امنیت به زبان ساده: آنچه باید درباره بزرگ ترین حمله زنجیره تامین جهان بدانید

در ماه‌های پایانی سال گذشته میلادی بود که یک کمپین بدافزار بسیار پیچیده آژانس‌های فدرال، دولتی و محلی ایالات متحده را همراه با چند کمپانی خصوصی مانند مایکروسافت تحت تاثیر قرار داد، حمله‌ای که هکرهای روسی پشت آن بودند. تحلیل محققان امنیتی در ماه دسامبر نشان داد که یک گروه ثانویه نیز در حال استفاده از نرم‌افزار شرکت SolarWinds برای هدف قرار دادن سازمان‌های دولتی بوده است و رویترز هم گزارش کرد که به زعم مقامات دولتی، گروهی از هکرهای چینی مسئولیت مجموعه‌ای از رخنه‌های امنیتی به آژانس‌های فدرال را برعهده داشته‌اند.

حمله چینی‌ها به صورت کاملا جداگانه از رخنه بزرگی که در ماه دسامبر اعلام شده بود صورت گرفت. حمله نخست ابعاد بسیار بزرگ‌تری داشت و بنابر گزارش‌ها سیستم ایمیل مورد استفاده از سوی مدیران وزارت خزانه‌داری و سیستم‌های چندین آژانس فدرال دیگر در آمریکا را تحت تاثیر قرار بود. اما رخنه‌های امنیتی از مدت‌ها پیش و در واقع از مارس ۲۰۲۰ آغاز شده بودند، زمانی که هکرها نرم‌افزار مدیریت آی‌تی SolarWinds را مورد سوء استفاده قرار دادند.

شرکت SolarWinds که در تگزاس فعالیت دارد،‌ نرم‌افزاری می‌فروشد که به سازمان‌ها اجازه می‌دهد قادر به پایش هرآنچه در شبکه‌های کامپیوتری می‌گذرد باشند. در حمله مربوط به روس‌ها، هکرها یک کد بدخواهانه را درون یکی از به‌روزرسانی‌های پلتفرم نرم‌افزار قرار دادند که تحت عنوان Orion شناخته می‌شود. حدودا ۱۸ هزار مورد از مشتریان SolarWinds این به‌روزرسانی را روی کامپیوترهای خود نصب کردند. به این ترتیب با فاجعه‌ای در ابعاد بسیار بزرگ روبه‌رو شدیم که هر روز اطلاعات بیشتری از آن به دست می‌آید.

در بیانیه‌ای مشترک که در روز ۱۲ دسامبر منتشر شد، آژانس‌های امنیتی ملی آمریکا گفتند رخنه امنیتی «بسیار عظیم و همچنان در جریان» است. بنابر تحلیل مشترک مایکروسافت و شرکت امنیتی FireEye، که هر دو خود آلوده شده بودند، بدافزار مورد نظر به هکرها اجازه می‌داد به شکلی عمیق به سیستم‌های آلوده دسترسی پیدا کنند. در طرف عکس، گروه چینی در حمله جداگانه خود به سیستم‌های SolarWinds نفوذ نکرد و در عوض به سیستم‌های هدف خود دسترسی یافت و از آسیب‌پذیری موجود در نرم‌افزار Orion که روی آن‌ها اجرا می‌شد سوء استفاده کرد.

مایکروسافت گفت که قادر به شناسایی دستکم ۴۰ مشتری بوده که در حمله روس‌ها هدف قرار داده شدند. هنوز مشخص نیست که چند آژانس دولتی تحت تاثیر کمپین حمله ثانویه قرار گرفتند و کماکان باید منتظر اطلاعات بیشتر ماند. اما تا ارائه جزییات بیشتر، آنچه درباره ماجرای هک SolarWinds می‌دانیم به شرح زیر است:

هکرها چطور بدافزار را درون به‌روزرسانی نرم‌افزاری تعبیه کردند؟

بنابر توضیحات رسمی SolarWinds، هکرها توانستند به سیستمی دسترسی یابند که این کمپانی برای سرهم کردن به‌روزرسانی‌های Orion از آن استفاده می‌کند. از این لحظه به بعد، آن‌ها توانستند کد بدخواهانه را درون به‌روزرسانی نرم‌افزاری معتبر Orion قرار دهند. به این اتفاق «حمله زنجیره تامین» گفته می‌شود،‌ زیرا نرم‌افزار درحالی که در دست اسمبل است آلوده می‌شود.

هکرها باید حسابی ماهر باشند تا بتوانند حمله زنجیره تامین را پیاده‌سازی کند، زیرا بدافزار باید درون یک نرم‌افزار قابل اعتماد پنهان شود. هکرها معمولا باید از آسیب‌پذیری‌های نرم‌افزاری پچ نشده در سیستم‌های هدف خود سوء استفاده کنند یا با کمپین‌های فیشینگ،‌ مردم را فریب دهند تا قادر به دسترسی یافتن به سیستم‌های مد نظر خود باشند. با حمله زنجیره تامین، هکرها می‌توانستند صرفا منتظر این باشند که به‌روزرسانی نرم‌افزاری سر از سیستم‌های آژانس‌های دولتی و کمپانی‌های خصوصی سر در آورد و کار را آغاز کنند.

این رویکرد از آن جهت بسیار موثر واقع شده که هزاران کمپانی و آژانس دولتی در سراسر جهان از نرم‌افزار Orion استفاده می‌کنند. با عرضه به‌روزرسانی نرم‌افزاری آلوده، تقریبا تمام مشتریان Orion به هدفی بالقوه برای هکرها تبدیل شدند.

آیا این نخستین هک نرم‌افزار SolarWinds است؟

در روندی مجزا از ماجرای هک، SolarWinds نیز به خاطر آسیب‌پذیری‌های موجود در نرم‌افزارش به باد انتقاد گرفته شده است. این‌ها خطاهای کدنویسی هستند و ارتباطی به تعبیه بدافزار در سیستم‌های SolarWinds ندارند.

در ماه دسامبر، محققان امنیتی گفتند که کالبدشکافی‌های امنیتی Orion روی سیستم‌های آلوده نشان می‌دهند که یک گروه مجزای دیگر از هکرها هم در تلاش بوده‌اند با Orion برخی سازمان‌ها را هدف قرار دهند. در روز دوم فوریه رویترز گزارش کرد که گروهی از هکرهای احتمالا چینی، آژانس‌های دولتی فدرال را با استفاده از یک نقص در Orion هک کرده‌اند. یکی از مرکز امور مالی دپارتمان کشاورزی آمریکا اما گزارش رویترز مبنی بر رخنه هکرها به سیستم‌هایش را تکذیب کرد.

در روز سوم فوریه، محققان موسسه امنیت سایبری Trustwave اطلاعاتی راجع به سه آسیب‌پذیری گوناگون در محصولات نرم‌افزاری SolarWinds منتشر کردند. البته این باگ‌ها اکنون پچ شده‌اند و شواهدی از استفاده از آن‌ها در حملات هک وجود ندارد.

درباره دخالت روس‌ها چه می‌دانیم؟

مقامات اطلاعاتی آمریکا به صورت عمومی، حمله زنجیره تامین به سیستم‌های داخلی SolarWinds را گردن روسیه انداخته‌اند. پلیس فدرال آمریکا و آژانس امنیت ملی این کشور در همراهی با آژانس امنیت زیرساخت و امنیت سایبری اعلام کردند که هک «به احتمال زیاد ریشه‌های روسی داشته»، اما نامی از یک گروه هک مشخص یا یک آژانس دولتی در روسیه نبرده‌اند.

بعد از این نیز مایک پمپئو، سخنگوی امور خارجه وقت آمریکا در مصاحبه‌ای جداگانه، بار دیگر روسیه را مسئول حملات دانست. همین رویه سپس توسط دیگر مقامات دولت آمریکا در پیش گرفته شد. اما از طرف دیگر،‌ دونالد ترامپ، رییس جمهور وقت آمریکا، کشور چین را مقصر تلقی می‌کرد. SolarWinds و سایر شرکت‌های فعال در حوزه امنیت سایبری را هک را کار «بازیگرانی که حامی دولتی داشته‌اند» اعلام کرده‌اند، اما نامی از یک کشور خاص نبرده‌اند.

سفارت روسیه در آمریکا طی روز ۱۳ دسامبر در بیانیه‌ای هرگونه ارتباط با کمپین هک SolarWinds را تکذیب کرد و گفت: «فعالیت‌های بدخواهانه در فضای اطلاعات، قواعد روابط خارجی روسیه، منافع ملی و درک ما از ارتباطات میان دولت‌ها را نقض می‌کند». سفارت روسیه افزود که «روسیه عملیات‌های نتهاجمی در دنیای سایبری ترتیب نمی‌دهد».

چرا هک زنجیره تامین اهمیت زیادی دارد؟

افزون بر دسترسی یافتن به سیستم‌های دولتی گوناگون، هکرها توانسته‌اند نرم‌افزاری در دست توسعه را تبدیل به سلاح کنند. این سلاح سپس به سمت هزاران گروه و نه فقط آژانس‌ها و کمپانی‌هایی که هکرها روی آن‌ها متمرکز بودند و به‌روزرسانی آلوده Orion را دریافت کردند نشانه گرفته شد.

برد اسمیت، یکی از مدیران مایکروسافت این اتفاق «بی‌پروایی محض» خواند. او مستقیما مسئولیت هک را به گردن دولت روسیه نینداخت، اما این بحث را پیش کشید که کمپین‌های هک پیشین این کشور، اثباتی بر این موضوع است که تنش در فضای سایبری روز به روز بالا می‌گیرد.

اسمیت گفت: «این صرفا حمله‌ای به اهداف مشخص نیست، بلکه حمله‌ای به اتکاپذیری زیرساخت‌های حیاتی جهان است تا آژانس‌های امنیتی یک کشور بتوانند دست بالا را داشته باشند». او سپس خواستار توافق‌نامه‌ای بین‌المللی شد تا ساخت ابزارهای هک محدود شود و امنیت سایبری جهان بیش از این به خطر نیفتد.

الکس استاموس، مدیر امنیت سایبری پیشین فیسبوک در روز ۱۸ دسامبر گفت که بعد از این هک، حملات زنجیره تامین شکلی رایج‌تر به خود خواهند گرفت. البته او در عین حال گفت که برای یک آژانس امنیتی که به تمام منابع مورد نیاز خود دسترسی دارد، چنین هکی آنقدرها خرق عادت به حساب نمی‌آید.

آیا کمپانی‌های خصوصی و سایر دولت‌ها هم از بدافزار ضربه خوردند؟

بله. مایکروسافت در روز ۱۷ دسامبر تایید کرد که شواهدی از وجود بد‌افزار را در سیستم‌هایش یافته است و چند روز پیشتر نیز تایید کرده بود که این رخنه برخی از مشتریانش را تحت تاثیر قرار داده. در یکی از گزارش‌های رویترز نیز آمده که از سیستم‌های خود مایکروسافت برای پیشبرد هرچه بیشتر کمپین هک استفاده شده، اما مایکروسافت ادعای این خبرگزاری را رد کرد. در روز ۱۶ دسامبر، مایکروسافت تصمیم به قرنطینه کردن آن ورژن‌ها از Orion که حاوی بدافزار بودند گرفت تا دسترسی هکرها به سیستم‌های مشتریانش قطع شود.

FireEye هم تایید کرده که شبکه‌اش به بدافزار آلوده بوده و رد پای آن را در سیستم‌های مشتریان خود نیز دیده است.

وال استریت ژورنال در روز ۲۱ دسامبر گفت که حداقل ۲۴ کمپانی را شناسایی کرده که نرم‌افزار بدخواهانه را نصب کرده‌اند. از جمله این شرکت‌ها می‌توان به سیسکو، اینتل، انویدیا، VMWare و بلکین اشاره کرد. هکرها ظاهرا به بیمارستان‌های ایالت کالیفرنیا و همینطور دانشگاه کنت استیت هم دسترسی یافتند.

هنوز مشخص نیست دیگر کدام مشتریان خصوصی SolarWinds به بدافزار آلوده شده‌اند. اما برای اینکه ذهنیتی روشن از ماجرا داشته باشید باید گفت که در لیست مشتریان SolarWinds نام‌هایی نظیر AT&T ،Procter & Gamble و مک‌دونالدز هم به چشم می‌خورد. این کمپانی ضمنا تنها به مشتریان آمریکایی خدمات نمی‌رساند و مشتریان دولتی و خصوصی در سراسر جهان دارد. FireEye می‌گوید بسیاری از آن مشتریان هم آلوده شده‌اند.