اخبار امنیت

خانه آگاهی‌رسانی امنیتی اخبار امنیت آیا مایکروسافت هم از طریق SolarWinds Orion مورد هدف قرار گرفته است؟!

۱ دی ۱۳۹۹

تعداد بازدید: 266

آیا مایکروسافت هم از طریق SolarWinds Orion مورد هدف قرار گرفته است؟!

هفته گذشته افشای حملات سایبری گسترده‌ای که با استفاده از محصول SolarWinds Orion انجام شده است، سر و صدای زیادی به پا کرد. وزارت خزانه‌داری امریکا، شرکت FireEye و حالا مایکروسافت در لیست قربانیان این حملات قرار گرفته‌اند. به گزارش رویترز مهاجمین از آسیب‌پذیری‌های موجود در محصولات مایکروسافت نیز استفاده کرده و مشتریان این شرکت را مورد هدف قرار داده‌اند. پس از اعلام این خبر، مایکروسافت طی بیانیه‌ای این موضوع را تکذیب کرد. مایکروسافت در این‌باره گفت: طی بررسی‌های گسترده‌ای که در این زمینه انجام داده‌ایم، توانستیم ردپای این حملات را  کشف و پاکسازی کنیم. ما هیچ‌گونه شواهدی مبنی بر نفوذ به محصولات شرکت یا داده‌های مشتریان خود پیدا نکرده‌ایم و به آن‌ها این اطمینان را می‌دهیم که هیچ نشانه‌ای از سوءاستفاده از محصولاتمان برای پیش‌برد این حملات وجود ندارد. اما رئیس مایکروسافت، برد اسمیت درباره این حمله گسترده گفت: بیش از ۴۰ مشتری در کشورهای بلژیک، کانادا، اسرئیل، مکزیک، اسپانیا، امارات متحده عربی، انگلیس و ایالات متحده امریکا اعلام کرده‌اند که توسط مهاجمین از حساب کاربری خود خارج شده‌اند. ۴۴ درصد این قربانیان، در حوزه کامپیوتر و فناوری اطلاعات فعالیت می‌کنند.

بیانیه آژانس امنیت ملی و زیرساخت ایالات متحده امریکا (CISA)

آژانس امنیت ملی و زیرساخت ایالات متحده امریکا (CISA) طی بیانیه‌ای هشدار داد که این حمله، تهدیدی جدی برای تمام دولت‌ها، نهادهای زیرساختی، سازمان‌های دولتی و بخش‌های خصوصی است. این نهاد امنیتی اضافه کرد که علاوه بر نرم‌افزار Orion، عوامل دیگری را نیز شناسایی کرده که در این حملات نقش داشته‌اند و توسط مهاجمین مورد استفاده قرار گرفته‌اند. از جمله یک کلید احراز هویت چندعاملی (MFA) تولید شده توسط نرم‌افزار Dou برای دسترسی به سرویس Outlook Web App که به نظر می‌رسد قبلا توسط مهاجمین سرقت شده است. شرکت Volexity که در زمینه خدمات جرم‌شناسی دیجیتال فعالیت دارد در این‌باره گفت: این کلید MFA متعلق به یکی از اتاق‌های فکر ایالات متحده است که طی یک رخداد امنیتی در بازه زمانی اواخر ۲۰۱۹ تا اوایل ۲۰۲۰ به سرقت رفته است.

پس از آنکه شرکت FireEye، در هفته گذشته از سرقت ابزارهای تست نفوذ Red Team خود در طی یک حمله سایبری خبر داد، تاکنون تعدادی از وزارتخانه ها و ادارات ایالات متحده امریکا از جمله وزارت انرژی و اداره امنیت ملی اتمی (NNSA) یعنی نهاد ناظر بر ذرات خانه‌های این کشور نیز مورد حمله سایبری قرار گرفته‌اند. این سلسله حملات، از بسیاری جهات هنوز ناشناخته مانده‌ و کشف جزئیات بیشتر در مورد آن‌ها نیز، سوالات بیشتری را در مورد سطح دسترسی مهاجمین ایجاد خواهد کرد.

تلاش مایکروسافت، FireEye و GoDaddy برای متوقف سازی حملات

پس از گذشت چند روز از این حملات، حالا شرکت‌های مایکروسافت، FireEye و GoDaddy با همکاری یکدیگر، توانستند یکی از دامنه‌های اصلی مهاجمین (avsvmcloud[.]com) که از آن برای برقراری ارتباط با قربانیان استفاده می‌شد را کشف کنند و با قراردادن یک Kill switch بر روی آن، سعی کردند از انتشار بیشتر بدافزار SUNBURST جلوگیری کنند.

شرکت SolarWinds هنوز اعلام نکرده که مهاجمین چگونه توانسته‌اند به آپدیت‌های محصولات Orion دسترسی پیدا کنند و بدافزار را درون آن‌ها تزریق کنند. با این حال شواهد حاکی از آن است که احتمالا مهاجین توانسته‌اند به سیستم ساخت و انتشار نرم‌افزارهای SolarWinds راه یابند. تخمین زده می‌شود که تاکنون تعداد ۱۸٫۰۰۰ مشتری محصولات Orion، به این بدافزار آلوده شده باشند.

شرکت سیمانتک که پیش‌تر گفته بود بیش از ۲۰۰۰ نفر از مشتریانش آپدیت‌های آلوده نرم‌افزار SolarWinds Orion را دریافت کرده‌اند، اکنون عنوان کرده است که با بررسی این موارد، سربار دیگری به نام Teardrop در سیستم این افراد کشف کرده که منجر به نصب ابزار مخرب Beacon و دسترسی‌های بیشتر خواهد شد.

محققان معتقدند که این حملات توسط گروه هکری روسی منتسب به APT29 یا همان Cozy Bear ، صورت گرفته است. به نظر می‌رسد که این گروه در چندین مورد از حملات سال گذشته علیه زیرساخت‌های ایالات متحده امریکا نیز نقش داشته‌اند. زنجیره تامین روش این هک معرفی شده که تاکتیک مورد استفاده هکرهای روسی است. در پی این حملات، آژانس امنیت ملی و زیرساخت امریکا (CISA)، پلیس فدرال امریکا (FBI) و دفتر مدیر اطلاعات ملی امریکا (ODNI) با صدور بیانیه‌ای مشترک، اعلام کردند که در حال شناسایی و توقف عاملان این رخدادهای سایبری هستند.

نسخه‌های آسیب‌پذیر ۲۰۱۹٫۴ HF 5 تا ۲۰۲۰٫۲ HF 1 نرم افزار Orion محصول شرکت سولارویندز در بسیاری از وزارتخانه‌ها، سازمان‌های دولتی و شرکت‌های ایرانی مورد استفاده قرار گرفته است. از این رو آرمان داده پویان به شما توصیه می‌کند ضمن بررسی امنیت شبکه سازمانتان هر چه سریعتر به‌روزرسانی‌های ارائه شده را نصب کنید و یا سرورهای سولارویندز را از شبکه خارج کنید. همچنین می‌توانید از طیف وسیعی از خدمات ارزیابی امنیتی آرمان داده پویان در جهت تشخیص آسیب‌پذیری‌های سازمانتان بهره ببرید. تیم فنی آرمان داده پویان با ارائه راهکارهای نوین تشخیص حملات پیشرفته در کمترین زمان ممکن و ارائه واکنش مناسب را برایتان فراهم می‌کنند.

آرمان داده پویان ارائه دهنده انواع خدمات تست نفوذ