هیچ کس نمی داند که هک روسیه تا چه حد عمیق است


مثل قبل از اوایل ماه مارس ، هکرهای روسی به طرز شومی از هم پاشیدند. با جابجایی به روزرسانی های آلوده به سیستم عامل مدیریت فناوری اطلاعات که به طور گسترده مورد استفاده قرار گرفته اند ، آنها بر بخشهای تجاری ایالات متحده ، خزانه داری و امنیت ملی و شرکت امنیتی FireEye تأثیر گذاشته اند. در واقع ، هیچ کس نمی داند خسارت به کجا ختم می شود. با توجه به ماهیت حمله ، هزاران شرکت و سازمان به معنای واقعی کلمه ماه ها در معرض خطر هستند. فقط از اینجا بدتر می شود.

این حملات ، که اولین بار توسط رویترز روز یکشنبه گزارش شد ، ظاهرا توسط هکرهای SVR ، سرویس اطلاعات خارجی روسیه انجام شده است. این شرکت کنندگان اغلب به عنوان APT 29 یا “خرس دنج” طبقه بندی می شوند ، اما پاسخ دهندگان حادثه هنوز در تلاشند تا ریشه دقیق حملات را در دستگاه هکرهای نظامی روسیه متحد کنند. سازش ها به SolarWinds برمی گردد ، یک زیرساخت IT و یک شرکت مدیریت شبکه که محصولات آن در دولت ایالات متحده توسط بسیاری از فروشندگان دفاعی و اکثر شرکت های Fortune 500 استفاده می شود. SolarWinds روز یکشنبه در بیانیه ای گفت که هکرها موفق به تغییر شده اند نظارت بر شبکه به نام Orion ، که این شرکت بین مارس و ژوئن منتشر کرد.

این شرکت نوشت: “به ما توصیه شد كه این حمله احتمالاً توسط یك كشور خارجی انجام شده و قصد دارد یك حمله باریك ، فوق العاده هدفمند و به صورت دستی باشد ، در مقابل یك حمله گسترده در سطح سیستم.”

SolarWinds صدها هزار مشتری دارد. در بیانیه روز دوشنبه کمیسیون بورس و اوراق بهادار آمده است که بالغ بر 18000 نفر از آنها در معرض حمله قرار دارند.

FireEye و Microsoft هر دو جریان را مورد حمله قرار می دهند. ابتدا هکرها سازوکار بروزرسانی Orion SolarWinds را به خطر انداختند تا سیستم های آن بتوانند نرم افزارهای آلوده را به هزاران سازمان توزیع کنند. سپس مهاجمان می توانند از نرم افزار Orion دستکاری شده به عنوان درگاهی برای ورود به شبکه قربانیان استفاده کنند. از آنجا ، آنها می توانند در سیستم های هدف پراکنده شوند ، که اغلب با سرقت نمادهای دسترسی مدیریتی صورت می گیرد. سرانجام ، با داشتن کلیدهای پادشاهی – یا بخشهای زیادی از هر پادشاهی – هکرها در انجام اطلاعات و بازیابی اطلاعات آزاد بودند.

این نوع حمله به اصطلاح زنجیره تأمین می تواند عواقب ناگواری به همراه داشته باشد. با به خطر انداختن یک شرکت یا تولید کننده ، هکرها می توانند به طور موثر و در مقیاس گسترده امنیت اهداف را تضعیف کنند.

این اولین باری نیست که روسیه برای تأثیر گسترده به حمله زنجیره تأمین اعتماد می کند. در سال 2017 ، اطلاعات نظامی GRU در این کشور برای کشف بدافزار مخرب خود NotPetya در سراسر جهان از دسترسی به نرم افزار حسابداری اوکراین MeDoc استفاده کرد. به نظر می رسد حمله به SolarWinds و مشتریان آن بر روی اطلاعات هدفمند متمرکز شده است ، نه تخریب. اما با انجام عملیات بی سر و صدا و ظریف ، هنوز هم خطر واقعی وجود دارد که بلافاصله میزان کامل خسارت مشخص نشود. هنگامی که مهاجمان خود را در شبکه های هدف جاسازی کردند – که اغلب به آنها “ماندگاری” گفته می شود – به سادگی به روزرسانی نرم افزار در معرض خطر برای بیرون راندن مهاجمان کافی نیست. صرف گرفتار شدن یک خرس دنج به معنای حل مشکل نیست.

در حقیقت FireEye روز یکشنبه تأکید کرد که حمله در حال حاضر ادامه دارد. روند شناسایی عفونت های احتمالی و ردیابی منبع آنها طولانی خواهد شد.

جو سولوویک ، محقق شرکت اطلاعات تهدید DomainTools ، گفت: “مهاجمان مورد بحث خصوصاً در استفاده از زیرساخت های شبکه احتیاط داشتند.” “به طور خاص ، به نظر می رسد که آنها بیش از ایجاد عناصر کاملاً جدید و استفاده از انواع خدمات میزبانی ابری برای زیرساخت های شبکه ، تا حد زیادی به تجدید یا ثبت مجدد دامنه های موجود اعتماد می کنند.” این تکنیک ها به مهاجمان کمک می کنند تا هویت خود را بپوشانند ، مسیرهای خود را بپوشانند و به طور کلی با ترافیک قانونی مخلوط شوند.

کنترل میزان آسیب نیز دشوار است ، زیرا Orion خود ابزاری برای نظارت است که کمی مشکل “چه کسی ناظران را تماشا می کند” ایجاد می کند. به همین دلیل ، این سیستم ها همچنین به Orion اعتماد و امتیازاتی را در شبکه های کاربر که برای مهاجمان ارزش دارند ، می دهند. قربانیان و اهداف بالقوه باید احتمال این حملات را در نظر بگیرند نیز مصالحه کرد بسیاری دیگر از زیرساخت ها و سازوکارهای تأیید اعتبار آنها با استفاده از دسترسی گسترده Orion. میزان مواجهه در آژانس های دولتی ایالات متحده هنوز ناشناخته است. افشا شد که DHS نیز تحت تأثیر قرار گرفته است فقط در بعد از ظهر دوشنبه آمد.




منبع: sadeh-news.ir

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>