مع نهاية العام الماضي استيقظ خبراء أمن
المعلومات في الولايات المتحدة الامريكية على كارثة أمنية باختراق اكبر الشركات و
المؤسسات الامريكية من ضمنها شركات مثل مايكروسوفت و مؤسسات حكومية مثل الخزانة
الامريكية و سنتحدث فيها هذا المقال عن تفاصيل هذا الهجوم و ابعاده.
البداية كانت بتحليل
الجهة المهاجمة للبنية التحتية الامريكية و معرفة البرمجيات التي تستخدمها هذه
المؤسسات لمراقبة اداء الانظمة و الاجهزة الالكترونية (و هذا في الغالب عمل
مخابراتي لان الحصول على مثل هذه المعلومات يتطلب الوصول الى داخل هذه المؤسسات) و
بعد التحليل الاولي وضع المهاجمون اعينهم على منتج شركة Solarwind المسمى Orion و هو برنامج مختص
بمراقبة اداء الانظمة و الشبكات و مثل هذا البرنامج وبطبيعة عمله يحتاج للاتصال
المباشر بأجهزة الشبكة عن طريق اداة للمراقبة مثبتة على تلك الاجهزة او تمليك
البرنامج بيانات الدخول حتى يتمكن البرنامج من جمع البيانات و تحليلها لتقديم
قراءة صحيحة عن وضع الاجهزة و الانظمة بالشبكة و من هنا يمكننا ان نفهم سر اهتمام
المهاجمين بهذا البرنامج تحديدا.
بعد تحديد الهدف استطاع
المهاجمون وضع تحديث للبرنامج على موقع الشركة ومهر بتحديث عاجل او ما يعرف
ب hotfix وتم توزيعه على
كل انظمة Solarwind Orion في الفترة بين
مارس 2020 ومايو 2020 (وضع التحديث بهذه الطريقة ايضا يوحي بأن الهجوم كان برعاية
وتنفيذ دولة وليس مجرد هجوم طبيعي من مهاجمين عاديين لان وضع هذا التحديث يحتاج
لاختراق داخلي للشركة للدفع بهذا التحديث الملغم).
التحديث الملغم مصحوب
بفيروس يتيح للمهاجم الدخول على الخدمات والشبكة عن طريق منفذ جديد اضيف مع تثبيت
التحديث ويسمى في علم امن المعلومات بال backdoor وفي هذه الهجمة تمت تسمية المنفذ SUNBRUST او "الاشعاع الشمسي". هذا المنفذ لا يبدأ في العمل
الا بعد 14 يوم من التثبيت وهي محاولة لإخفاء الفيروس بقدر الامكان وايضا هذا
الفيروس مختوم بختم الشركة الرقمي وهذا يوضح مدى تجهيز هذه الفئة لهذه العملية.
بعد 14 يوم يقوم الفيروس بالعمل بوضع نوعين معروفات من انواع فيروسات التحكم عن
بعد في ذاكرة الدخول العشوائي لان الفيروسات على مستوى الذاكرة العشوائية صعب جدا
معرفتها لأنها لا تترك اي اثر على ذاكرة التخزين الدائمة مثل الهارديسك و الاوامر
بتكون ممهورة بالرخصة الرقمية ل Solarwind و ما بتكون مشكوك فيها بالنسبة للأجهزة او المراقبين لأنها
تعتبر بيانات من الشركة بتوقيعها.
بعد ما تنزل فيروسات
التحكم على الذاكرة العشوائية (حسب التقارير هي TEARDROP AND BEACON ) بتبدأ عميلة التحكم و ارسال البيانات و التحكم بكون من
واحد من العناوين الموثوقة بالنسبة للشركة او المؤسسة و ذلك لحماية الهوية
الحقيقية للمهاجمين و تقليل فرص الاكتشاف لأقل نسبة ممكنة. بعد التحكم وتحديد
البيانات المهمة بالنسبة للمهاجم يتم تسريبها عن طريق عناوين داخل الولايات
المتحدة الامريكية و هذا الاجراء لإخفاء هوية الدولة التي ينتمي لها المهاجمون و
تم ذلك بالاستفادة من خاصية ال VPS التي تتيح وضع "سيرفرات" في منطقة مختلفة من
العالم عن المنطقة التي يتواجد بها المهاجمون.
ما يوضح عمق الهجوم ان
المهاجمين لم يقوموا فقط باختراق هذه المؤسسات بل استخدم هذا الاختراق كمدخل
لاختراقات اخرى عن طريق سرقة بيانات دخول والشهادات الرقمية لشركات اخرى مثل شركة
مايكروسوفت الاعلنت عن فقدانها لشهادات رقمية ورخص الكترونية خاصة بالشركة و من
الواضح انه الهجوم كان ممرحل و يتكون من خطوات حتى ما بعد الاختراق و طريقة
الانتقال من شركة للثانية و من الواضح اننا ما زلنا في مواجهة راس جبل الجليد في
هذا الاختراق.