مهاجمان تحت حمایت دولت كه گفته می‌شود برای روسیه كار می‌كنند خزانه داری آمریكا، اداره مخابرات و اطلاعات ملی (NTIA) و سایر نهادهای دولتی را برای نظارت بر ترافیك ایمیل داخلی، به عنوان بخشی از یك كاربرد گسترده جاسوسی سایبری، هدف قرار داده‌اند.

واشنگتن پست با استناد به منابع ناشناس اعلام کرد که آخرین حملات مربوط به APT29 یا Cozy Bear، همان گروه هکری که گمان می‌رود چند روز پیش شرکت امنیت سایبری FireEye مستقر در ایالات متحده را مورد حمله قرار داده و منجر به سرقت ابزار تست نفوذ Red Team شده است.

انگیزه و دامنه کامل اطلاعاتی که به خطر افتاده همچنان نامشخص است، اما نشانه‌ها حاکی از این است که مهاجمان بروزرسانی نرم‌افزاری که توسط تأمین‌کننده زیرساخت فناوری اطلاعات مستقر در تگزاس SolarWinds در اوایل سال جاری منتشر شد را دستکاری کرده‌اند تا به سیستم‌های سازمان‌های دولتی و همچنین FireEye نفوذ کرده و یک حمله Supply Chain بسیار پیچیده را انجام دهند.

محصولات شبکه و امنیتی SolarWinds توسط بیش از ۳۰۰۰۰۰ مشتری در سراسر جهان از جمله شرکت‌های خصوصی، سازمان‌های دولتی و موسسات آموزشی مورد استفاده قرار می‌گیرد.

این سرویس همچنین به شرکت‌های بزرگ ارتباطی مخابراتی ایالات متحده، هر پنج شاخه ارتش ایالات متحده و سایر سازمان‌های برجسته دولتی مانند پنتاگون، وزارت امور خارجه، ناسا، آژانس امنیت ملی (NSA)، خدمات پستی، NOAA، وزارت دادگستری و دفتر رئیس جمهور ایالات متحده نیز خدمات ارائه می‌دهد.
FireEye که تحت عنوان “UNC2452” فعالیت نفوذ مداوم را ردیابی می‌کند گفت: حمله زنجیره تامین از نرم‌افزار تجاری تروجان شده SolarWinds Orion به منظور توزیع Backdoor به نام SUNBURST بهره می‌برد.

گفته می‌شود که این نسخه متقلب از افزونه SolarWinds Orion علاوه بر اینکه ترافیک شبکه خود را به عنوان پروتکل (Orion Improvement Program (OIP مخفی می‌کند، از طریق HTTP با سرورهای از راه دور ارتباط برقرار می کند تا دستورات مخرب (“jobs”) را بازیابی و اجرا کند. دامنه جاسوسی از جمله مواردی برای انتقال پرونده‌ها، اجرای فایل‌ها، پروفایل و راه‌اندازی مجدد سیستم هدف و غیرفعال کردن خدمات سیستم را پوشش می‌دهد.

Orion Improvement Program یا OIP عمدتا برای جمع‌آوری داده‌های آمار عملکرد و استفاده از SolarWinds users برای اهداف بهبود محصول استفاده می‌شود.
علاوه بر این، آدرس‌های IP مورد استفاده در این کمپین توسط سرورهای VPN واقع در همان کشور قربانی برای جلوگیری از شناسایی، پنهان شده‌اند.

در یک مشاوره امنیتی منتشر شده توسط SolarWinds، این شرکت گفت که این حمله نسخه‌های ۲۰۱۹.۴ تا ۲۰۲۰.۲.۱ از نرم افزار SolarWinds Orion Platform را که بین مارس و ژوئن سال ۲۰۲۰ منتشر شده است هدف قرار می‌دهد و به کاربران توصیه می‌کند Orion Platform را هرچه سریع‌تر به نسخه ۲۰۲۰.۲.۱ HF 1 ارتقا دهند.

در نهایت، به نظر می‌رسد این کمپین یک حمله supply chain در مقیاس جهانی است، زیرا FireEye گفته است که این فعالیت را در چندین نهاد در سراسر جهان شناسایی کرده است، شامل بخش‌هایی از دولت، مشاوره، فناوری، مخابرات و شرکت‌های استخراج در آمریکای شمالی، اروپا، آسیا و خاورمیانه.

 

 


دوست داشتید؟ لطفا با دوستان خود به اشتراک بگذارید.

94

یک نظر

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *