محصولات مک‌آفی و تهدیدات مرتبط با سولارویندز

18 آذر، شرکت امنیتی فایرآی (FireEye) رسماً اعلام کرد که سیستم‌هایش در جریان حمله‌ای بسیار پیچیده، مورد رخنه قرار گرفته است. به گفته فایرآی، مهاجمان این حمله با بکارگیری تکنیک‌های جدید موفق به سرقت ابزارهایی دیجیتال شده‌اند که این شرکت از آنها با عنوان Red Team یاد می‌کند. فایرآی از ابزارهای Red Team به‌منظور شناسایی آسیب‌پذیری سیستم‌ها در شبکه مشتریان خود استفاده می‌کرده است. گفته می‌شود که از این ابزارها به‌شدت مراقبت می‌شده است.

در آن زمان تصور می‌شد که هدف اصلی مهاجمان، سرقت ابزارهای Red Team بوده است.

اما خیلی زود مشخص شد که اهداف حملات بسیار گسترده‌تر از یک شرکت امنیتی بوده و بسیاری از شرکت‌ها و حتی سازمان‌ها و نهادهای مطرح نه فقط در ایالات متحده که در کشورهای متعدد در تسخیر مهاجمان قرار گرفته بودند.

تمامی شرکت‌ها و سازمان‌های هک شده در یک چیز مشترک هستند و آن استفاده از نرم‌افزار SolarWinds است.

مهاجمان این حملات با بهره‌گیری از تکنیک موسوم به زنجیره تأمین (Supply Chain) پس از هک شرکت سولارویندز موفق به آلوده‌سازی یکی از فایل‌های نرم‌افزار Orion با نام SolarWinds.Orion.Core.BusinessLayer.dll و در عمل تبدیل آن به یک درب‌پشتی (Backdoor) شده بودند.

با این حال با توجه به گسترده بودن دامنه این حملات و پیچیدگی آنها ممکن است که مهاجمان از تکنیک‌های دیگری نیز برای رخنه به اهداف خود بهره برده باشند.

جزییات بیشتر در خصوص این حملات در گزارشی که در 25 آذر، مرکز راهبردی افتای ریاست جمهوری با همکاری شرکت مهندسی شبکه گستر آن را در لینک زیر منتشر کرد قابل مطالعه است:

https://www.afta.gov.ir/portal/home/?news/235046/237266/242419/

در صورتی که از نرم‌افزار SolarWinds استفاده می‌کنید، اولین اقدام مراجعه به لینک زیر و مطالعه توصیه‌نامه شرکت سازنده است:

https://www.solarwinds.com/securityadvisory

 محصولات مختلف شرکت امنیتی مک‌آفی (McAfee) قادر به شناسایی تمامی نمونه‌های مخرب گزارش شده این تهدیدات هستند.

در به‌روزرسانی‌های 4287V3DAT و 9835V2DAT و نسخ بعد از آن، تهدیدات مرتبط با این حملات با نام Trojan-Sunburst شناسایی می‌شوند. (در به‌روزرسانی‌های قبلی این تهدیدات با عنوان HackTool-Leak.c گزارش می‌شدند.)

قابلیت شناسایی نمونه‌های مشابه احتمالی (Generic) نیز در به‌روزرسانی‌های 4288V3DAT و 9836V2DAT و نسخ بعد از آن لحاظ شده است.

همچنین شرکت مک‌آفی دو قاعده موسوم به Expert Rules را برای استفاده در بخش Exploit Prevention نرم افزار McAfee Endpoint Security در لینک زیر در دسترس راهبران قرار داده است:

https://kc.mcafee.com/corporate/index?page=content&id=KB93861

به راهبران محصول McAfee Application and Change Control نیز توصیه شده که در صورت به اصطلاح Solidify شدن نسخ آلوده SolarWinds Orion Platform آنها را Unsolidify کرده و چنانچه پیش‌تر در قواعد McAfee Application and Change Control آنها را به عنوان Updater تعریف کرده بودند نسبت به حذف آن قواعد اقدام کنند.

جزییات بیشتر در خصوص تهدیدات روز از جمله Trojan-Sunburst و نشانه‌های آلودگی (IoC) آنها در لینک زیر قابل دریافت و مطالعه است:

https://www.mcafee.com/enterprise/en-us/lp/insights-preview.html

شماره تلفن ۴۲۰۵۲ در ساعات اداری و سامانه خدمات پس از فروش و پشتیبانی شرکت مهندسی شبکه گستر به نشانی my.shabakeh.net در طول شبانه روز در اختیار مشترکین گرامی است تا مشکلات و مسائل خود را مطرح کرده و پاسخ‌ها و راهنمایی‌های لازم را دریافت نمایند.