تكنيك حمله به SolarWinds مي‌تواند توسط هكرهاي ديگر استفاده شود

حمله‌ي گسترده‌ي اخير به نرم‌افزار سازماني شركت سولار ويندز (SolarWinds) تعداد بسيار زيادي از شركت‌هاي فعال در ايالات متحده‌ي آمريكا را متأثر كرد كه در بين آن‌ها آژانس‌هاي دولتي آمريكايي نيز به ‌چشم مي‌خورند. تحليلگران مي‌گويند منبع اصلي حملات به روسيه برمي‌گردد.

براساس مقاله‌ي وايرد، يكي از ترسناك‌ترين جنبه‌هاي حمله به SolarWinds،‌ استفاده‌ي موفقيت‌آميز از تكنيك حمله‌ي زنجيره‌ي تأمين (Supply Chain Attack) بود كه در نتيجه‌ي آن، ده‌ها هزار شركتي كه مشغول استفاده يك نرم‌افزار سازماني بودند، تبديل ‌به هدف بالقوه شدند.

اين موضوع تنها ويژگي برجسته‌ي حمله‌‌ي سايبري به SolarWinds محسوب نمي‌شود. پس از هدف قرار دادن نرم‌افزار سازماني SolarWinds، هكرها با اتكا بر استراتژي‌هايي ساده و ظريف، عميق‌تر وارد شبكه‌هاي شركتي قربانيان شدند. در همين راستا به‌تازگي محققان امنيتي نگراني خود را از افزايش اين تكنيك در حملات سايبري ابراز كرد‌ه‌اند. 

هكرهاي SolarWinds در بسياري از مواقع از دسترسي‌‌شان براي نفوذ به سرويس‌هاي رايانامه مايكروسافت ۳۶۵ (Microsoft 365) و زيرساخت ابري مايكروسافت آژور (Microsoft Azure Cloud) استفاده كردند. مايكروسافت ۳۶۵ و مايكروسافت آژور دو سرويس بسيار بزرگ و محبوب هستند و گنجينه‌اي از داده‌هاي ارزشمند دارند.

چالش جلوگيري از اين نوع نفوذ به مايكروسافت ۳۶۵ و آژور اين است كه وابسته ‌به آسيب‌پذيري خاصي نيستند كه بتوان به‌راحتي آن را با ارتقا سيستم، بهبود داد. به‌ جاي آن، هكرها با استفاده از حمله‌اي اوليه، در موقعيتي قرار مي‌گيرند كه بتوانند سرويس‌هاي مايكروسافت ۳۶۵ و آژور را به‌ گونه‌اي اصلاح كنند كه انگار يكي از متخصصان مايكروسافت چنين كاري انجام داده است؛ با اين كار عملا همه ‌چيز طبيعي به ‌انديشه متخصصين مي‌رسد. در مورد حملات سايبري SolarWinds، اين تكنيك به‌ شكل گسترده اثرگذار بود. 

در حملات اخير هكرها سراغ يكي از نرم‌افزارهاي SolarWinds رفتند كه با نام Orion شناخته مي‌شود؛ سپس به‌روزرساني‌ حاوي بدافزار را براي Orion منتشر كردند كه باعث شد امكان دسترسي به شبكه‌ي تمامي مشتريان SolarWinds كه به‌روزرساني را دانلود كرده بودند فراهم شود.

از اين مرحله به بعد، هكرها مي‌توانستند به ‌لطف بدافزار، به سيستم قربانيان دسترسي پيدا كنند و كنترل گواهي‌ها و كليدهايي كه براي توليد توكن‌ تصديق هويت سيستم (SAML) در مايكروسافت ۳۶۵ و مايكروسافت آژور استفاده مي‌شود به ‌دست بگيرند. سازمان‌هاي مختلف به‌طور محلي از طريق سرويس‌ Active Directory Federation مايكروسافت، زيرساخت‌هاي سيستم تصديق هويت را مديريت مي‌كنند و به سرورهاي ابري متكي نمي‌شوند. 

زماني‌كه هكرها به ‌حدي در شبكه دسترسي داشته باشند كه بتوانند سيستم تصديق هويت را دست‌كاري كنند، مي‌توانند براي خود توكن اختصاصي معتبر بسازند و به ‌لطف آن به تمامي حساب‌هاي متخصصي مايكروسافت ۳۶۵ و آژور در آن سازمان دسترسي پيدا كنند. به‌منظور دسترسي به حساب‌هاي متخصصي، هيچ نيازي به وارد كردن رمز عبور يا احراز هويت چند عاملي وجود ندارد.

از اين‌جا به بعد، هكرها توانايي ايجاد حساب‌ متخصصي جديد دارند و مي‌توانند بالاترين دسترسي ممكن را به حساب متخصصي اختصاصي خود بدهند تا بدون روبه‌رو شدن با محدوديت و بدون اينكه اشكالي پيش بيايد، هر كاري در شبكه انجام بدهند.

در ماه پاياني سال گذشته‌ي ميلادي مايكروسافت اعلام كرد تكنيك‌هاي مورد مباحثه به حملات SolarWinds ارتباط دارند. ردموندي‌ها اعتقاد دارند دولت‌ها و شركت‌هاي بخش خصوصي بايد به ‌شكل روزافزون در حوزه‌ي فعاليت‌هاي دولت-ملت سياست‌ شفاف در پيش بگيرند تا همچنان بتوان به‌صورت جهاني از اينترنت محافظت كرد. مايكروسافت اميدوار است رسانه‌اي كردن موضوع SolarWinds باعث افزايش آگاهي سازمان‌ها و افراد درباره‌ي اقداماتي شود كه مي‌توانند براي محافظت از خود انجام دهند.

در همان ماه آژانس امنيت ملي ايالات متحده‌ي آمريكا (NSA) جزئيات تكنيك‌هاي حملات SolarWinds را در مقاله‌اي منتشر كرد كه براساس آن، ‌هنگام استفاده از سرويس‌هايي كه فرايند تصديق هويت را انجام مي‌دهند، بايد حتما مطمئن شويد كه شبكه براي هرگونه اشكال امنيتي آماده باشد. در غير اين‌صورت امكان ايجاد توكن SAML جعلي توسط هكرها وجود دارد كه به‌ كمك آن مي‌توانند به منابع زيادي دسترسي پيدا كنند. 

حال ‌كه جزئيات تكنيك‌هاي حملات SolarWinds به‌صورت كاملا عمومي در دسترس قرار گرفته، ممكن است هكرهاي بيشتري مشغول استفاده از آن‌ها شوند و سازمان‌هاي بيشتري در معرض خطر باشند. برخي از محققان امنيتي سال‌ها است هشدار مي‌دهند كه دست‌كاري توكن‌ SAML براي تقريبا تمامي متخصصان سرويس‌هاي ابري، پرمخاطره محسوب مي‌شود؛ نه فقط براي كساني كه متكي ‌بر پلتفرم آژور هستند.

در سال ۲۰۱۷ شيكد راينر، محققي در شركت CyberArk، جزئيات برخي از يافته‌هاي خود درباره‌ي تكنيك موردمباحثه (GoldenSAML) را منتشر كرد. راينر مي‌گويد هكرها در چند سال گذشته زياد از GoldenSAML استفاده نكرده‌اند؛ زيرا اين روش به دسترسي سطح بالا نياز دارد. بااين‌حال او همواره شاهد افزايش استفاده از اين تكنيك بوده است كه با توجه به اثرگذاري آن، اجتناب‌ناپذير است. اين محقق امنيتي وقتي متوجه شده هكرهاي SolarWinds از اين تكنيك استفاده كرده‌اند، متعجب نشده است؛ زيرا با تمام چالش‌هاي اين تكنيك، استفاده از آن كاملا ارزش دارد و دسترسي‌هاي زيادي در اختيار هكر قرار مي‌دهد.

شيكد راينر مي‌گويد: «از آن‌جايي كه هكرهاي SolarWinds به ‌شكل بسيار موفقيت‌آميز از آن استفاده كردند، مطمئن هستم كه هكرهاي ديگر از فرايند اين حمله يادداشت‌برداري خواهند كرد و از اين پس بيشتر و بيشتر سراغ استفاده از آن خواهند رفت.» 

Mandiant و CyberArk ‌اكنون در تلاش هستند كه به مشتريان خود براي اقدامات امنيتي كمك كنند. با اين كمك‌ها، مشتريان دو شركت يادشده مي‌توانند جلوي انجام حملات Golden SAML را بگيرند يا اگذ تشخيص بدهند اين حملات درحال انجام هستند، به‌سرعت به آن‌ها پاسخ بدهند.

 Mandiant چند روز پيش مقاله‌اي منتشر كرد تا بگويد سازمان‌ها چگونه مي‌توانند مطالعه كنند كه آيا حملات نوع Golden SAML عليه آن‌ها انجام شده است يا خير. سپس مي‌توانند سيستم‌هايي روي كار بياورند تا كار را براي هكرها سخت كنند. سازمان‌ها بايد مطمئن شوند كه «سرويس‌هاي ارائه‌دهنده‌ي هويت» آن‌ها نظير سرورهايي كه حاوي گواهي‌ توكن هستند به‌درستي پيكربندي شده باشند. دسترسي به سيستم‌هاي تصديق هويت بايد بسيار محدود شود تا حساب‌هاي متخصصي زيادي اجازه‌ي اصلاح آن‌ها را نداشته باشند. به‌علاوه سازمان‌ها بايد حتما روي نحوه‌ي استفاده از توكن‌ نظارت كنند تا هرگونه فعاليت غير عادي را سريعا تشخيص بدهند.

راينر مي‌گويد هرچه تعداد سازمان‌هاي متكي ‌بر سرور ابري افزايش مي‌يابد، استفاده‌ از  SAML  بيشتر مي‌شود. سازمان‌ها بايد آماده باشند؛ زيرا  اين تكنيك‌ را نمي‌توانيم آسيب‌پذيري خطاب كنيم؛ بلكه بخشي از ذات پروتكل است. به‌همين دليل فعلا قرار است با اشكالي كه SolarWinds را متأثر كرد روبه‌رو شويم.