به گزارش شهرآرانیوز - هکرها توانستند با اجبار بیش از ۱۸ هزار کاربر در سازمانهای دولتی و خصوصی به دانلود یک آپدیت نرمافزاری بدخواهانه، وارد شبکههای هدف خود شوند. به محض ورود به شبکهها، آنها میتوانستند به پایش ایمیلهای داخلی برخی از برجستهترین آژانسهای کشور آمریکا بپردازند. در این مقاله به مرور هرآنچیزی میپردازیم که باید راجع به این حمله سایبری بدانید و از این خواهیم گفت که در آینده چه میشود.
چه اتفاقی افتاد؟
هک اخیر از مدتها پیش و در واقع از ماه مارس سال جاری میلادی آغاز شد: زمانی که یک کد بدخواهانه راهش را به درون بهروزرسانیهای یک نرمافزار محبوب به نام Orion باز کرد. Orion توسط کمپانی SolarWinds ساخته شده که کارش پایش شبکههای متعلق به کسبوکارها و دولت است تا از قطعی آنها جلوگیری کند. این بدافزار باعث میشد هکرهای حرفهای پشت ماجرا، دسترسی راه دور به شبکههای یک سازمان داشته و اطلاعات مورد نیاز خود را به سرقت ببرند.
اما انجام این کار احتمالا آنقدرها هم دشوار نبوده است. وینوث کومار، محقق امنیتی، طی سال گذشته به خبرگزاری رویترز گفت که به کمپانی SolarWinds هشدار داده که هرکسی با استفاده از رمز عبور Solarwinds۱۲۳ قادر به دسترسی یافتن به سرور بهروزرسانیهای شرکت است.
اما این آسیبپذیری برای مدتی از چشمها دور ماند تا اینکه شرکت امنیت سایبری FireEye -که خود نیز از سرویسهای SolarWinds استفاده میکند- متوجه یک رخنه امنیتی در نرمافزار شد. FireEye در ابتدا به صورت عمومی تایید نکرد که رخنه پیدا شده، همان رخنه مورد استفاده در هک گسترده SolarWinds است، اما بعد در روز سهشنبه، این موضوع را در گفتگو با سایت تکنولوژی Krebs On Security تایید کرد.
فرصت ظاهرا چند ماهه به هکرها اجازه داد که عجله به خرج نداده و به استخراج انبوهی از اطلاعات، از انبوهی از اهداف خود بپردازد. مقامات دولت آمریکا دقیقا اعلام نکردهاند که چه آژانسهایی تحت تاثیر قرار گرفتهاند، اما باید در نظر داشت که مرکز کنترل و پیشگیری بیماریها، وزارت امور خارجه و وزارت دادگستری آمریکا همگی از نرمافزار مورد بحث استفاده میکنند.
چارلز کارماکال، یکی از مدیران اجرایی FireEye میگوید که کمپانیاش میداند که «چند دوجین هدف شدیدا ارزشمند» مورد حمله هکرها قرار گرفتهاند و این شرکت ضمنا مشغول کمک به برخی از سازمانهایی بوده که تحت تاثیر قرار گرفتهاند. او نیز از هیچ سازمان و آژانس مشخصی نام نمیبرد، اما میگوید که در روزهای آتی جزییات بیشتری راجع به شبکههایی که به آنها رخنه شده خواهیم شنید.
چه کسی تحت تاثیر قرار گرفت و شرایط چقدر وخیم است؟
ابعاد این هک میتواند جهانی باشد و از آنجایی که نرمافزار هک شده بسیاری از ابعاد مختلف کسبوکارها را در بر میگیرد، ممکن است سازمانها را تا مرز نابودی ببرد. SolarWinds که در شهر آستین در ایالت تگزاس مستقر است، سرویسهای شبکه مانیتورینگ شبکه و دیگر سرویسهای فنی خود را در اختیار صدها هزار سازمان در سراسر جهان قرار میدهد. از جمله این مشتریان میتوان به اکثر کمپانیهای لیست Fortune ۵۰۰ و همینطور آژانسهای دولتی در آمریکای شمالی، اروپا، آسیا و خاورمیانه اشاره کرد.
محصول تحت تاثیر قرار گرفته این شرکت، یعنی Orion، نیمی از درآمد سالانه SolarWinds را کسب میکند و فقط امسال، ۷۵۰ میلیون دلار درآمدزایی کرده است. سیستم پایش مرکزی Orion به دنبال مشکلات بالقوه در شبکههای کامپیوتری سازمانی میگردد و بنابراین رخنه به آن، منجر میشود هکرها تسلط کامل بر این شبکهها داشته باشند.
برندن هافمن، مدیر ارشد امنیت اطلاعات در شرکت کالیفرنیایی Nenenrich میگوید: «این نوع از ابزارها، دسترسی عمیق به سیستمها را امکانپذیر میکنند. این سیستمها اهدافی خود هستند، چون عمیقا با عملیاتهای سیستمی و مدیریت درهمتنیدهاند».
SolarWinds میگوید که اکنون در حال مشاوره دادن به حدود ۳۳ هزار از مشتریان Orion است که احتمالا تحت تاثیر حمله قرار گرفتهاند. اما خود کمپانی تخمین میزند که تعداد کمتری از مشتریان -یعنی کمتر از ۱۸ هزار- بهروزرسانی خطرناک این محصول که ابتدای سال جاری میلادی منتشر شد را نصب کرده باشند.
نه SolarWinds و نه مقامات حوزه امنیت سایبری آمریکا به صورت عمومی اعلام نکردهاند که هکرها قادر به رخنه به کدام سازمانها بودهاند. اما باید در نظر داشت که صرف استفاده یک کمپانی یا یک آژانس از محصول SolarWinds، به این معنا نیست که در برابر هک آسیبپذیر بوده است.
FireEye اخیرا به صحبت راجع به جزییات مربوط به تواناییهای این بدافزار پرداخت و گفت که بدافزار در ابتدا برای دو هفته مقابل چشمها پنهان باقی میماند و به شکلی آهسته و پیوسته، دسترسی گستردهتری به زیر و بم Orion مییافت. SolarWinds اکنون مشغول همکاری با FireEye، پلیس فدرال آمریکا، فعالان حوزه اطلاعات و دیگر مراجع قانونی است تا ابعاد مختلف رخنه را بررسی کند.
از آنجایی که نرمافزار Orion به پایش تمام شبکهها میپردازد، بخش اعظمی از کارهایی که کمپانیها و سازمانها به صورت آنلاین به انجام میرسانند در خطر رخنه بوده است. هکرها احتمالا تاکنون به پایش ایمیلها و دیگر ارتباطات داخلی پرداخته باشند.
چه کسی مسئولیت هک را برعهده داشته؟
SolarWinds میگوید که یک کشور خارجی با این بدافزار، به سیستمهای آمریکایی حمله کرده است. اما نه دولت آمریکا و نه کمپانیهای هک شده به صورت عمومی اعلام نکردهاند که به نظرشان کدام کشور پشت این حملات بوده است. با این همه یکی از مقامات آمریکایی که خواسته نامش فاش نشود به آسوشیتدپرس گفت که انگشت اتهام به سوی هکرهای روسی دراز شده. اما روسیه هم در روز دوشنبه اعلام کرد که «هیچ ارتباطی» با هک اخیر نداشته است.
دمیتری پسکوف، سخنگوی کرملین در پاسخ به سوالات خبرنگاران گفت: «یکبار دیگر باید این اتهامات را رد کنم. اگر چندین ماه بوده که آمریکاییها هیچ کاری انجام ندادهاند، پس احتمالا نباید روسیه را به شکلی بیاساس بابت هر چیزی مقصر تلقی کنند».
اما تاکتیک مورد استفاده در این رخنه امنیتی که تحت عنوان متد «زنجیره تامین» شناخته میشود، یادآور تکنیکی است که هکرهای ارتش روسیه در سال ۲۰۱۶ برای نفوذ به کمپانیهای همکار شرکت اکراین از طریق ویروس NotPetya به کار گرفتند. لازم به اشاره است که این حمله سایبری تا همین امروز، رکورددار ایجاد بیشترین آسیب در جهان است.
چرا چنین هکهایی اهمیت دارند و در آینده چه میشود؟
جاسوسی به خودی خود قانون بینالمللی را نقض نمیکند و دفاع سایبری هم کاری بسیار دشوار است. اما گاهی هم شاهد انتقامجویی علیه دولتهایی هستیم که مسئولیت پیادهسازی چنین هکهای گستردهای را برعهده داشتهاند. گاهی دیپلماتها اخراج میشوند و گاهی هم تحریمها از راه میرسند.
برای مثال در پاسخ به تلاش هکرهای ارتش کرملین برای دخالت در انتخابات ریاست جمهوری سال ۲۰۱۶ آمریکا که با پیروزی دونالد ترامپ به پایان رسید، دولت اوباما برخی از دیپلماتهای روسی را اخراج کرد.
کریس پینتر، هماهنگکننده قوانین سایبری در وزارت امور خارجه دولت اوباما میگوید که امنیت سایبری یکی از اولویتهای دونالد ترامپ نبوده است و رییس جمهور کنونی آمریکا به شکل خواسته یا ناخواسته، ناتوان از سرزنش کردن روسیه به خاطر فعالیتهای خصمانهاش در فضای سایبری بوده است.
متخصصین اکنون میگویند که تمرکز کاخ سفید بر امنیت سایبری، مهمتر از همیشه شده است.
مایکروسافت در متنی که اخیرا در همراهی با FireEye و برای یاری رساندن به دولت آمریکا منتشر کرده میگوید که «طی دو سال اخیر بیش از ۱۳ هزار اعلان برای مشتریانی فرستادهایم که تحت تاثیر حملات دولتهای خارجی گرفتهاند و شاهد افزایش سریع پیچیدگی و تواناییهای این عملیاتهای سایبری بودهایم».
از طرف دیگر SolarWinds احتمالا به خاطر قصور خود، با انبوهی از پروندههای قضایی روبهرو شود که توسط مشتریان سازمانی و دولتی تشکیل میگردند. این کمپانی همین حالا یک گزارش مفصل برای کمیسییون امنیت و مبادلات آمریکا تهیه کرده که تمام جزییات مربوط به هک را شامل میشود. در این گزارش، کمپانی مورد اشاره میگوید که مجموع درآمد محصول تحت تاثیر قرار گرفتهاش حدودا معادل ۳۴۳ میلیون دلار بوده که ۴۵ درصد از درآمد کل شرکت را در بر میگیرد. از زمانی که خبر رخنه امنیتی اخیر منتشر شد، ارزش سهام SolarWinds نیز سقوط ۲۵ درصدی را تجربه کرده است.
منبع: دیجیاتو