تكنيك حمله به SolarWinds ميتواند توسط هكرهاي ديگر استفاده شود
حملهي گستردهي اخير به نرمافزار سازماني شركت سولار ويندز (SolarWinds) تعداد بسيار زيادي از شركتهاي فعال در ايالات متحدهي آمريكا را متأثر كرد كه در بين آنها آژانسهاي دولتي آمريكايي نيز به چشم ميخورند. تحليلگران ميگويند منبع اصلي حملات به روسيه برميگردد.
براساس مقالهي وايرد، يكي از ترسناكترين جنبههاي حمله به SolarWinds، استفادهي موفقيتآميز از تكنيك حملهي زنجيرهي تأمين (Supply Chain Attack) بود كه در نتيجهي آن، دهها هزار شركتي كه مشغول استفاده يك نرمافزار سازماني بودند، تبديل به هدف بالقوه شدند.
اين موضوع تنها ويژگي برجستهي حملهي سايبري به SolarWinds محسوب نميشود. پس از هدف قرار دادن نرمافزار سازماني SolarWinds، هكرها با اتكا بر استراتژيهايي ساده و ظريف، عميقتر وارد شبكههاي شركتي قربانيان شدند. در همين راستا بهتازگي محققان امنيتي نگراني خود را از افزايش اين تكنيك در حملات سايبري ابراز كردهاند.
هكرهاي SolarWinds در بسياري از مواقع از دسترسيشان براي نفوذ به سرويسهاي رايانامه مايكروسافت ۳۶۵ (Microsoft 365) و زيرساخت ابري مايكروسافت آژور (Microsoft Azure Cloud) استفاده كردند. مايكروسافت ۳۶۵ و مايكروسافت آژور دو سرويس بسيار بزرگ و محبوب هستند و گنجينهاي از دادههاي ارزشمند دارند.
چالش جلوگيري از اين نوع نفوذ به مايكروسافت ۳۶۵ و آژور اين است كه وابسته به آسيبپذيري خاصي نيستند كه بتوان بهراحتي آن را با ارتقا سيستم، بهبود داد. به جاي آن، هكرها با استفاده از حملهاي اوليه، در موقعيتي قرار ميگيرند كه بتوانند سرويسهاي مايكروسافت ۳۶۵ و آژور را به گونهاي اصلاح كنند كه انگار يكي از متخصصان مايكروسافت چنين كاري انجام داده است؛ با اين كار عملا همه چيز طبيعي به انديشه متخصصين ميرسد. در مورد حملات سايبري SolarWinds، اين تكنيك به شكل گسترده اثرگذار بود.
تكنيك هكرها ده هزار شركت مجهز به نرمافزار سازماني SolarWinds را تبديل به هدف بالقوه كرد
متيو مكويرت، از مديران Mandiant Fireeye كه پيش از بقيه موفق شد در اوايل ماه دسامبر ۲۰۲۰ (اواسط آذر ۱۳۹۹) پويش هك روسيه را براي SolarWinds شناسايي كند، ميگويد امروزه هكرهاي ديگري وجود دارند كه قطعا سراغ استفاده از اين نوع تكنيك خواهند رفت؛ زيرا دنبال راهكاري ميگردند كه حملات سايبري را به نتيجه برساند.
در حملات اخير هكرها سراغ يكي از نرمافزارهاي SolarWinds رفتند كه با نام Orion شناخته ميشود؛ سپس بهروزرساني حاوي بدافزار را براي Orion منتشر كردند كه باعث شد امكان دسترسي به شبكهي تمامي مشتريان SolarWinds كه بهروزرساني را دانلود كرده بودند فراهم شود.
از اين مرحله به بعد، هكرها ميتوانستند به لطف بدافزار، به سيستم قربانيان دسترسي پيدا كنند و كنترل گواهيها و كليدهايي كه براي توليد توكن تصديق هويت سيستم (SAML) در مايكروسافت ۳۶۵ و مايكروسافت آژور استفاده ميشود به دست بگيرند. سازمانهاي مختلف بهطور محلي از طريق سرويس Active Directory Federation مايكروسافت، زيرساختهاي سيستم تصديق هويت را مديريت ميكنند و به سرورهاي ابري متكي نميشوند.
زمانيكه هكرها به حدي در شبكه دسترسي داشته باشند كه بتوانند سيستم تصديق هويت را دستكاري كنند، ميتوانند براي خود توكن اختصاصي معتبر بسازند و به لطف آن به تمامي حسابهاي متخصصي مايكروسافت ۳۶۵ و آژور در آن سازمان دسترسي پيدا كنند. بهمنظور دسترسي به حسابهاي متخصصي، هيچ نيازي به وارد كردن رمز عبور يا احراز هويت چند عاملي وجود ندارد.
از اينجا به بعد، هكرها توانايي ايجاد حساب متخصصي جديد دارند و ميتوانند بالاترين دسترسي ممكن را به حساب متخصصي اختصاصي خود بدهند تا بدون روبهرو شدن با محدوديت و بدون اينكه اشكالي پيش بيايد، هر كاري در شبكه انجام بدهند.
در ماه پاياني سال گذشتهي ميلادي مايكروسافت اعلام كرد تكنيكهاي مورد مباحثه به حملات SolarWinds ارتباط دارند. ردمونديها اعتقاد دارند دولتها و شركتهاي بخش خصوصي بايد به شكل روزافزون در حوزهي فعاليتهاي دولت-ملت سياست شفاف در پيش بگيرند تا همچنان بتوان بهصورت جهاني از اينترنت محافظت كرد. مايكروسافت اميدوار است رسانهاي كردن موضوع SolarWinds باعث افزايش آگاهي سازمانها و افراد دربارهي اقداماتي شود كه ميتوانند براي محافظت از خود انجام دهند.
در همان ماه آژانس امنيت ملي ايالات متحدهي آمريكا (NSA) جزئيات تكنيكهاي حملات SolarWinds را در مقالهاي منتشر كرد كه براساس آن، هنگام استفاده از سرويسهايي كه فرايند تصديق هويت را انجام ميدهند، بايد حتما مطمئن شويد كه شبكه براي هرگونه اشكال امنيتي آماده باشد. در غير اينصورت امكان ايجاد توكن SAML جعلي توسط هكرها وجود دارد كه به كمك آن ميتوانند به منابع زيادي دسترسي پيدا كنند.
محققان امنيتي ميگويند شركتها بايد از اين پس بسيار هشيار باشند
از زمان حملات SolarWinds، مايكروسافت ابزارهاي نظارتي Azure Sentinel را افزايش داده است. بهعلاوه شركت Mandiant ابزاري منتشر كرده است كه به سازمانها و افراد امكان ميدهد استفاده از توكنهاي دسترسي به مايكروسافت ۳۶۵ و آژور را مطالعه كنند.
حال كه جزئيات تكنيكهاي حملات SolarWinds بهصورت كاملا عمومي در دسترس قرار گرفته، ممكن است هكرهاي بيشتري مشغول استفاده از آنها شوند و سازمانهاي بيشتري در معرض خطر باشند. برخي از محققان امنيتي سالها است هشدار ميدهند كه دستكاري توكن SAML براي تقريبا تمامي متخصصان سرويسهاي ابري، پرمخاطره محسوب ميشود؛ نه فقط براي كساني كه متكي بر پلتفرم آژور هستند.
در سال ۲۰۱۷ شيكد راينر، محققي در شركت CyberArk، جزئيات برخي از يافتههاي خود دربارهي تكنيك موردمباحثه (GoldenSAML) را منتشر كرد. راينر ميگويد هكرها در چند سال گذشته زياد از GoldenSAML استفاده نكردهاند؛ زيرا اين روش به دسترسي سطح بالا نياز دارد. بااينحال او همواره شاهد افزايش استفاده از اين تكنيك بوده است كه با توجه به اثرگذاري آن، اجتنابناپذير است. اين محقق امنيتي وقتي متوجه شده هكرهاي SolarWinds از اين تكنيك استفاده كردهاند، متعجب نشده است؛ زيرا با تمام چالشهاي اين تكنيك، استفاده از آن كاملا ارزش دارد و دسترسيهاي زيادي در اختيار هكر قرار ميدهد.
شيكد راينر ميگويد: «از آنجايي كه هكرهاي SolarWinds به شكل بسيار موفقيتآميز از آن استفاده كردند، مطمئن هستم كه هكرهاي ديگر از فرايند اين حمله يادداشتبرداري خواهند كرد و از اين پس بيشتر و بيشتر سراغ استفاده از آن خواهند رفت.»
Mandiant و CyberArk اكنون در تلاش هستند كه به مشتريان خود براي اقدامات امنيتي كمك كنند. با اين كمكها، مشتريان دو شركت يادشده ميتوانند جلوي انجام حملات Golden SAML را بگيرند يا اگذ تشخيص بدهند اين حملات درحال انجام هستند، بهسرعت به آنها پاسخ بدهند.
Mandiant چند روز پيش مقالهاي منتشر كرد تا بگويد سازمانها چگونه ميتوانند مطالعه كنند كه آيا حملات نوع Golden SAML عليه آنها انجام شده است يا خير. سپس ميتوانند سيستمهايي روي كار بياورند تا كار را براي هكرها سخت كنند. سازمانها بايد مطمئن شوند كه «سرويسهاي ارائهدهندهي هويت» آنها نظير سرورهايي كه حاوي گواهي توكن هستند بهدرستي پيكربندي شده باشند. دسترسي به سيستمهاي تصديق هويت بايد بسيار محدود شود تا حسابهاي متخصصي زيادي اجازهي اصلاح آنها را نداشته باشند. بهعلاوه سازمانها بايد حتما روي نحوهي استفاده از توكن نظارت كنند تا هرگونه فعاليت غير عادي را سريعا تشخيص بدهند.
به گفتهي محققان امنيتي، براي مثال بايد حواستان به توكنهايي باشد كه ماهها يا سالها پيش صادر شدهاند؛ اما چند هفتهي پيش براي انجام فرايند تصويق هويت از آنها استفاده شده است. راينر ميگويد سازمانهايي كه سيستم نظارتي قوي دارند، ميتوانند اقدامات هكرها براي از بين بردن سرنخها را تشخيص بدهند. مثلا اگر توكني ميبينيد كه به شكل گسترده مورد استفاده قرار ميگيرد اما نميتوانيد به دادههاي مربوط به زمان صدور آن دسترسي پيدا كنيد، ممكن است براي انجام فعاليتهاي مخرب مورد استفاده قرار گرفته باشد.
راينر ميگويد هرچه تعداد سازمانهاي متكي بر سرور ابري افزايش مييابد، استفاده از SAML بيشتر ميشود. سازمانها بايد آماده باشند؛ زيرا اين تكنيك را نميتوانيم آسيبپذيري خطاب كنيم؛ بلكه بخشي از ذات پروتكل است. بههمين دليل فعلا قرار است با اشكالي كه SolarWinds را متأثر كرد روبهرو شويم.
هم انديشي ها