بررسی هک SolarWinds: چگونه هکرها امنیت دولت ایالات متحده را نقض کردند؟
عدم دقت کافی و واگذار کردن اشتباهات به شانس برای انجام سریع کارها منطقی است البته این موضوع برای زمانی است که شما متخصص امنیت سایبری نیستید. مارک آدامز، تحلیلگر امنیت سایبری می گوید: “ما در فضای امنیت سایبری یک جمله داریم که هکرها فقط باید یک راه پیدا کنند، اما ما باید به عنوان مدافع شبکه های خود بدون نقص باشیم.” هکرها می توانند ۹۹ بار [از ۱۰۰] شکست بخورند، اما اگر فقط یکبار موفق شوند، می توانند شخص یا تیم امنیت را بی کفایت جلوه دهند.” هک SolarWinds بدون شک بزرگترین و پیچیده ترین حمله سایبری انجام شده است در این مقاله از ساینت به صورت کامل به این حمله سایبری می پردازیم.
البته که این مورد شامل نهادهای دولتی مانند آژانس امنیت سایبری و زیرساخت ایالات متحده و سایر آژانس های فدرال است که مسئول ایجاد و محافظت از دفاع سایبری کشور هستند. در پی انتخابات ریاست جمهوری ایالات متحده، اندکی پس از آنکه مقامات دولتی رای گیری را بدون دخالت خارجی اعلام کردند، گزارش هایی منتشر شد مبنی بر اینکه SolarWinds، یک شرکت بزرگ فناوری اطلاعات مستقر در تگزاس، یک حمله سایبری گسترده را متحمل شده است که در نهایت نفوذ به مشتریان این شرکت نیز گسترش یافته است.
بیش از ۲۵۰ آژانس فدرال از جمله وزارت خزانه داری ایالات متحده، وزارت امور خارجه ، وزارت انرژی و حتی مناطقی از پنتاگون نقض امنیت شده است. قربانیان دیگر شامل ۵۰۰ شرکت Fortune مانند مایکروسافت ، سیسکو ، اینتل ، Deloitte و FireEye هستند – شرکت امنیت سایبری که برای اولین بار حمله را کشف کرد. قبل از اینکه FireEye کشف کند که بیش از ۳۰۰ مورد از محصولات امنیت سایبری اختصاصی آن به سرقت رفته است، نفوذ برای مدت ۹ ماه بدون شناسایی بود، در طی آن هکرها به اسرار دولتی و مالکیت معنوی از جمله Black Start دسترسی پیدا کردند، Black Start یک طرح فنی است برای چگونگی مقابله ایالات متحده برای خاموشی فاجعه آمیز برق. به گزارش رویترز که در اواسط دسامبر خبر حمله سایبری را منتشر کرد، هکرها همچنین ایمیل های داخلی وزارت خزانه داری و بازرگانی ایالات متحده را رصد کردند.
آدامز گفت: “وقتی صحبت از مواردی از قبیل مالکیت معنوی و اسرار دولتی می شود، یک مقدار زمان با آن مرتبط است.” “هنگامی که یک بازیگر تهدید threat actor آنها را در اختیار دارد، در کوتاه مدت بسیار ارزشمند هستند اما با گذشت زمان ارزش آنها پایین می آید زیرا با گذشت زمان، اوضاع تغییر می کند.”
مقامات دولتی و کارشناسان امنیت سایبری می گویند که سرویس اطلاعات خارجی روسیه، معروف به SVR ، عامل این حملات است. بازرسان هنوز جزئیات این تخلف را برای تصور اهداف هکرها جمع می کنند. نیویورک تایمز گزارش می دهد، برخی تحلیلگران می گویند با ورود دولت جدید به کاخ سفید، روس ها در تلاشند تا قبل از مذاکرات تسلیحات هسته ای اهرم قدرت را علیه رئیس جمهور آینده به دست آورند و همچنین اعتماد به نفس را در ارتباطات درون واشنگتن تضعیف کنند.
حملات سایبری غالباً به عنوان نوعی سیگنالینگ ، یک تاکتیک سیاست خارجی مورد استفاده قرار می گیرد که در آن یک دولت ملی تهدیدی محکم علیه بازیگر دولت دیگر برای به دست آوردن اهرم سیاسی، که به عنوان کل منطق تسلیحات هسته ای است، ایجاد می کند. تهدیدات سایبری علیه دولت فدرال ایالات متحده هنگامی تشدید شد که آشوبگران در تاریخ ۶ ژانویه هنگام شمارش آرا انتخاباتی کنگره برای تصویب پیروزی جو بایدن، رئیس کنگره آمریکا، واشنگتن دی سی را نقض کردند. عکس ها و فیلم های گرفته شده توسط روزنامه نگاران که توسط آشوبگران در شبکه های اجتماعی منتشر شده اند، نشان می دهد که اعضای جمعیت در حالی که به دفاتر مهم هجوم می آورند و به رایانه سخنگوی مجلس نانسی پلوسی دسترسی دارند. آدامز گفت: “یک نقض فیزیکی می تواند خطرناک تر باشد زیرا اغلب به نظر یک اتصال مجاز است.” “وقتی بازیگران تهدید از این طریق به رایانه افراد وارد می شوند، به احتمال زیاد از سطح دسترسی مدیر سیستم برخوردار هستند.”
چرا هک SolarWinds یک موضوع بزرگ است؟
هنگامی که یک شرکت نرم افزاری هک می شود، زنجیره ای از حوادث را ایجاد می کند که مشتریان آن را در معرض نقض امنیت قرار می دهد – از این رو هک کردن “زنجیره تامین” supply chain می تواند عواقب فاجعه بارتری نسبت به هدف قرار دادن یک شرکت خاص یا نهاد دولتی داشته باشد.
به عنوان مثال، اگر هک شناسایی نشود و این شرکت یک به روزرسانی نرم افزاری ارسال کند که حاوی ویروس یا بدافزاری است که توسط هکرها کاشته شده است، تمام مشتریان این شرکت که این به روزرسانی را بارگیری می کنند آلوده می شوند، اتفاقی که در مورد SolarWinds افتاد. با محاسبات ابری که امکان به روزرسانی خودکار نرم افزار را فراهم می کند، تأثیر چنین هک هایی می تواند سریع باشد.
مخفی ماندن و گستردگی حمله سایبری SolarWinds یکی دیگر از دلایل عمده نگرانی بود. با استفاده از یک شرکت فناوری اطلاعات به عنوان مجرای نقض سیستم برای دستیابی به سایر نهادها، هکرها توانستند فعالیت خود را پنهان کنند و پرچم های قرمز حمله سایبری را که اغلب شامل تغییر رمز عبور غیر مجاز ، حذف پرونده ها یا بارگیری برنامه های ناشناخته در یک سایت است، کاهش دهند.
وقتی هکرها برای اولین بار وارد سیستم می شوند ، بلافاصله حضور خود را اعلام نمی کنند. آدامز گفت: “آنها طی چند هفته یا ماه اول فقط گذرواژه ها و نام های کاربری را مشاهده و برداشت می کنند.” “سپس، آنها به صورت جانبی حرکت می کنند و به سیستم های دیگر در شبکه دسترسی پیدا می کنند ، در آنجا شروع به سرقت پرونده ها و اطلاعات قابل شناسایی شخصی می کنند.”
در صورت حمله باج افزار – که حمله SolarWinds چنین نبوده است – هکرها تا آنجا که می توانند اطلاعات ارزشمند را جمع آوری می کنند، داده ها را رمزگذاری می کنند و سیستم را خاموش می کنند مگر اینکه قربانی باج بدهد. مقامات آمریکایی هنوز در تلاشند تا دریابند که آیا هک SolarWinds جاسوسی “فقط” برای دستیابی به عملکردهای داخلی بوروکراسی آمریکایی بوده است، یا اینکه کار شرورتر مانند تلاش برای دستیابی به “درب پشت” به سازمان های دولتی انجام شده است.
چگونه یک حمله سایبری بررسی می شود؟
در حقیقت، شناسایی منشأ و انگیزه های پشت حملات سایبری هرگز آسان نیست. اگرچه که یک آدرس IP نشانگر یک شناسه عددی منحصر به فرد است که می تواند در یک دستگاه و مکان خاص ردیابی کرد ولی می توان آن را جعل کرد – درست مانند شماره تلفن یا آدرس ایمیل. متداول ترین روش تحقیق محققان برای ریشه یابی مجرمان، بررسی بدافزارهای جاسازی شده در سیستم های قربانی شده است. غالباً ، مجرمان اینترنتی اظهارنظرها یا یادداشت هایی را در کد می گذارند که به عنوان سرنخ استفاده می شود.
آدامز ، كه بیش از ۲۰ سال تجربه در زمینه امنیت فناوری اطلاعات دارد می گوید: “برنامه نویسان و هكرها دوست دارند مانند هنرمندان آثار خود را امضا كنند – كد آنها یك اثر هنری است.” “بنابراین آنها این کد را به طرق مختلف امضا می کنند. غالباً، آنها حروف اول اسم خود را در کد قرار می دهند یا سعی می کنند ویا حتی و نوعی پیام رمزآمیز قرار را در کدها جا می دهند. ”
با این حال ، هکرها می توانند به راحتی این موضوع را به یک نیرنگ تبدیل کنند تا محققان را از هدف خود دور کنند یا شواهد جعلی تهیه کنند. به عنوان مثال ، یک گروه تبلیغاتی اطلاعات غیرقانونی معروف به Ghostwriter سیستم های مدیریت محتوای سایت های خبری متعددی را در اروپای شرقی هک کرد تا داستان های دروغین درباره تجاوزات نظامی ایالات متحده را منتشر کند، همه به منظور تضعیف ناتو.
آدامز اشاره می کند که در مورد هک SolarWinds، هکرها می توانستند به راحتی نظراتی را در کدی که به زبان روسی نوشته شده قرار دهند تا همه دنیا، روسها را به عنوان هکر در نظر بگیرند، در نتیجه روابط بین ملت های قربانی و مهاجم ادعا شده را نابود می کنند. آدامز گفت: “در مورد این نوع چیزها جعل های زیادی وجود دارد زیرا آنها می دانند که محققان کد آنها را بررسی می کنند و سعی می کنند تعیین کنند چه گروه هکری آن را نوشته است.” “حتی اگر [ایالات متحده وزیر امور خارجه] مایک پمپئو بیرون می آید و می گوید روس ها بوده اند؟ ما نمی دانیم. ”
اساساً، پاسخ حادثه در صورت حمله سایبری به منزله تحقیقات جرم شناسی کامپیوتری است. قبل از شروع هرگونه تحقیق، کارشناسان فناوری اطلاعات باید اطمینان حاصل کنند که هکرها از سیستم به خطر افتاده پاکسازی شده اند. آدامز توضیح داد: “انجام هر نوع تحقیق در هنگام حضور عوامل تهدید به درد شما نمی خورد ، زیرا آنها می توانند به عقب برگردند و با شما ارتباط برقرار کنند ، سیستم ها را به خطر بیاندازند و لاگ ها را حذف کنند.” “شما آنها را بیرون می کنید و آنها دوباره دوباره وارد می شوند.”
معمولاً از یک مشاور شخص ثالث خواسته می شود تا کل شبکه رایانه ای را از نظر بدافزار یا جاسوسی که از سوی هکرها باقی مانده است، بررسی کند. پرونده های ورود به سیستم برای بازسازی وقایع نقض نقشی اساسی دارند تا درک کنند که واقعاً چه اتفاقی افتاده است. اینها پرونده های داده ای تولید شده توسط رایانه هستند که حاوی اطلاعاتی در مورد الگوهای استفاده و فعالیت در سیستم عامل ، سرور یا برنامه هستند.
آدامز گفت: “این واقعاً مانند تحقیقات CSI است.” “آنها اساساً باید جدول زمانی نقض را بر اساس تمام اطلاعات مربوط به گزارش ثبت كنند ، و این بسیار دشوار است زیرا بسیاری از اوقات، بازیگران تهدید یا لاگ های مربوط را تغییر می دهند یا فقط آنها را كاملاً حذف می كنند.”
برخی از شرکت ها و نهادهای دولتی با استفاده از مدیر پایگاه داده شخص ثالث، گزارش های خود را در خارج از سایت ذخیره می کنند تا از دستکاری گزارش ها جلوگیری شود. اگر قربانی یک حمله سایبری پرونده های پرونده را حفظ نکند یا پرونده ها حذف شده و غیرقابل بازیابی باشند، برای محققان ردیابی آنچه اتفاق افتاده و مسئولیت آن “عملاً غیرممکن” است.
آدامز گفت: “در مورد هک Solarwinds داستان های زیادی وجود دارد و همه سعی می كنند بفهمند دقیقاً چه اتفاقی افتاده و چقدر بد بوده است.”
واضح است که ایالات متحده در مورد آنچه که به مردم می گویند بسیار محتاطانه است زیرا آخرین چیزی که می خواهند این است که چیزی را بگویند که درست نیست. و البته سازمانهایی که اینگونه مورد نفوذ قرار می گیرند انگیزه لازم را دارند که این موارد را به حد اقل برسانند. پس اگر به امنیت علاقه مندید پیشنهاد میکنم با دوره CEH وارد این تخصص مورد نیاز و البته پر در آمد شوید.
مطالب زیر را حتما بخوانید
-
اکتیو دایرکتوری (Active Directory) چیست و چگونه کار می کند؟
119 بازدید
-
بخش بندی شبکه (Network Segmentation) چیست؟
183 بازدید
-
۸ راه برای افزایش امنیت شبکه
2.67k بازدید
-
۲۰ اصطلاح مهم امنیت شبکه که باید بدانید
3.16k بازدید
-
SOC چیست؟ تکنولوژی، اهداف و ابزارهای مرکز عملیات امنیت
6.38k بازدید
-
فیشینگ (Phishing) چیست؟ بررسی و نحوه پیشگیری از آن چگونه است
2.55k بازدید
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.