18 آذر، شرکت امنیتی فایرآی (FireEye) رسماً اعلام کرد که سیستمهایش در جریان حملهای بسیار پیچیده، مورد رخنه قرار گرفته است. به گفته فایرآی، مهاجمان این حمله با بکارگیری تکنیکهای جدید موفق به سرقت ابزارهایی دیجیتال شدهاند که این شرکت از آنها با عنوان Red Team یاد میکند. فایرآی از ابزارهای Red Team بهمنظور شناسایی آسیبپذیری سیستمها در شبکه مشتریان خود استفاده میکرده است. گفته میشود که از این ابزارها بهشدت مراقبت میشده است.
در آن زمان تصور میشد که هدف اصلی مهاجمان، سرقت ابزارهای Red Team بوده است.
اما خیلی زود مشخص شد که اهداف حملات بسیار گستردهتر از یک شرکت امنیتی بوده و بسیاری از شرکتها و حتی سازمانها و نهادهای مطرح نه فقط در ایالات متحده که در کشورهای متعدد در تسخیر مهاجمان قرار گرفته بودند.
تمامی شرکتها و سازمانهای هک شده در یک چیز مشترک هستند و آن استفاده از نرمافزار SolarWinds است.
مهاجمان این حملات با بهرهگیری از تکنیک موسوم به زنجیره تأمین (Supply Chain) پس از هک شرکت سولارویندز موفق به آلودهسازی یکی از فایلهای نرمافزار Orion با نام SolarWinds.Orion.Core.BusinessLayer.dll و در عمل تبدیل آن به یک دربپشتی (Backdoor) شده بودند.
با این حال با توجه به گسترده بودن دامنه این حملات و پیچیدگی آنها ممکن است که مهاجمان از تکنیکهای دیگری نیز برای رخنه به اهداف خود بهره برده باشند.
جزییات بیشتر در خصوص این حملات در گزارشی که در 25 آذر، مرکز راهبردی افتای ریاست جمهوری با همکاری شرکت مهندسی شبکه گستر آن را در لینک زیر منتشر کرد قابل مطالعه است:
https://www.afta.gov.ir/portal/home/?news/235046/237266/242419/
در صورتی که از نرمافزار SolarWinds استفاده میکنید، اولین اقدام مراجعه به لینک زیر و مطالعه توصیهنامه شرکت سازنده است:
https://www.solarwinds.com/securityadvisory
محصولات مختلف شرکت امنیتی مکآفی (McAfee) قادر به شناسایی تمامی نمونههای مخرب گزارش شده این تهدیدات هستند.
در بهروزرسانیهای 4287V3DAT و 9835V2DAT و نسخ بعد از آن، تهدیدات مرتبط با این حملات با نام Trojan-Sunburst شناسایی میشوند. (در بهروزرسانیهای قبلی این تهدیدات با عنوان HackTool-Leak.c گزارش میشدند.)
قابلیت شناسایی نمونههای مشابه احتمالی (Generic) نیز در بهروزرسانیهای 4288V3DAT و 9836V2DAT و نسخ بعد از آن لحاظ شده است.
همچنین شرکت مکآفی دو قاعده موسوم به Expert Rules را برای استفاده در بخش Exploit Prevention نرم افزار McAfee Endpoint Security در لینک زیر در دسترس راهبران قرار داده است:
https://kc.mcafee.com/corporate/index?page=content&id=KB93861
به راهبران محصول McAfee Application and Change Control نیز توصیه شده که در صورت به اصطلاح Solidify شدن نسخ آلوده SolarWinds Orion Platform آنها را Unsolidify کرده و چنانچه پیشتر در قواعد McAfee Application and Change Control آنها را به عنوان Updater تعریف کرده بودند نسبت به حذف آن قواعد اقدام کنند.
جزییات بیشتر در خصوص تهدیدات روز از جمله Trojan-Sunburst و نشانههای آلودگی (IoC) آنها در لینک زیر قابل دریافت و مطالعه است:
https://www.mcafee.com/enterprise/en-us/lp/insights-preview.html
شماره تلفن ۴۲۰۵۲ در ساعات اداری و سامانه خدمات پس از فروش و پشتیبانی شرکت مهندسی شبکه گستر به نشانی my.shabakeh.net در طول شبانه روز در اختیار مشترکین گرامی است تا مشکلات و مسائل خود را مطرح کرده و پاسخها و راهنماییهای لازم را دریافت نمایند.