اگرچه به دلیل شیوع کرونا و شرایط دوکاری انتظار میرفت که سال ۱۳۹۹ سالی پرهیاهو در حوزه فناوری اطلاعات باشد، اما شاید کمتری کسی حدس میزد که این سال حتی در نخستین روزهای خود در حوزه امنیت سایبری غوغا به پا کند. در اولین روزهای فروردین سال ۱۳۹۹، نه اخبار مربوط به کرونا، بلکه خبر نشت اطلاعات ۴۲ میلیون کاربر ایرانی تلگرام فضای مجازی کشور را تکان داد.
اما این تنها روزهای ابتدایی سال بود. با نگاهی به اخبار و رخدادهای سال ۱۳۹۹ میتوان دریافت که این سال یکی از پرهیجانترین و پرالتهابترین سالها از دید امنیت سایبری چه برای مردم ایران و چه مردم جهان بوده است.
حملات سولارویندز، zerologon، نشتهای اطلاعاتی گسترده و پیشرفت پروژههای کلان کشوری در حوزه فناوری اطلاعات تنها بخشی از اخبار داغ سال ۱۳۹۹ بودند. مرکز تخصصی آپا دانشگاه صنعتی اصفهان در گزارش خود به حمله وسیع سولارویندز تحت عنوان داستان سال پرداخته و معتقد است اهمیت این حمله میتوان آن را به داستان سایبری قرن هم تبدیل کند.
داستان سال، حملات سولارویندز
شرکت فایرآی در هجدهم آذرماه سال ۱۳۹۹ اعلام کرد مورد هجوم حملات گستردهای واقع شده که طی این حملات، بسیاری از ابزارها و اطلاعات حساس این شرکت به سرقت رفته است. پنج روز بعد، کریس بینگ از رویترز از نفوذ به وزارت خزانهداری ایالات متحده آمریکا پرده برداشت. الن ناکاشیما، تحلیلگر امنیت اطلاعات واشنگتن پست با ارائه مدرکی، این دو حمله را به هم مرتبط دانست و مدعی شد که هر دو توسط یک گروه تهدید روسی به نام APT۲۹ پیاده شدهاند و در هر دو حمله از پلتفرم SolarWinds Orion سوءاستفاده شده است.
محصول Orion شرکت سولارویندز، یک سیستم مدیریت شبکه (Network Management System) یا NMS است که قابلیتهای بسیاری برای نظارت و مدیریت سیستمهای شبکه از سرورها و ایستگاههای کاری، تا تجهیزات شبکه مانند مسیریابها، دیوار آتش و ... دارد. برای مهاجمین، NMSها اهداف بسیار مهمی هستند؛ چرا که: سیستم NMS بایستی با تمامی دستگاههای شبکه درارتباط باشد و از این حیث مکانیزمهای لیست دسترسی یا ACLs بر آن اثر ندارد.
به علاوه، NMSها اغلب به گونهای پیکربندی میشوند که بتوانند شبکه را نظارت کنند و به رویدادهای آن پاسخ دهند. در صورت نفوذ به NMS این امکان، قابلیتهای بسیاری را در اختیار مهاجم قرار خواهد داد. حتی اگر NMS فقط برای نظارت شبکه پیکربندی شده باشد، با به دست آوردن اعتبارنامهها، مهاجم سطح دسترسی خوبی در شبکه هدف خواهد داشت. «در صورت نفوذ، هر کاری که NMS قادر به انجام آن است؛ مهاجم نیز میتواند انجام دهد.»
حمله زنجیره تامین، حملهای است که برای نفوذ به یک نهاد،سازمان یا شرکت از ضعیفترین عنصر (ضعیفترین حلقه) در زنجیره هدف سوءاستفاده میشود. در حمله زنجیره تامین سولارویندز نیز از سولارویندز به عنوان حلقه ضعیف برای نفوذ به بزرگترین شرکتها، نهادها و سازمانها مانند پنتاگون ایالات متحده آمریکا، ناتو، اتحادیه اروپا، چندین وزارتخانه ایالات متحده آمریکا، چندین شرکت دارویی فعال در تولید واکسن کووید ۱۹ و خوشنامترین شرکتها مانند مایکروسافت، VMware، سیسکو، اینتل، فایرآی و ... استفاده شد.
روایت حمله سولارویندز برای اولین بار در آذرماه سال ۱۳۹۹ گفته شد؛ ولی در حقیقت زمان این حمله به ماهها قبل تر یعنی اواخر ۱۳۹۸ باز میگردد. مایکروسافت لیستی از DLL۱۹ آلوده سولارویندز را در گزارشی منتشر کرد که زمان دیده شدن این فایلها بهمنماه و اسفندماه ۱۳۹۸ است. هنوز مشخص نیست در این بازه زمانی، مهاجمین چه اطلاعاتی را به سرقت بردهاند؟ تا چه اندازه کنترل شبکههای تسخیر شده را به دست گرفتهاند و در آینده با توجه به قابلیتهای جدید چه میکنند؟
نیمه پر این داستان این است که بسیاری از شرکتهای مطرح حوزه امنیت اطلاعات برای شناسایی بدافزارهای مرتبط با این حملات روشها و دستورالعملهایی را صادر کردهاند. همچنین شرکت سولارویندز وصلههایی را برای رفع آسیبپذیریهای مورد سوءاستفاده در این حملات منتشر کرد. اما نیمه خالی لیوان آن است که هنوز بسیاری از سازمانها اقدام به بهروزرسانی سیستمهای خود نکردهاند. برای مثال با گذشت چندین ماه از انتشار اخبار مرتبط با این حملات پیچیده و گسترده، هنوز نسخه آسیبپذیر سولارویندز بر ۳۰ آدرس IP ایرانی نصب است.
درسهایی برای مدیران امنیت و ناظران شبکه
حملاتی مانند زنجیره تامین سولارویندز درسهایی زیادی برای مدیران امنیت و ناظران شبکه دارند. اینکه حتی بهترینها، کامل نیستند. محصول Solarwinds Orion از مهمترین و محبوبترین محصولات NMS است که در سراسر جهان استفاده میشود ولیکن این بدین معنی نیست که از همه نظر – از جمله از نظر امنیتی – بینقص باشد. در نتیجه برای استفاده از چنین محصولاتی با استفاده از رویکردهای اعتماد صفر یا Zero Trust، بایستی ورودی و خروجیهایشان کاملا کنترل و نظارت شود.
گزارش وقوع حمله، کمک به خود و سایر قربانیان است. اگر چه هنوز ابعاد دقیق این حمله کاملا روشن نیست؛ ولیکن چراغ اول شناخت حمله را فایرآی با انتشار وقوع حملات به زیرساختهایش روشن کرد. اگر شرکتها و سازمانهای قربانی حملات سایبری به جای توضیح و تشریح حمله، وقوع آن را کتمان کنند نه تنها به جای سایر قربانیان به مهاجم کمک میکنند؛ بلکه کمک دیگران را از خود دریغ کردهاند. برای مثال در حمله سولارویندز، بدافزار Sunburst توسط FireEye شناسایی و معرفی شد. پس از آن CrowdStrike بدافزار SunSpot را شناسایی کرد؛ شرکتهایی مانند مایکروسافت آنها را تحلیل و روشهایی برای شناساییشان ارائه کردند و این روند همافزایی همچنان ادامه دارد.
از آنجا که کد بدخواهانه در این حمله به فایل بهروزرسانی محصول Solarwinds Orion تزریق شده بود؛ سوال معمول آن است که آیا بهروزرسانیها نباید نصب و اعمال شوند؟! در پاسخ باید گفت حتما باید بهروزرسانیها اعمال شوند ولی نه به صورت خودکار و بدون تحلیل. در رویکرد اعتماد صفر، شما نباید هر وصله یا فایل را بدون تحلیل بارگذاری و نصب کنید. علاوه بر این بدافزار Sunburst با دوره خاموشی ۱۴ روزهاش نشان داده است که تحلیل و بررسی کوتاه مدت ابدا کافی نیست.
مهمتر از همه آنکه اهمیت شرکت یا سازمان وابستهتان را جدی بگیرید. به زنجیره تامین شرکت یا سازمان خود توجه کنید و هرگونه ارتباط با حلقههای ضعیفتر این زنجیره را رصد کنید. توجه کنید که اگر به زیرساختهای پیچیده شرکتهای مطرح و مهمی مانند سولارویندز، فایرآی، مایکروسافت، سیسکو و سازمانهایی مانند پنتاگون، وزارتخانههای ایالات متحده، ناتو حمله شده است؛ حمله به شرکت یا سازمان شما نیز ممکن است.