تعدادی از هکرها که ظاهراً برای دولت روسیه کار میکنند، سیستمهای وزارت خزانه داری آمریکا، اداره اطلاعات و ارتباطات ملی وزارت تجارت (NTIA) و سایر نهادهای دولتی آمریکا را مورد هدف قرار داده اند تا بتوانند بر ایمیل های داخلی این سازمانها نظارت کنند. پس از بررسیها و مطالعات انجام شده مشخص گردیده که این حملات توسط گروهی به نام “APT29” یا “Cozy Bear” که مدتی پیش به شرکت امنیت سایبری FireEye نیز نفوذ کرده و توانسته بودند ابزارهای آزمون نفوذپذیری تیم قرمز این شرکت را سرقت کنند، انجام شده است.
با وجود آنکه هنوز انگیزه این گروه هکری از انجام این حملات مشخص نشده اما شواهد بیانگر آن است این گروه از یک بهروزرسانی امنیتی که به تازگی توسط شرکت SolarWinds که ارایه دهنده خدمات زیرساخت فناوری اطلاعات است، منتشر شده برای نفوذ به سیستمهای نهادهای دولتی آمریکا و همچنین شرکت امنیتی FireEye استفاده کرده و یک زنجیره حمله بسیار پیچیده را بر ضد نهادهای دولتی آمریکا اجرا نموده است.
مدیر آژانس امنیت سایبری و زیرساخت آمریکا (CISA[۱]) در این خصوص گفته: «در حال حاضر CISA یک بخشنامه اضطراری منتشر و از نهادهای فدرال درخواست کرده شبکههای خودشان را بررسی کنند تا هر گونه فعالیت مشکوک احتمالی را در اسرع وقت شناسایی نموده یا محصولات شرکت SolarWinds را غیرفعال کنند».
لازم به ذکر است امروزه محصولات امنیتی و شبکه شرکت SolarWinds بیش از ۳۰۰ هزار مشتری در سطح جهان از جمله شرکتهای عضو فورچون ۵۰۰، نهادهای دولتی و خصوصی و نیز مراکز آموزشی دارد. این شرکت همچنین به چندین شرکت مخابراتی بزرگ، ارتش آمریکا و سایر سازمانهای دولتی مهم همچون پنتاگون، وزارتخانهها، ناسا، آژانس امنیت ملی، اداره پست، NOAA، وزارت دادگستری و دفتر ریاست جمهوری آمریکا هم خدماتی را ارایه میدهد.
FireEye که این حمله را با نام UNC2452 رهگیری میکند، اعلام کرده مهاجمان از بهروزرسانیهای نرمافزار SolarWinds Orion آلوده به تروجان برای توزیع یک درب پشتی به نام “SUNBURST” استفاده کرده اند. این شرکت امنیت سایبری در تحلیلی که منتشر کرده، گفته است: «این حمله که ممکن است از اوایل بهار ۲۰۲۰ شروع شده باشد، همچنان ادامه دارد. فعالیتهای پس از این نفوذ نیز شامل حرکات جانبی در شبکه و سرقت دادهها بوده اند. این حمله توسط یک هکر ماهر و در سطح بسیار بالایی از امنیت عملیاتی اجرا شده است».
این نسخه از برنامه SolarWinds Orion به جز این که ترافیک خودش را به عنوان ترافیک پروتکل Orion Improvement Program (OIP) جلوه میدهد، از طریق پروتکل HTTP نیز با سرورهای راه دور در ارتباط است تا بتواند فرمانهای مخرب از جمله انتقال و اجرای فایلها، مشخص کردن اطلاعات سیستم هدف، راه اندازی مجدد آن و غیرفعال کردن سرویسهای سیستمی را دریافت و اجرا کند.
معمولاً از پروتکل OIP برای جمع آوری اطلاعات درباره عملکرد سیستم و دادههای آماری مربوط به استفاده از سیستم توسط کاربران SolarWinds و با هدف ارتقای قابلیتهای این محصول استفاده میشود. نکته مهم این است که آیپیهای مورد استفاده برای این حمله با کمک سرورهای ویپیان مستقر در کشور قربانی مبهم سازی شده بودند تا امکان شناسایی آنها وجود نداشته باشد.
شرکت مایکروسافت نیز در یک تحلیل مجزا این یافته را تأیید و اعلام کرده که در این حمله (که به آن Solorigate میگوید) از نرمافزار SolarWinds برای تزریق کدهای مخرب سوءاستفاده شده است. به گفته شرکت مایکروسافت، «یک کلاس از نرمافزارهای مخرب که مجهز به یک درب پشتی بوده بین سایر کلاسهای معمولی قرار گرفته و سپس با دقت در سازمانهای مورد نظر توزیع شده است».
شرکت SolarWinds در راهنمای امنیتی خود که منتشر کرده، اعلام نموده در این حمله نسخههای ۲۰۱۹.۴ تا ۲۰۲۰.۲.۱ از نرمافزار پلتفرم Orion شرکت SolarWinds مورد هدف قرار گرفته که در سال ۲۰۲۰ منتشر شدهاند. این شرکت به کاربران توصیه کرده در اسرع وقت پلتفرم Orion را به نسخه ۲۰۲۰.۲.۱ HF 1 ارتقا دهند.
این شرکت که هم اکنون با همراهی FireEye و اداره تحقیقات فدرال آمریکا در حال تحقیق و بررسی درباره جزییات این حمله است، اخیراً یک اصلاحیه دیگر به شماره ۲۰۲۰.۲.۱ HF 2 منتشر کرده که بخشهای آسیبپذیر از آن حذف شده و امنیت آن ارتقا یافته است.
چندی پیش نیز FireEye اعلام کرد قربانی یک حمله دولتی بسیار پیچیده شده است. این حمله، ابزارهای نرمافزاری این شرکت شامل ابزارهای عمومی و نسخ اصلاح یافته آنها و نیز ابزارهای طراحی شده که برای آزمون نفوذپذیری سیستمهای مشتریان خود از آن استفاده میشوند را هدف گرفته است. این سرقت همچنین شامل اکسپلویتهای خاصی بوده که از آسیبپذیریهای مهم موجود در Pulse Secure SSL VPN (CVE-2019-11510)، Microsoft Active Directory (CVE-2020-1472)، Zoho ManageEngine Desktop Central (CVE-2020-10189) و Windows Remote Desktop Services (CVE-2019-0708) استفاده میکنند.
به نظر میرسد این کمپین، یک حمله بسیار گسترده و در سطح جهانی بوده است. شرکت FireEye اعلام کرده فعالیتهای مختلفی از آن در سطح جهان مشاهده شده که دولتها، شرکتهای مشاوره حوزه فناوری، مخابرات و غیره را در آمریکای شمالی، اروپا، آسیا و خاورمیانه مورد هدف قرار داده است. نشانه های نفوذ و سایر علایمی که برای شناسایی SUNBURST طراحی شدهاند، از طریق این لینک در دسترس عموم قرار دارند.