اختراقات SolarWinds الأخطر منذ عقود

اختراق شركة SolarWinds وحملة UNC2452:  

يشكل اختراق الشركات تهديدًا كبيرًا للشركات عن طريق سرقة بيانات الشركة أو تعطيل خدماتها وإتلاف معلوماتها، وبالإضافة إلى أنه يشكل خطرًا على العملاء الذين يستعملون منتجات هذه الشركة. في شهر مارس من العام 2020م تم اختراق شركة SolarWinds وهي شركة أمريكية تطور برامج للشركات لمساعدتها في إدارة الشبكات والأنظمة والبنية التحتية لأنظمة تكنولوجيا المعلومات، وتمت زراعة برمجية خبيثة في تحديثاتها لبرنامج Orion المستعمل من قبل 33 ألف شركة، ثم قام المخترقون باستعمال هذه البرمجية الخبيثة لاختراق شركات كبرى وجهات حكومية أمريكية.

شركة FireEye المتخصصة في الأمن السيبراني شاركت في الكشف عن الهجمات الإلكترونية الكبرى ومنعها، و هي بالمناسبة توفر الأجهزة والبرامج والخدمات للتحقيق في هجمات الأمن السيبراني والمساعدة في الحماية من البرامج الضارة وتحليل مخاطر أمن المعلومات، وقد تمكنت FireEye من اكتشاف حملة اختراق واسعة النطاق، يتم تتبع هذه الحملة باسم UNC2452.

لقد تمكن القائمون على هذه الحملة من اختراق شركة FireEye نفسها، ووزارة الخزانة الأمريكية والبنية التحتية الرقمية للحكومة الأمريكية، ولا زال التحقيق فيها جاريًا، وقد تمكن المخترقون من الوصول إلى المتضررون عبر تحديثات ملغمة لبرنامج Orion الذي يستخدم لرصد وإدارة تقنية المعلومات، وهو منتج من الشركة الشهيرة SolarWinds.

شمل نشاط ما بعد الاختراق (Post Exploitation) التحركات في الشبكة الداخلية لشركة SolarWinds وسرقة البيانات. ويعتقد أن الحملة هي فعل جهة ذات مهارات عالية جدًا ولديها قدرة خارقة على التخفي.


البرمجية الخبيثة (SUNBURST):

يوجد لدى برامج شركة SolarWinds ملف من صيغة (DLL) المسمى بـ (SolarWinds.Orion.Core.BusinessLayer.dll) والذي تم زراعة البرمجية الخبيثة داخله، البرمجية الخبيثة تتخاطب مع خادم المخترقين عن طريق بروتوكول HTTP. وتمت تسمية هذه البرمجية الخبيثة باسم SUNBURST.

البرمجية الخبيثة SUNBURST تمكن المخترقين من تطبيق أوامر على الأجهزة المصابة وبذلك يمكنهم التحرك في الشبكة أو سرقة البيانات، وهذه الطريقة هي التي استخدمها المخترقون في حادثة شركة FireEye ووزارة الخزانة الأمريكية وكذلك أنظمة البنية التحتية الرقمية للحكومة الأمريكية بعد أن ثبتوا التحديث الملغم بالبرمجية الخبيثة، وقدمت شركة SolarWinds إحصائية بأن 18 ألف مستخدم قاموا بتحميل التحديث الذي يوجد بداخله البرمجية الخبيثة SUNBURST.


توصيات لتخفيف الضرر:

إذا كنت تستخدم Orion المقدم من SolarWinds اتبع التالي كي تحمي شركتك:
- تأكد من عزل/احتواء خوادم SolarWinds حتى يتم إجراء المزيد من المراجعة والتحقيق. يشمل ذلك حظر جميع عمليات الخروج عبر الإنترنت من خوادم SolarWinds. وإذا لم تكن البنية التحتية لـ SolarWinds معزولة، فكر في اتخاذ الخطوات التالية:
o قم بحد النقاط التي يمكن الوصول اليها من خوادم SolarWinds خصوصًا النقاط التي تعتبر الأهم في الشركة.
o قم بحد صلاحيات المستخدمين الذين لديهم صلاحيات Local Administrator على خوادم SolarWinds.
o قم بحظر الوصول للإنترنت من جميع الخوادم التي تستعمل برامج SolarWinds.
- ضع في اعتبارك - على الأقل – تغيير كلمات المرور للحسابات التي يمكنها الوصول الى خوادم/بنية SolarWinds.
- إذا استُخدمَ SolarWinds لإدارة البنية التحتية للشبكات المُدارة، فكر في إجراء مراجعة لخصائص وتكوينات الأجهزة المستعملة للتأكد من خلوها من أي تعديلات غير مصرحة، مع ملاحظة أن هذا الإجراء احتياطي.

المراجع:

Highly Evasive Attacker Leverages SolarWinds Supply Chain to CompromiseMultiple Global Victims With SUNBURST Backdoor

Dark Halo Leverages SolarWinds Compromise to Breach Organizations

SunBurst: the next level of stealth