برای نفوذ به شبکههای شرکتی، چالشبرانگیز اما بسیار مؤثر بود؛ این موضوع شانس استفاده از آن را توسط هکرهای دیگر بالا میبرد.
حملهی گستردهی اخیر به نرمافزار سازمانی شرکت سولار ویندز (SolarWinds) تعداد بسیار زیادی از شرکتهای فعال در ایالات متحدهی آمریکا را متأثر کرد که در بین آنها آژانسهای دولتی آمریکایی نیز به چشم میخورند. تحلیلگران میگویند منبع اصلی حملات به روسیه برمیگردد.
براساس مقالهی وایرد، یکی از ترسناکترین جنبههای حمله به SolarWinds، استفادهی موفقیتآمیز از تکنیک حملهی زنجیرهی تأمین (Supply Chain Attack) بود که در نتیجهی آن، دهها هزار شرکتی که مشغول استفاده یک نرمافزار سازمانی بودند، تبدیل به هدف بالقوه شدند.
این موضوع تنها ویژگی برجستهی حملهی سایبری به SolarWinds محسوب نمیشود. پس از هدف قرار دادن نرمافزار سازمانی SolarWinds، هکرها با اتکا بر استراتژیهایی ساده و ظریف، عمیقتر وارد شبکههای شرکتی قربانیان شدند. در همین راستا بهتازگی محققان امنیتی نگرانی خود را از افزایش این تکنیک در حملات سایبری ابراز کردهاند.
هکرهای SolarWinds در بسیاری از مواقع از دسترسیشان برای نفوذ به سرویسهای ایمیل مایکروسافت ۳۶۵ (Microsoft 365) و زیرساخت ابری مایکروسافت آژور (Microsoft Azure Cloud) استفاده کردند. مایکروسافت ۳۶۵ و مایکروسافت آژور دو سرویس بسیار بزرگ و محبوب هستند و گنجینهای از دادههای ارزشمند دارند.
چالش جلوگیری از این نوع نفوذ به مایکروسافت ۳۶۵ و آژور این است که وابسته به آسیبپذیری خاصی نیستند که بتوان بهراحتی آن را با ارتقا سیستم، بهبود داد. به جای آن، هکرها با استفاده از حملهای اولیه، در موقعیتی قرار میگیرند که بتوانند سرویسهای مایکروسافت ۳۶۵ و آژور را به گونهای اصلاح کنند که انگار یکی از کارمندان مایکروسافت چنین کاری انجام داده است؛ با این کار عملا همه چیز طبیعی به نظر میرسد. در مورد حملات سایبری SolarWinds، این تکنیک به شکل گسترده اثرگذار بود.
متیو مکویرت، از مدیران Mandiant Fireeye که پیش از بقیه موفق شد در اوایل ماه دسامبر ۲۰۲۰ (اواسط آذر ۱۳۹۹) پویش هک روسیه را برای SolarWinds شناسایی کند، میگوید امروزه هکرهای دیگری وجود دارند که قطعا سراغ استفاده از این نوع تکنیک خواهند رفت؛ زیرا دنبال راهکاری میگردند که حملات سایبری را به نتیجه برساند.
در حملات اخیر هکرها سراغ یکی از نرمافزارهای SolarWinds رفتند که با نام Orion شناخته میشود؛ سپس بهروزرسانی حاوی بدافزار را برای Orion منتشر کردند که باعث شد امکان دسترسی به شبکهی تمامی مشتریان SolarWinds که بهروزرسانی را دانلود کرده بودند فراهم شود.
از این مرحله به بعد، هکرها میتوانستند به لطف بدافزار، به سیستم قربانیان دسترسی پیدا کنند و کنترل گواهیها و کلیدهایی که برای تولید توکن تصدیق هویت سیستم (SAML) در مایکروسافت ۳۶۵ و مایکروسافت آژور استفاده میشود به دست بگیرند. سازمانهای مختلف بهطور محلی از طریق سرویس Active Directory Federation مایکروسافت، زیرساختهای سیستم تصدیق هویت را مدیریت میکنند و به سرورهای ابری متکی نمیشوند.
زمانیکه هکرها به حدی در شبکه دسترسی داشته باشند که بتوانند سیستم تصدیق هویت را دستکاری کنند، میتوانند برای خود توکن اختصاصی معتبر بسازند و به لطف آن به تمامی حسابهای کاربری مایکروسافت ۳۶۵ و آژور در آن سازمان دسترسی پیدا کنند. بهمنظور دسترسی به حسابهای کاربری، هیچ نیازی به وارد کردن رمز عبور یا احراز هویت چند عاملی وجود ندارد.
از اینجا به بعد، هکرها توانایی ایجاد حساب کاربری جدید دارند و میتوانند بالاترین دسترسی ممکن را به حساب کاربری اختصاصی خود بدهند تا بدون روبهرو شدن با محدودیت و بدون اینکه مشکلی پیش بیاید، هر کاری در شبکه انجام بدهند.
در ماه پایانی سال گذشتهی میلادی مایکروسافت اعلام کرد تکنیکهای مورد بحث به حملات SolarWinds ارتباط دارند. ردموندیها اعتقاد دارند دولتها و شرکتهای بخش خصوصی باید به شکل روزافزون در حوزهی فعالیتهای دولت-ملت سیاست شفاف در پیش بگیرند تا همچنان بتوان بهصورت جهانی از اینترنت محافظت کرد. مایکروسافت امیدوار است رسانهای کردن موضوع SolarWinds باعث افزایش آگاهی سازمانها و افراد دربارهی اقداماتی شود که میتوانند برای محافظت از خود انجام دهند.
در همان ماه آژانس امنیت ملی ایالات متحدهی آمریکا (NSA) جزئیات تکنیکهای حملات SolarWinds را در مقالهای منتشر کرد که براساس آن، هنگام استفاده از سرویسهایی که فرایند تصدیق هویت را انجام میدهند، باید حتما مطمئن شوید که شبکه برای هرگونه مشکل امنیتی آماده باشد. در غیر اینصورت امکان ایجاد توکن SAML جعلی توسط هکرها وجود دارد که به کمک آن میتوانند به منابع زیادی دسترسی پیدا کنند.
محققان امنیتی میگویند شرکتها باید از این پس بسیار هشیار باشند
از زمان حملات SolarWinds، مایکروسافت ابزارهای نظارتی Azure Sentinel را افزایش داده است. بهعلاوه شرکت Mandiant ابزاری منتشر کرده است که به سازمانها و افراد امکان میدهد استفاده از توکنهای دسترسی به مایکروسافت ۳۶۵ و آژور را بررسی کنند.
حال که جزئیات تکنیکهای حملات SolarWinds بهصورت کاملا عمومی در دسترس قرار گرفته، ممکن است هکرهای بیشتری مشغول استفاده از آنها شوند و سازمانهای بیشتری در معرض خطر باشند. برخی از محققان امنیتی سالها است هشدار میدهند که دستکاری توکن SAML برای تقریبا تمامی کاربران سرویسهای ابری، پرمخاطره محسوب میشود؛ نه فقط برای کسانی که متکی بر پلتفرم آژور هستند.
در سال ۲۰۱۷ شیکد راینر، محققی در شرکت CyberArk، جزئیات برخی از یافتههای خود دربارهی تکنیک موردبحث (GoldenSAML) را منتشر کرد. راینر میگوید هکرها در چند سال گذشته زیاد از GoldenSAML استفاده نکردهاند؛ زیرا این روش به دسترسی سطح بالا نیاز دارد. بااینحال او همواره شاهد افزایش استفاده از این تکنیک بوده است که با توجه به اثرگذاری آن، اجتنابناپذیر است. این محقق امنیتی وقتی متوجه شده هکرهای SolarWinds از این تکنیک استفاده کردهاند، متعجب نشده است؛ زیرا با تمام چالشهای این تکنیک، استفاده از آن کاملا ارزش دارد و دسترسیهای زیادی در اختیار هکر قرار میدهد.
شیکد راینر میگوید: «از آنجایی که هکرهای SolarWinds به شکل بسیار موفقیتآمیز از آن استفاده کردند، مطمئن هستم که هکرهای دیگر از فرایند این حمله یادداشتبرداری خواهند کرد و از این پس بیشتر و بیشتر سراغ استفاده از آن خواهند رفت.»
Mandiant و CyberArk اکنون در تلاش هستند که به مشتریان خود برای اقدامات امنیتی کمک کنند. با این کمکها، مشتریان دو شرکت یادشده میتوانند جلوی انجام حملات Golden SAML را بگیرند یا اگذ تشخیص بدهند این حملات درحال انجام هستند، بهسرعت به آنها پاسخ بدهند.
Mandiant چند روز پیش مقالهای منتشر کرد تا بگوید سازمانها چگونه میتوانند بررسی کنند که آیا حملات نوع Golden SAML علیه آنها انجام شده است یا خیر. سپس میتوانند سیستمهایی روی کار بیاورند تا کار را برای هکرها سخت کنند. سازمانها باید مطمئن شوند که «سرویسهای ارائهدهندهی هویت» آنها نظیر سرورهایی که حاوی گواهی توکن هستند بهدرستی پیکربندی شده باشند. دسترسی به سیستمهای تصدیق هویت باید بسیار محدود شود تا حسابهای کاربری زیادی اجازهی اصلاح آنها را نداشته باشند. بهعلاوه سازمانها باید حتما روی نحوهی استفاده از توکن نظارت کنند تا هرگونه فعالیت غیر عادی را سریعا تشخیص بدهند.
سیستمهای اینتل، انویدیا و سیسکو در حملات سایبری SolarWinds آلوده شدهاند
به گفتهی محققان امنیتی، برای مثال باید حواستان به توکنهایی باشد که ماهها یا سالها پیش صادر شدهاند؛ اما چند هفتهی پیش برای انجام فرایند تصویق هویت از آنها استفاده شده است. راینر میگوید سازمانهایی که سیستم نظارتی قوی دارند، میتوانند اقدامات هکرها برای از بین بردن سرنخها را تشخیص بدهند. مثلا اگر توکنی میبینید که به شکل گسترده مورد استفاده قرار میگیرد اما نمیتوانید به دادههای مربوط به زمان صدور آن دسترسی پیدا کنید، ممکن است برای انجام فعالیتهای مخرب مورد استفاده قرار گرفته باشد.
راینر میگوید هرچه تعداد سازمانهای متکی بر سرور ابری افزایش مییابد، استفاده از SAML بیشتر میشود. سازمانها باید آماده باشند؛ زیرا این تکنیک را نمیتوانیم آسیبپذیری خطاب کنیم؛ بلکه بخشی از ذات پروتکل است. بههمین دلیل فعلا قرار است با مشکلی که SolarWinds را متأثر کرد روبهرو شویم.
منبع : زومیت