در حالی که محققان امنیت سایبری به حمله گسترده علیه زنجیره تامین SolarWinds ادامه میدهند، مدیران ارشد شرکت خدمات نرم افزاری مستقر در تگزاس، یک کارآموز را مقصر آسیب رمز عبور مهمی میدانند که برای سال ها مورد توجه قرار نگرفته بود.

در ابتدا اعتقاد بر این بوده است که رمز عبور "SolarWinds123" از 17 ژوئن سال 2018 و قبل از پیکربندی ناصحیح در 22 نوامبر 2019 از طریق داده های Github در دسترس عموم بوده است.

اما در جلسه استماع که در روز جمعه و در برابر کمیته های نظارت، اصلاحات و امنیت داخلی مجلس در SolarWinds برگزار شد، مدیرعامل مجموعه (سوداکار راماکریشنا) شهادت داد که رمز عبور از اوایل سال 2017 مورد استفاده قرار گرفته است.

در حالی که تحقیقات مقدماتی در مورد این حمله نشان داد اپراتورهایی که عامل جاسوسی بوده اند موفق شده اند از اوایل اکتبر 2019 با ایجاد نرم افزار و همچنین ایجاد زیرساخت امضای کد از پلت فرم SolarWinds Orion برای تحویل بسته به Sunburst Backdoor بهره ببرند، حال آنکه تلاش های Crowdstrike برای پاسخگویی با استناد به یک جدول زمان بندی تجدید نظر شده نشان میدهد که اولین نقص شبکه SolarWinds در 4 سپتامبر 2019 ایجاد شده است.

تا به امروز دستکم 9 سازمان دولتی و 100 شرکت خصوصی به عنوان یکی از پیچیده ترین و برنامه ریزی شده ترین عملیات شامل نفوذ و رسوخ عامل مخرب به سیستم عامل نرم افزار Orion با هدف به خطر انداخت مشتریانشان، تخلف کرده و تحت حمله قرار گرفته اند.

اشتباهی که یک کارآموز مرتکب شد

کتی پورتر ، نماینده کالیفرنیا ، گفت: "من رمز عبور قوی تری نسبت به "solarwinds123" دارم تا بچه هایم را از تماشای YouTube بیش از حد در iPad خود بر حذر دارم"؛ "شما و شرکت شما قرار بود مانع خواندن ایمیل های وزارت دفاع توسط روس ها شوید".

راماکریشنا در پاسخ به پورتر گفت: "به زعم بنده، این رمز عبوری بوده است که یک کارآموز در سال 2017 در یکی از سرورهای وی استفاده شده که به تیم امنیتی ما گزارش شد و بلافاصله برداشته و حذف شده است".

مدیر عامل سابق مجموعه، کوین تامپسون اظهارات راماکریشنا را در هنگام شهادت تکرار کرد و گفت: "این مربوط به اشتباهی بود كه یك كارآموز مرتكب شد. آنها خط مشی و اصول رمز عبور ما را نقض كردند و این رمز عبور را در حساب خصوصی GitHub خود قرار دادند". وی افزود: "به محض اینکه شناسایی این مورد شد و به اطلاع تیم امنیتی من رسید، آنها این نقص قانون را حل و فصل کرده و از این آسیب جلوگیری کردند".

محقق امنیتی، وینوت کومار در ماه دسامبر افشا کرد که وی به شرکتی به داده های GitHub دسترسی عمومی دارد، اطلاع داده است به وضوح اعتبارنامه های FTP اطلاعات وب سایت دانلود شرکت نشت پیدا کرده است و افزون بر آن، یک هکر می تواند از اعتبارنامه برای بارگذاری یک دستور و کد اجرایی مخرب استفاده کند و متعاقبا آن را در بروزرسانی های SolarWinds بارگذاری کند.

در هفته های پس از افشای اطلاعات ، SolarWinds در ژانویه 2021 با یک دادخواست طبقاتی روبرو شد که ادعا می کند این شرکت نتوانسته است اعلام کند که "از اواسط سال 2020، محصولات نظارت بر SolarWinds Orion دارای آسیب پذیری ای بوده اند  که به هکرها اجازه داده است تا سرور مورد نظر خود را به خطر بیاندازند و بروزرسانی های سرور SolarWinds دارای پسوردی بسیار ساده بوده اند (solarwinds123) که به متعاقب آن هدف تحت آسیب بسیار جدی قرار گفته است.

ناسا و سازمان هواپیمایی فدرال نیز هدف قرار گرفته اند

اعتقاد بر این است که حداکثر 18000 مشتری از SolarWinds به روزرسانی تروجان Orion را دریافت کرده اند، اگرچه عامل اجرایی و تهدید کننده این عملیات، با دقت اهداف خود را انتخاب کرده و تصمیم گرفته بوده است تنها در موارد با ضریب آسیب پذیری بالا با استفاده از بدافزار Teardrop مبتنی بر اینتل در هنگام شناسایی اولیه ، حملات را فقط در چند مورد در محیط هدف برای حساب های با ارزش بالا اقدام کند.

به گزارش واشنگتن پست، علاوه بر نفوذ به شبکه های مایکروسافت، CrowdStrike، Malwarebytes، FireEye و Mimecast، گفته میشود که مهاجمان از SolarWinds به عنوان سکوی پرشی برای نفوذ به اداره ملی هوا و فضا (NASA) و سازمان هواپیمایی فدرال (FFA) استفاده کرده اند.

هفت سازمان متخلف دیگر نیز شامل وزارت امور خارجه، دادگستری، بازرگانی، امنیت داخلی، انرژی، خزانه داری و موسسات ملی بهداشت هستند.

ریاست مایکروسافت، برد اسمیت در جلسه استماع گفت: "علاوه بر این برآورد، ما قربانیان دیگری در دولت و بخش خصوصی در کشورهای دیگر شناسایی کرده ایم و معتقد هستیم که به احتمال زیاد قربانیان دیگری که هنوز شناسایی نشده اند، از قلم افتاده اند. شاید علی الخصوص در مناطقی که مهاجرت ابری به اندازه کشور آمریکا پیشرفته نیست این موارد بیشتر نیز باشد".

ادعا میشود که گروه مهاجم روس تبار باشند با استفاده از مانیکرهای مختلف شامل UNC2452 (FireEye)، SolarStorm (Palo Alto Unit 42)، StellarParticle (CrowdStrike)، و Dark Halo (Volexity)  تحت تعقیب و ردیابی قرار گرفته اند.

آن نیوبرگر، معاون مشاور امنیت ملی ماه گذشته در جلسه توجیهی کاخ سفید گفت: هکرها این نفوذ هک را از داخل ایالات متحده آغاز کرده اند، که این امر امکان نظارت بر کار آنها را برای دولت آمریکا دشوارتر کرده است". همچنین وی افزود: "این یک عملیات پیچیده است که آنها تمام تلاش خود را برای پنهان کردن مسیرهای اقدامات خود به کار بسته اند. ما معتقدیم که برنامه ریزی و اجرای این عملیات، ماه ها طول کشیده است".

اتخاذ رویکرد "امنیت در طراحی"

اسمیت حمله سایبری SolarWinds را به "یک سری حملات نفوذی خانگی" تشبیه کرده است و خواستار تقویت زنجیره های تامین نرم افزار و سخت افزار بخش فناوری و همچنین ترویج به اشتراک گذاری گسترده تر اطلاعات تهدید و نفوذ برای انجام پاسخ های بی درنگ به هنگام چنین حوادثی، شده است.

بدین منظور، مایکروسافت پرسش های متن باز CodeQL را برای جستجوی فعالیت Solorigate مورد استفاده قرار داده است، که به گفته آن میتواند توسط سازمان های دیگر برای تجزیه و تحلیل کد منابع در مقیاس خود و بررسی شاخص های سازش یا IoCs و الگوهای رمزگذاری مرتبط با جمله مورد استفاده قرار گیرد.

در یک طرح توسعه مرتبط نیز، محققان امنیت با سایبری وال استریت ژورنال صحبت کرده و فاش کردند که هکرهای روسی مظنون، از مراکز داده رایانش ابری آمازون برای ایجاد و اتصال قسمت اصلی این کمپین استفاده کرده اند و بدین ترتیب حملات و تاکتیک هایی که توسط مهاجمین استفاده شده را تا حدودی برملا و مشخص کرده اند. هر چند که این غول تکنولوژی تا کنون اطلاعات بیشتری در مورد فعالیت هکرها علنی نکرده است.

در انتها SolarWinds به نوبه خود گفته است که دانش به دست آمده از این حادثه را برای تبدیل شدن به یک شرکت "Secure by Design" یا امنیت در طراحی به کار گرفته و از این نرم افزار برای حفاظت از دیگر تهدیدات و همچنین شناسایی و حذف تهدیدها در تمام نقاط شبکه خود شامل اقدامات برای حفاظت از محیط توسعه خود، به کار میگیرد.

 

آژانس امنیت سایبری و زیرساخت های امنیتی ایالات متحده (CISA) ، وزارت امنیت داخلی (DHS) و دفتر تحقیقات فدرال (FBI) روز دوشنبه یک گزارش مشترک جدید را به عنوان بخشی از آخرین اقدامات خود برای افشای تاکتیک ها، تکنیک ها و روش هایی (TTP) که توسط سرویس اطلاعات برون مرزی روسیه (SVR) در حملات خود علیه ایالات متحده و نهادهای خارجی از آنها بهره برده شده است، منتشر کردند.

آژانس های اطلاعاتی اعلام کردند با بکارگیری "نفوذ پنهانی تجاری در داخل شبکه های در معرض خطر، فعالیت سرویس اطلاعات برون مرزی روسیه (که شامل زنجیره تأمین مخاطرات اخیر برای SolarWinds Orion میشود) در درجه اول شبکه های دولتی ، اتاق فکر و سازمان های تجزیه و تحلیل سیاسی و شرکت های فناوری اطلاعات را هدف قرار می دهد و تلاش می کند تا اطلاعات امنیتی را جمع آوری کند".

عاملین سایبری همچنین تحت مانیکرهای مختلف از جمله Advanced Persistent Threat 29 (APT29) ،Dukes ، CozyBear و Yttrium ردیابی می شود. این پیشرفت در حالی صورت می گیرد که ایالات متحده، روسیه را تحریم کرده و هک SolarWinds و کمپین جاسوسی اینترنتی مرتبط را به طور رسمی به عوامل دولتی که برای سرویس اطلاعات برون مرزی روسیه کار می کنند مرتبط و متصل دانسته است.

APT29، از زمان آغاز تهدیدات در سال 2013، با تعدادی از حملات هماهنگ شده با هدف دستیابی به شبکه های قربانیان، جابجایی بدون امکان شناسایی در محیط های کاربری فرد قربانی و استخراج اطلاعات حساس پیوند خورده است. اما در یک تغییر محسوس در تاکتیک ها در سال 2018، این عامل از استقرار بدافزار در شبکه های هدف به سمت سرویس های ایمیل عظیم مبتنی بر فضای ابری، و این واقعیت از زمان حملات SolarWinds عیان شد که در آن عامل حملات، باینری های Orion را به عنوان یک بردار نفوذ برای سوءاستفاده از محیط های Microsoft Office 365، اهرم کرده است.

گفته می شود این شباهت در آلودگی های آینده تجارت ها، با سایر حملات مورد حمایت سرویس اطلاعات برون مرزی روسیه، از جمله در نحوه انتقال جانبی دشمن از طریق شبکه ها برای دسترسی به حساب های ایمیل، علی رغم اقدامی ویژه در روش استفاده شده برای به دست آوردن پایگاه اولیه، نقش بسزایی در نسبت دادن کمپین SolarWinds به سرویس اطلاعاتی روسیه داشته است.

آژانس خاطرنشان کرد: "در هدف قرار دادن منابع ابری احتمالاً بهره بردن از حساب های کاربری به خطر افتاده یا تنظیمات نادرست سیستم برای اختلاط با ترافیک عادی یا کنترل نشده در محیطی که سازمان های قربانی از آن به خوبی دفاع، نظارت یا مراقبت نمی کنند، احتمال شناسایی را کاهش می دهد".

از جمله برخی دیگر از تاکتیک های مورد استفاده توسط APT29 به پخش کردن رمز عبور (مشاهده شده در هنگام به خطر افتادن یک شبکه بزرگ بدون نام در سال 2018)، بهره برداری از نقص روز صفر در برابر دستگاه های شبکه خصوصی مجازی (مانند CVE-2019-19781) برای دستیابی به دسترسی شبکه و استقرار بدافزار Golang به نام WELLMESS برای سرقت مالکیت معنوی از چندین سازمان درگیر در ساخت واکسن COVID-19، میتوان اشاره نمود.

علاوه بر CVE-2019-19781، دیده شده است که عامل تهدید با استفاده از CVE-2018-13379 ، CVE-2019-9670 ، CVE-2019-11510 و CVE-2020-4006 پایگاه اولیه ای در دستگاه ها و شبکه های قربانی را بدست آورده است.

این گزارش مشترک می افزاید: "دفتر تحقیقات فدرال و وزارت امنیت داخلی به ارائه دهندگان خدمات توصیه می کنند سیستم های تأیید اعتبار و تأیید کاربر خود را برای جلوگیری از سوءاستفاده از خدمات خود تقویت و بروزرسانی کنند". از طرفی دیگر همچنین از مشاغل خواسته شده است شبکه های خود را در برابر احتمال به خطر افتادن با نرم افزارهای مورد اعتماد عموم، محافظت کنند.

محققان امنیت سایبری جزئیات مربوط به 13 آسیب پذیری در برنامه نظارت بر شبکه Nagios (ناگیوس) را فاش کرده اند که می تواند توسط مهاجم و بدون دخالت هیچگونه اپراتوری، زیرساخت ها را هدف سوءاستفاده و سرقت قرار دهد.

آدی اشکنازی، مدیر عامل شرکت امنیت سایبری استرالیایی سایبر اسکای لایت به خبرگزاری ها گفته است: "در ساختار یک شرکت ارتباطاتی، در جایی که آن شرکت هزاران سایت را زیر نظر دارد و آنها را مانیتور میکند، اگر یک سایت مشتری به طور کامل به خطر بیفتد، مهاجم می تواند از مجموعه آسیب پذیری ها برای به خطر انداختن آن مجموعه ارتباطاتی و همچنین هر سایت مشتری نیز که تحت نظارت است، سوءاستفاده کند".

 ناگیوس یک ابزار زیرساختی فناوری اطلاعات متن باز مشابه SolarWinds Network Performance Monitor (NPM) است که خدمات نظارت و هشدار را برای سرورها، کارت های شبکه، برنامه ها و خدماتی ها ارائه می دهد.

به نقل از هکر نیوز، این مسائل شامل ترکیبی از اجرای کد معتبر از راه دور (RCE) و نقص تشدید امتیاز، کشف و به ناگیوس در اکتبر سال 2020 گزارش شده و پس از آن در ماه نوامبر اصلاح شده است.

اصلی ترین آنها CVE-2020-28648 (CVSS score: 8.8) است، که مربوط به اعتبار ورودی نامناسب در مولفه کشف خودکار Nagios XI است که محققان از آن به عنوان نقطه پرشی برای ایجاد زنجیره بهره برداری استفاده می کنند که در مجموع پنج آسیب پذیری برای دستیابی به "حمله بزرگ بالادستی" را اجرا میکند.

محققان در مقاله ای که هفته گذشته منتشر کردند، گفته اند: "در واقع اگر ما، به عنوان مهاجم، با سایت مشتری روبرو شویم که با استفاده از سرور Nagios XI تحت نظارت است، می توانیم سرور مدیریت شرکت ارتباط از راه دور و هر مشتری دیگری را که تحت نظارت است ، به خطر بیندازیم".

اگر متفاوت بنگریم، سناریوی حمله با هدف قرار دادن سرور Nagios XI در سایت مشتری، با استفاده از CVE-2020-28648 و CVE-2020-28910 برای به دست آوردن RCE و افزایش امتیازات روت کار می کند. با سروری که در حال حاضر به خطر افتاده است، دشمن می تواند داده های آلوده را به سرور بالادست Nagios Fusion که با استفاده از نمونه گیری دوره ای از سرورهای Nagios XI، برای ایجاد دید گسترده در سطح زیرساخت ها استفاده می شود، ارسال کند.

سمیر غانم، محقق سایبر اسکای لایت گفت: "با آلوده کردن داده های برگشتی از سرور XI تحت کنترلمان، می توانیم اسکریپت نویسی بین سایت [CVE-2020-28903] را راه اندازی کرده و کد جاوا اسکریپت را در متن کاربر Fusion اجرا کنیم".

در مرحله بعدی حمله، مهاجم از این توانایی برای اجرای کد جاوا اسکریپت دلخواه در سرور Fusion برای بدست آوردن RCE (CVE-2020-28905) و متعاقباً افزایش مجوزها (CVE-2020-28902) برای به دست گرفتن کنترل سرور Fusion استفاده می کند و در نهایت، به سرورهای XI واقع در سایتهای دیگر مشتری ها نفوذ میکند.

محققان همچنین ابزار پسابهره برداری مبتنی بر PHP به نام SoyGun را منتشر کرده اند که آسیب پذیری ها را با هم پیوسته و متصل می کند و به مهاجم با اعتبار کاربر Nagios XI و دسترسی HTTP به سرور Nagios XI این اجازه را می دهد تا کنترل کامل استقرار در Nagios Fusion را به دست گیرد.

خلاصه ای از این 13 آسیب پذیری در ذیل آمده است:

• CVE-2020-28648 - Nagios XI - اجرای کد معتبر از راه دور (از محتوای کاربر با اختیارات پایین)
• CVE-2020-28900 - افزایش اختیارات Nagios Fusion و XI از nagios به روت از طریق upgrade_to_latest.sh
• CVE-2020-28901 - افزایش اختیارات Nagios Fusion از apache به nagios از طریق تزریق دستور در پارامتر component_dir در cmd_subsys.php
• CVE-2020-28902 - افزایش اختیارات Nagios Fusion از apache به nagios از طریق تزریق دستور در پارامتر منطقه زمانی در cmd_subsys.php
• CVE-2020-28903 - XSS در Nagios XI هنگامی که یک مهاجم کنترل یک سرور فیوز شده را کنترل می کند
• CVE-2020-28904 - افزایش اختیارات Nagios Fusion از apache به nagios از طریق نصب اجزاهای مخرب
• CVE-2020-28905 - Nagios Fusion - اجرای کد معتبر از راه دور (از محتوای کاربر با اختیارات پایین)
• CVE-2020-28906 - افزایش اختیار Nagios Fusion و XI از nagios به root از طریق اصلاح fusion-sys.cfg / xi-sys.cfg
• CVE-2020-28907 - افزایش اختیار Nagios Fusion از apache به روت از طریق upgrade_to_latest.sh و اصلاح پیکربندی پروکسی
• CVE-2020-28908 - افزایش اختیار Nagios Fusion از apache به nagios از طریق تزریق دستور (ناشی از پاکسازی ناکافی) در cmd_subsys.php
• CVE-2020-28909 - افزایش اختیار Nagios Fusion از nagios به روت از طریق تغییر اسکریپت هایی که می توانند به عنوان sudo اجرا شوند
• CVE-2020-28910 - افزایش اختیار Nagios XI getprofile.sh
• CVE-2020-28911 - افشای اطلاعات Nagios Fusion: در صورت ذخیره اعتبارنامه، کاربر دارای اختیار کمتر می تواند در سرور فیوز شده احراز هویت شود

با توجه به اینکه در سال گذشته SolarWinds قربانی یک حمله مهم زنجیره تأمین شد، مشخص گردید که هدف قرار دادن سیستم نظارت بر شبکه مانند Nagios می تواند یک عامل مخرب را قادر سازد تا نفوذ به شبکه های سازمانی را گسترش داده، دسترسی خود را از طریق شبکه فناوری اطلاعات به طور جانبی گسترش دهد و به سرآغازی برای تهدیدات پیچیده تر تبدیل شود .

غانم افزود: "میزان تلاش و کوشش لازم برای یافتن این آسیب پذیری ها و بهره برداری از آنها در زمینه مهاجمان پیچیده و به ویژه امنیت ملی، بسیار ناچیز بوده است".

"اگر ما می توانستیم این كار را به عنوان یك پروژه جانبی سریع انجام دهیم، تصور كنید چقدر این کار برای افرادی كه تمام وقت خود را صرف توسعه این نوع سوءاستفاده ها می كنند، ساده میبود. این مورد را با تعداد مراکز داده ها، ابزارها و تامین کنندگانی كه در حال حاضر هستند و می توان از آنها در یک شبکه مدرن استفاده كرد، تجمیع كنید؛ و ما یک مسئله اساسی در دست داریم".

 

محققان امنیت سایبری روز جمعه از زیرساخت های جدید command-and-control (C2) متعلق به عامل تهدیدکننده روسی با نام APT29، معروف به Cozy Bear، که به طور فعال در حال ارائه سرویس به بدافزار WellMess به عنوان بخشی از یک کمپین حمله مداوم، رونمایی و افشاگری کردند.

شرکت RiskIQ که زیرمجموعه شرکت امنیت سایبری متعلق به مایکروسافت است، در گزارشی که با خبرگزاری ها به اشتراک گذاشته، بیان کرده است که بیش از 30 سرور C2 که توسط اطلاعات خارجی روسیه اداره می شده، کشف شده است.

به نظر می رسد APT29 (نامی است که به عوامل دولتی که برای سرویس اطلاعات خارجی روسیه (SVR) کار می کنند اطلاق میشود)، مغز متفکر حمله بزرگ زنجیره تامین SolarWinds که در اواخر سال گذشته آشکار شد، میباشد و دولتهای انگلیس و ایالات متحده به شکل رسمی از اوایل آوریل امسال، روسیه را مسئول این اتفاقات دانسته اند.

این فعالیت توسط جامعه امنیت سایبری تحت اسم رمزهای مختلف، از جملهUNC2452 (FireEye) ،Nobelium (Microsoft) ،SolarStorm (Unit 42) ، StellarParticle (Crowdstrike) ،Dark Halo (Volexity) و Iron Ritual (Secureworks)، با استناد به تفاوت هایشان در تاکتیک ها، تکنیک ها و رویه هایی (TTPs) که توسط عامل مخرب با پروفایل مهاجم و با عنوان APT29 به کار‌ میرود، شناخته میشوند.

به نقل از هکر نیوز، بدافزاز WellMess (معروف به WellMail) که برای اولین بار توسط JPCERT/CC ژاپن در سال 2018 در کمپین های جاسوسی که توسط عامل تهدید برای سرقت مالکیت معنوی از چندین سازمان درگیر در فرایند تحقیق و توسعه واکسن COVID-19 در انگلستان، ایالات متحده و کانادا، شناسایی شد.

مرکز ملی امنیت سایبری بریتانیا (NCSC) در توصیه نامه امنیتی که در جولای سال 2020 منتشر شد، خاطرنشان کرده است: "این گروه از ابزارها و تکنیک های مختلفی برای هدف گیری عمدتاً اهداف دولتی، دیپلماتیک، اتاق های فکر، سیستم های سلامت و انرژی برای دستیابی به اطلاعات استفاده می کند.".

موسسه RiskIQ گفت که تحقیقات خود را در مورد زیرساخت های حمله APT29 پس از افشای عمومی در مورد سرور WellMess C2 جدید در 11 ژوئن آغاز کرد، که منجر به کشف دسته ای با حدود کمتر از 30 سرور فعال C2 شد. اگرچه مشخص نیست که چگونه از این سرورها استفاده می شود و اهداف آنها چه کسانی هستند، اما اعتقاد بر این است که یکی از سرورها در 9 اکتبر 2020 فعال بوده است.

این اولین بار نیست که RiskIQ ردپای command-and-control مربوط به هکرهای SolarWinds را شناسایی می کند. در ماه آوریل، مجموعه دیگری از 18 سرور که با درصد اطمینان بالایی احتمالاً با اهدافشان از طریق دیتاهای Cobalt Strike ثانویه که توسط بدافزار TEARDROP و RAINDROP در حملات مستقر شده بود ارتباط برقرار می کردند، کشف شدند.

کوین لایولی، مدیر اطلاعات تهدید RiskIQ گفت: "تیم اطلس RiskIQ با اطمینان بالایی ارزیابی کرده است که این آدرس ها و گواهینامه های IP توسط APT29 در حال استفاده فعال هستند. ما نتوانستیم بدافزاری را که با این زیرساخت ارتباط برقرار میکند، پیدا کنیم، اما گمان می کنیم که شبیه نمونه های شناسایی شده قبلی باشد.".