هک آژانس‌های ایالات متحده و FireEye با استفاده از Backdoor در نرم‌افزار SolarWinds

مهاجمان تحت حمایت دولت روسیه، سازمان خزانه‌داری آمریکا، اداره ملی مخابرات و اطلاعات، وزارت بازرگانی و دیگر سازمان‌های دولتی را هدف قرار داده‌اند تا ترافیک ایمیل داخلی را به عنوان بخشی از کمپین گسترده جاسوسی سایبری خود، زیر نظر داشته باشند.

هنوز به طور کامل انگیزه مهاجمان و دامنه اطلاعات به خطر افتاده مشخص نیست، اما سازمان امنیتی FireEye مدعی شد، مهاجمان که گمان می‌رود به نمایندگی از یک دولت خارجی فعالیت می‌کنند، سرور نرم افزار SolarWinds را مورد تهاجم قرار داده‌اند و سپس یک به‌روزرسانی lock بدافزار، برای نرم‌افزار Orion برای آلوده کردن شبکه‌های شرکت‌های متعدد آمریکایی و شبکه‌های دولتی منتشر کرده‌اند.
همچنین منابعی که با واشنگتن پست مصاحبه می‌کردند، نفوذ و تهاجم را به APT29 مرتبط دانستند، نام رمزی که صنعت امنیت سایبری برای توصیف هکرهای مرتبط با سرویس اطلاعات خارجی روسیه به کار می‌گیرد. هرچند که FireEye هنوز APT29 را به عنوان مهاجم به طور رسمی تایید نکرده است و به  گروه مهاجم یک نام رمز مستعار به نام UNC2452 داده است، اما منابع متعددی در جامعه امنیت سایبری، بر اساس شواهد موجود، تهاجم را از سوی APT29 می‌دانند. همان گروهی که چند روز پیش سرقت ابزار تست نفوذ تیم قرمز را ترتیب داده بود.
مهاجمان از طریق به‌روزرسانی  ORION بدافزار SUNBURST خود را در شبکه قرار دادند.
براندون ولز، سرپرست آژانس امنیت سایبری و امنیت زیرساخت‌های آمریکا که یک دستورالعمل اضطراری منتشر کرده است، از سازمان‌های غیرنظامی فدرال خواست شبکه‌های خود را برای مواجهه با فعالیت‌های مشکوک مورد بررسی قرار داده و قطع ارتباط با محصولات SolarWinds Orion را بلافاصله در دستور کار خود قرار دهند.
محصولات شبکه‌ای و امنیتی SolarWind توسط بیش از ۳۰۰۰۰۰ مشتری در سراسر جهان از جمله ۵۰۰ شرکت، سازمان‌های دولتی و موسسات آموزشی مورد استفاده قرار می‌گیرند. همچنین در شرکت‌های بزرگ مخابراتی آمریکا، هر پنج شعبه ارتش آمریکا و دیگر سازمان‌های برجسته دولتی مانند پنتاگون، وزارت امور خارجه، ناسا، آژانس امنیت ملی، خدمات پستی، NOAA، وزارت دادگستری، و دفتر رئیس جمهوری ایالات متحده، مورد استفاده است.
 
کمپین تهاجم برای توزیع و انتشار SUNBURST Backdoor
این تهاجم با نام SUPPLY CHAIN، با استفاده از تروجان در SolarWinds Orion ، منجربه به‌روزرسانی نرم افزار به منظور توزیع یک در پشتی به نام SUNBURST شد .
FireEye در یک مصاحبه مدعی شد: این کمپین ممکن است از اوایل بهار ۲۰۲۰ آغاز شده باشد و در حال حاضر نیز در حال انجام است.  

این نسخه تهاجمی از SolarWinds Orion، علاوه بر masquerading ، برای برقراری ارتباط از طریق پروتکلHTTP  با سرورهای از راه دور، ترافیک شبکه خود را به عنوان برنامه بهبود دهنده(OIP‏) Orion  معرفی می‌کند.
برنامه بهبود Orion یا همان OIP ، به طور کلی برای جمع‌آوری عملکرد و استفاده آماری داده‌های مربوط به کاربران SolarWinds برای اهداف بهبود محصول مورد استفاده قرار می‌گیرد.
 ویندوز در قبال این موضوع گفت: یک کلاس نرم‌افزاری مخرب در میان بسیاری از کلاس‌های مشروع دیگر گنجانده شد و سپس با گواهی مشروع تایید هویت شد .حاصل شامل ایجاد یک در پشتی بود و سپس به مرور در سازمان‌های مورد هدف توزیع شد.
 
مشاوره امنیتی SolarWinds
در یک مشاوره امنیتی منتشر شده توسط SolarWinds، این شرکت مدعی شده که این حملات نسخه‌های ۲۰۱۹.۴ تا ۱.۲.۲۰۲۰ از نرم‌افزار SolarWinds Orion را هدف قرار می‌دهد که بین ماه‌های مارس و ژوئن ۲۰۲۰ منتشر شده‌اند، بعلاوه این شرکت به کاربران خود توصیه کرده بلافاصله نسخه ارتقا یافته HF1 1.0.2020 را نصب کنند.
این شرکت در حال حاضر در حال بررسی این حمله با همکاری FireEye و اداره تحقیقات فدرال آمریکا است. همچنین انتظار میرود در ۱۵ دسامبر یک هات فیکس به نام HF1 1.2.2020  منتشر کند که جایگزین جزء به خطر افتاده می‌شود و چندین پیشرفت امنیتی اضافی را نیز فراهم می‌کند.
  FireEyeنام این بدافزار SUNBURST را گذاشت و همچنین برای قوانین تشخیص آن، در GitHub یک گزارش فنی منتشر کرد.
مایکروسافت نیز نام بدافزار را Solorigate گذاشت و قوانین تشخیص را به آنتی ویروس خود اضافه کرد.
ابزارهای نفوذی که از تیم قرمز به سرقت رفته، ترکیبی از ابزارهای در دسترس عموم (%۴۳) نسخه‌های اصلاح شده ابزارهای در دسترس عموم (%۱۷) و ابزارهایی که منحصرا توسعه یافته‌اند (%۴۰) می‌باشد.
علاوه براین، تهاجم شامل بسته‌های بهره برداری و سو استفاده از برخی آسیب‌پذیری های بحرانی مانند SSL VPN (CVE-2019-11510)، Microsoft Active Directory (CVE-2020-1472)، Zoho ManageEngine Desktop Central ‪(CVE-2020-10189)‬ و Windows Remote Desktop Services ‪(CVE-2019-0708)‬ نیز می‌باشد.
در نهایت، به نظر می‌رسد این کمپین، یک حمله SUPPLY CHAIN در مقیاس جهانی است، زیرا  FireEye مدعی شده که این فعالیت را در چندین نهاد در سراسر جهان تشخیص داده است، در دولت‌ها، سازمان‌های فناوری، مخابرات، و شرکت‌هایی در آمریکای شمالی، اروپا، آسیا، و خاورمیانه.

منابع :  

۱)    https://thehackernews.com/2020/12/us-agencies-and-fireeye-were-hacked.html
۲)    https://www.zdnet.com/article/microsoft-fireeye-confirm-solarwinds-supply-chain-attack/‎