شرح: هجوم إلكتروني ضخم في الولايات المتحدة ، باستخدام مجموعة جديدة من الأدوات

أحد أكبر الهجمات الإلكترونية التي استهدفت الوكالات الحكومية الأمريكية والشركات الخاصة ، يُنظر إلى 'اختراق SolarWinds' على أنه جهد عالمي محتمل. كيف تم تنفيذها ، وما نوع البيانات التي تم اختراقها؟ لماذا سمى مسؤولو الحكومة الأمريكية والساسة روسيا؟

شرح شركة إنديان إكسبرس: SolarWinds ، اختراق SolarWinds ، هجوم إلكتروني أمريكي ، فايري ، هجوم روسي إلكتروني عليناكان الهدف من الهجوم الإلكتروني هو Orion ، وهو برنامج قدمته شركة SolarWinds. (صورة رويترز)

ظهر 'اختراق SolarWinds' ، وهو هجوم إلكتروني تم اكتشافه مؤخرًا في الولايات المتحدة ، كواحد من الأكبر على الإطلاق تستهدف حكومة الولايات المتحدة ووكالاتها والعديد من الشركات الخاصة الأخرى. في الواقع ، من المحتمل أن يكون هجومًا إلكترونيًا عالميًا.



تم اكتشافه لأول مرة من قبل شركة الأمن السيبراني الأمريكية FireEye ، ومنذ ذلك الحين يستمر ظهور المزيد من التطورات كل يوم. لا يزال النطاق الهائل للهجوم السيبراني غير معروف ، على الرغم من أنه يعتقد أن وزارة الخزانة الأمريكية ووزارة الأمن الداخلي ووزارة التجارة وأجزاء من البنتاغون قد تأثرت.

في مقالة رأي مكتوب ل اوقات نيويورك توماس بي بوسرت ، الذي كان مستشارًا للأمن الداخلي للرئيس دونالد ترامب ، قد عين روسيا في الهجوم. كتب أدلة في نقاط هجوم SolarWinds إلى وكالة المخابرات الروسية المعروفة باسم SVR ، والتي تعد مهارتها من بين أكثر التقنيات تقدمًا في العالم. ونفى الكرملين تورطه.





إذن ، ما هو هذا 'اختراق SolarWinds'؟

ظهرت أخبار الهجوم الإلكتروني من الناحية الفنية لأول مرة في 8 ديسمبر ، عندما أصدرت FireEye مدونة اكتشفت هجومًا على أنظمتها. تساعد الشركة في إدارة الأمن للعديد من الشركات الخاصة الكبرى والوكالات الحكومية الفيدرالية.

كتب الرئيس التنفيذي لشركة FireEye ، كيفين مانديا ، في مدونة قال فيها إن الشركة تعرضت للهجوم من قبل ممثل تهديد متطور للغاية ، واصفا إياها بأنها هجوم ترعاه الدولة ، على الرغم من أنها لم تذكر اسم روسيا. وقالت إن الهجوم نفذته دولة تتمتع بقدرات هجومية من الدرجة الأولى ، وأن المهاجم سعى في المقام الأول للحصول على معلومات تتعلق بعملاء حكوميين معينين. وقالت أيضا إن الأساليب التي استخدمها المهاجمون كانت جديدة.



ثم في 13 كانون الأول (ديسمبر) ، قالت FireEye إن الهجوم الإلكتروني ، الذي أطلق عليه اسم Campaign UNC2452 ، لم يتم إلحاقه بالشركة ولكنه استهدف العديد من المؤسسات العامة والخاصة في جميع أنحاء العالم. وقال المنشور إن الحملة بدأت على الأرجح في مارس آذار 2020 وهي مستمرة منذ شهور. والأسوأ من ذلك ، أن حجم البيانات المسروقة أو المُخترقة لا يزال مجهولًا ، نظرًا لأن حجم الهجوم لا يزال قيد الاكتشاف. بعد اختراق الأنظمة ، حدثت حركة جانبية وسرقة البيانات.

نضم الان :شرح اكسبرس قناة برقية

كيف تعرضت العديد من الوكالات والشركات الحكومية الأمريكية للهجوم؟



يُطلق على هذا هجوم 'سلسلة التوريد': بدلاً من مهاجمة الحكومة الفيدرالية أو شبكة مؤسسة خاصة بشكل مباشر ، يستهدف المتسللون مورِّدًا تابعًا لجهة خارجية يزودهم بالبرامج. في هذه الحالة ، كان الهدف عبارة عن برنامج لإدارة تكنولوجيا المعلومات يسمى Orion ، قدمته شركة SolarWinds ومقرها تكساس.

كان Orion برنامجًا مهيمنًا من SolarWinds مع العملاء ، والذي يشمل أكثر من 33000 شركة. تقول SolarWinds أن 18000 من عملائها قد تأثروا. بالمناسبة ، قامت الشركة بحذف قائمة العملاء من مواقعها الرسمية.



وفقًا للصفحة ، التي تم حذفها أيضًا من أرشيفات الويب الخاصة بـ Google ، تضم القائمة 425 شركة في Fortune 500 ، وهي أكبر 10 شركات اتصالات في الولايات المتحدة. ذكر تقرير لصحيفة نيويورك تايمز أن أجزاء من البنتاغون ومراكز السيطرة على الأمراض والوقاية منها ووزارة الخارجية ووزارة العدل وغيرها ، قد تأثرت.

وأكدت مايكروسوفت أنها عثرت على دليل على وجود برمجيات خبيثة على أنظمتها ، رغم أنها أضافت أنه لا يوجد دليل على الوصول إلى خدمات الإنتاج أو بيانات العملاء ، أو أن أنظمتها استخدمت لمهاجمة الآخرين. قال رئيس Microsoft ، براد سميث ، إن الشركة بدأت في إخطار أكثر من 40 عميلًا بأن المهاجمين استهدفوا بشكل أكثر دقة وتعرضوا للخطر.



وذكر تقرير لرويترز أنه حتى رسائل البريد الإلكتروني التي أرسلها مسؤولو وزارة الأمن الداخلي تمت مراقبتها من قبل المتسللين.

كيف تمكنوا من الوصول؟



وفقًا لـ FireEye ، تمكن المتسللون من الوصول إلى الضحايا عبر تحديثات طروادة لبرنامج Orion لمراقبة تكنولوجيا المعلومات وإدارتها من SolarWinds. في الأساس ، تم استغلال تحديث البرنامج لتثبيت البرنامج الضار 'Sunburst' في Orion ، والذي تم بعد ذلك تثبيته بواسطة أكثر من 17000 عميل.

يقول FireEye إن المهاجمين اعتمدوا على تقنيات متعددة لتجنب اكتشافهم وإخفاء نشاطهم. كان البرنامج الضار قادرًا على الوصول إلى ملفات النظام. ما نجح لصالح البرمجيات الخبيثة هو أنها كانت قادرة على الاندماج مع نشاط SolarWinds الشرعي ، وفقًا لـ FireEye.

بمجرد التثبيت ، أعطت البرامج الضارة دخولًا خلفيًا للقراصنة إلى أنظمة وشبكات عملاء SolarWinds. والأهم من ذلك ، أن البرنامج الضار كان قادرًا أيضًا على إحباط أدوات مثل مكافحة الفيروسات التي يمكنها اكتشافها.

من أين تأتي روسيا؟

في مقال الرأي الذي نشره في صحيفة نيويورك تايمز ، قام بوسرت بتسمية روسيا ووكالتها SVR ، التي لديها القدرة على تنفيذ هجوم بهذه البراعة والحجم.

لاحظت Microsoft في مدونتها أن هذا الجانب من الهجوم خلق ثغرة أمنية في سلسلة التوريد ذات أهمية عالمية تقريبًا ، ووصلت إلى العديد من العواصم الوطنية الكبرى خارج روسيا. وتضيف أن الهجمات المتطورة من روسيا أصبحت شائعة.

ومع ذلك ، لم تحدد FireEye روسيا حتى الآن بصفتها مسؤولة وقالت إن هذا تحقيق مستمر مع مكتب التحقيقات الفيدرالي ومايكروسوفت وشركاء رئيسيين آخرين لم يتم الكشف عن أسمائهم.

لا تفوت من شرح|كيف تحمي النساء بالبروتين الذي يسمح بانتشار الفيروس التاجي

ماذا قالت شركة SolarWinds والحكومة الأمريكية عن الاختراق؟

في الوقت الحالي ، توصي SolarWinds جميع العملاء بتحديث نظام Orion الأساسي الحالي على الفور ، والذي يحتوي على تصحيح لهذه البرامج الضارة. إذا تم اكتشاف نشاط المهاجم في بيئة ما ، فإننا نوصي بإجراء تحقيق شامل وتصميم وتنفيذ إستراتيجية علاج مدفوعة بنتائج التحقيق وتفاصيل البيئة المتأثرة ، على حد قولها.

يُطلب من غير القادرين على التحديث عزل خوادم SolarWinds ويجب أن يشمل ذلك حظر جميع عمليات خروج الإنترنت من خوادم SolarWinds. الحد الأدنى من الاقتراح هو تغيير كلمات المرور للحسابات التي لها حق الوصول إلى خوادم / بنية SolarWinds.

أصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) توجيهًا طارئًا رقم 21-01 يطلب من جميع الوكالات المدنية الفيدرالية مراجعة شبكاتها بحثًا عن مؤشرات التسوية. وقد طلبت منهم فصل منتجات 'سولارويندز أوريون' أو إيقاف تشغيلها على الفور.

أصدر مكتب التحقيقات الفيدرالي و CISA ومكتب مدير المخابرات الوطنية بيانًا مشتركًا ، وأعلنوا ما يسمى بـ 'مجموعة التنسيق السيبراني الموحد (UCG) من أجل تنسيق استجابة الحكومة للأزمة. ويصف البيان هذه الحملة بأنها حملة كبيرة ومستمرة للأمن السيبراني.

التزم البيت الأبيض والرئيس دونالد ترامب الصمت. لخص السناتور ميت رومني ذلك بشكل أفضل في تعليقاته للصحفي أوليفييه نوكس من إذاعة SiriusXM ، حيث قارن هذا الهجوم بما يعادل القاذفات الروسية التي تحلق دون أن يتم اكتشافها في جميع أنحاء البلاد لفضح ضعف الحرب الإلكترونية في الولايات المتحدة. قال إن صمت البيت الأبيض وتقاعسه لا يغتفر.

غرد السناتور الديمقراطي ريتشارد بلومنتال قائلاً: لقد تركتني الهجمات الإلكترونية الروسية في حالة انزعاج شديد ، وفي الحقيقة خائفة تمامًا.

وقال الرئيس المنتخب جو بايدن في بيان: الدفاع الجيد ليس كافيا. نحن بحاجة إلى تعطيل وردع خصومنا عن شن هجمات إلكترونية كبيرة في المقام الأول.

شارك الموضوع مع أصدقائك: