هاك SolarWinds ماذا حدث وكيف تحمي نفسك

 

 

برنامج طروادة

يحمل برنامج حصان طروادة حمولة ضارة مخفية. تعتقد أنك تقوم بتثبيت تطبيق واحد ولكن في الواقع ، هناك متسللون في روتين التثبيت يتم تثبيته في نفس الوقت. أو أن التطبيق الذي تقوم بتثبيته تعرض للخطر وهو الآن يحتوي على تعليمات برمجية ضارة.

ومن الأمثلة الحديثة على ذلك تطبيق ماسح ضوئي للرموز الشريطية تمت إزالته من ملف تطبيقات جوجل متجر التطبيقات. تم نشر ماسح الرمز الشريطي لعدة سنوات ولديه قاعدة صحية مثبتة من 10 ملايين مستخدم. تم بيعها لمالك جديد ، “The Space Team” ومقره أوكرانيا ، في نهاية عام 2020.

بعد تحديث التطبيق ، ابتلي المستخدمون بالإعلانات. سيفتح المتصفح الافتراضي الخاص بهم من تلقاء نفسه. ستظهر الروابط والأزرار لتنزيل المزيد من التطبيقات وتثبيتها على الشاشة. قام المالكون الجدد بتعديل رمز تطبيق الماسح الضوئي ليشمل البرامج الضارة. كان التطبيق موثوقًا به من قبل أولئك الذين قاموا بتثبيته بالفعل ، لذلك لن يثير التحديث أي مخاوف. لكن التحديث الذي توقعوا أن يوفر إصلاحات للأخطاء والميزات الجديدة أدى بالفعل إلى اختراق هواتفهم. ماسح الباركود الأبرياء حتى الآن كان الآن حصان طروادة.

تم تمييز تطبيق ماسح الرمز الشريطي على أنه عملية شراء جيدة من قبل الجهات المهددة. جعلت قاعدة المستخدمين القوية منه آلية نقل ملائمة لإسقاط البرامج الضارة الخاصة بهم على ما يصل إلى 10 ملايين هاتف ذكي. قاموا بشراء التطبيق ، وقاموا بتعديل رمزه ، وإرساله كتحديث. من المفترض أن تكلفة شراء التطبيق قد تم اعتبارها تكلفة جارية لعملية الاحتيال ، ليتم تعويضها من أرباحها الجنائية. بالنسبة لممثلي التهديد ، ربما كانت طريقة رخيصة وسهلة للوصول إلى 10 ملايين هاتف ذكي.

خرق SolarWinds

ال سولارويندز الاختراق مشابه ولكن في رابطة مختلفة تمامًا. تقوم شركة SolarWinds بإنشاء وبيع برامج المراقبة والإدارة لشبكات الشركات. لتوفير المعلومات التفصيلية الدقيقة التي يحتاجها مسؤولو النظام للحفاظ على فعالية موارد تكنولوجيا المعلومات التي يتحملون مسؤوليتها ، يتطلب برنامج SolarWinds حقوق وصول مميزة للغاية إلى الشبكة.

كما هو الحال مع الماسح الضوئي للرموز الشريطية ، لم يكن برنامج SolarWinds هو الهدف – لقد كان مجرد آلية التسليم. SolarWinds Orion هي أداة كاملة لرصد مكدس تكنولوجيا المعلومات وإعداد التقارير. تم اختراقها من قبل جهات التهديد. قاموا سرا بتعديل ملف مكتبة الارتباط الحيوي (DLL) يسمى SolarWinds.Orion.Core.BusinessLayer.dll. تم تضمين DLL الملوث في إصدارات SolarWinds Orion 2019.4 إلى 2020.2.1 HF1. تم إصدار هذه التحديثات بين مارس ويونيو 2020. تمامًا مثل تطبيق ماسح الرمز الشريطي ، تم استخدام التحديثات لتوزيع البرامج الضارة على العملاء الحاليين. تمت تسمية البرنامج الضار باسم SUNBURST بواسطة باحثي الأمن السيبراني في FireEye.

تعقيد الخرق الأولي لأنظمة SolarWinds ، وتعقيد كود طروادة ، واستغلال ضعف يوم الصفر، والأساليب المتطلبة تقنيًا لتجنب اكتشاف ما بعد الاختراق ، تشير جميعها إلى أن مرتكبي الجرائم هم تحت رعاية الدولة التهديد المستمر المتقدم مجموعة.

يتضح هذا أكثر عندما تنظر إلى قائمة الضحايا. من بينهم وكالات أمريكية وإدارات فيدرالية ، ومشغلين داخل البنية التحتية الحيوية للولايات المتحدة ، ومنظمات عالمية ، وشركات خاصة. وزارة الخزانة الأمريكية ووزارة الأمن الداخلي ووزارة الخارجية ووزارة الدفاع ووزارة التجارة كانوا جميعًا ضحايا. إجمالاً ، تعطلت حوالي 18000 منشأة من التحديثات الملوثة.

بمجرد تطبيق التحديثات المصابة على شبكات العملاء ، تثبت البرامج الضارة نفسها وتظل في وضع الخمول لمدة أسبوعين تقريبًا. ثم يصنع HHTP يطلب من خوادم الجهات الفاعلة في التهديد استرداد الأوامر ، والتي تعمل على أساسها. إنه يوفر مدخلًا خلفيًا للجهات الفاعلة في التهديد إلى الشبكات المصابة.

يتم إخفاء حركة مرور الشبكة الناتجة عن البرامج الضارة كحركة مرور بروتوكول Orion Improvement Program (OIP). يساعد هذا على بقاء البرامج الضارة غير مكتشفة. كما أنه على دراية بالعديد من أنواع برامج مكافحة الفيروسات والبرامج الضارة وبرامج حماية نقاط النهاية الأخرى ويمكنه تفاديها والتهرب منها.

ومع ذلك ، كان أحد عملاء SolarWinds هو FireEye ، وهي شركة معروفة في مجال الأمن السيبراني. عندما سُرقت أصول البرامج الاحتكارية من FireEye ، بدأوا تحقيقًا اكتشف البرامج الضارة والارتباط بـ SolarWinds.

هذا هو هجوم سلسلة التوريد الكلاسيكي. بدلاً من التساؤل عن كيفية إصابة جميع المنظمات المستهدفة ، هاجم ممثلو التهديد أحد مورديهم المشتركين ، وجلسوا ، وانتظروا حدوث عملية التحديث العادية.

تقييم سلسلة التوريد الخاصة بك

لتقييم مخاطر هجوم سلسلة التوريد بشكل صحيح ، تحتاج إلى فهم سلسلة التوريد الخاصة بك بدقة. هذا يعني تخطيطها. إيلاء اهتمام خاص لموردي أجهزة وبرامج الشبكة. إذا كنت تستخدم مصدر خارجي مزود الخدمات المدارة (MSP) عليك أن تدرك أنها أهداف عالية القيمة لمجرمي الإنترنت. إذا تمكنوا من اختراق MSP ، فلديهم مفاتيح المملكة لجميع عملاء MSP.

ضع في اعتبارك أي مورد يرسل بشكل روتيني موظفي الخدمة أو الصيانة إلى المباني الخاصة بك. إذا كانوا يحتفظون بأي نوع من المعدات التي تتصل بشبكتك ، فمن المحتمل أن مهندس الخدمة سيتصل بشبكتك عندما يكونون في الموقع. إذا تم اختراق جهاز كمبيوتر محمول لأن شبكة صاحب العمل قد تم استهدافها ، فستكون مصابًا. وقد لا تكون هدف مجرمي الإنترنت. ربما يكون أحد العملاء الآخرين لهذا المزود. ولكن مع هجوم سلسلة التوريد ، فإن العديد من الشركات الأخرى عالقة في مرمى النيران وتتعرض لأضرار جانبية. سواء كنت الهدف أم لا ، فهذا لا يخفف من الضربة إذا تم اختراقك.

بمجرد تحديد هؤلاء الموردين الذين يلامسون شبكتك بشكل مباشر أو غير مباشر ، يمكنك إجراء تقييم للمخاطر. أخذ كل مورد بدوره ، ما مدى احتمالية أن يكون مفيدًا في هجوم سلسلة التوريد. ماذا سيكسب مجرمو الإنترنت؟ من هم عملاء المزود الآخرون؟ هل أي منها أهداف جذابة لمجموعة APT التي ترعاها الدولة؟ وكالات الاستخبارات ، أي شيء له علاقة بالجيش أو البنية التحتية الحيوية أو الإدارات الحكومية ، هي أهداف عالية الخطورة قد تحاول APT شرك هجوم على سلسلة التوريد.

الجانب الآخر هو أن عقود التوريد من وكالات الاستخبارات والجيش والحكومة تُمنح فقط للموردين الذين يمكنهم إثبات أنهم يعملون بأمان ولديهم أمن إلكتروني فعال. في ظروف استثنائية – وخاصة عند وجود ثغرات يوم الصفر – يمكن اختراق أي منظمة. هذا ما حدث لـ SolarWinds.

ناقش أهدافك واهتماماتك مع مورديك. هل يمكنهم إثبات أي شهادة أو امتثال للمعايير فيما يتعلق بالأمن السيبراني؟ هل سيكشفون عن سجلهم في حوادث الأمن السيبراني والتعامل مع الحوادث؟ كيف يمكنك التعاون لضمان التشغيل الآمن في علاقاتك التجارية المستمرة؟

يجب أن يصبح تدقيق الموردين الجدد إجراءً معياريًا ، ومراجعة سنوية على الأقل للموردين الحاليين. إذا كانوا بعيدين جدًا عن السفر ، فأرسل لهم على الأقل مجموعة من الأسئلة واطلب منهم إكمالها وتقديم شهادة بأن ما يقولونه صحيح.

بالإضافة إلى حماية نفسك من هجوم سلسلة التوريد ، تحتاج إلى التفكير في مخاطر انهيار سلسلة التوريد الخاصة بك بسبب الهجوم الإلكتروني – سواء كنت متورطًا بشكل مباشر في الهجوم أم لا. إذا انهار قسم هام من سلسلة التوريد الخاصة بك ، فإنك تواجه حالة طوارئ من نوع مختلف. هل يمكنك الحصول على جميع الإمدادات الحيوية من مقدمي الخدمات الآخرين؟ ما الذي يمكنك فعله بشأن المنتجات أو الخدمات المتخصصة التي لا يمكنك الحصول عليها بسهولة أو بسرعة من مكان آخر؟

بدلاً من سلسلة توريد خطية واحدة للإمدادات الهامة أو الإستراتيجية ، قد يكون من الممكن إنشاء عدة خطوط إمداد متوازية. إذا تعطل أحدهما ، يمكن للآخرين الاستمرار. هذا لا يزيد من الأمان ولكنه يزيد من متانة ومتانة سلسلة التوريد الخاصة بك.

خطوات أخرى يجب اتخاذها

إذا كنت أحد عملاء SolarWinds ، فيجب عليك مراجعة SolarWinds استشارات أمنية واتخاذ أي إجراء ضروري. راجع أيضًا وزارة الأمن الداخلي توجيه الطوارئ واتبع أي إرشادات معمول بها.

استخدمت البرمجيات الخبيثة SUNBURST تقنية تسمح لها بالوصول إلى شهادات المصادقة أو إنشائها حتى تتمكن من الوصول إلى الخدمات المحمية. أمان Trimarc شارك أ نص Powershell سيقوم بمسح غابة Active Directory ذات مجال واحد والإبلاغ عن أي نقاط ضعف يعثر عليها.

المصدر

أضف تعليق