بدافزارهای مورد استفاده توسط هکرهای SolarWinds :شرکت امنیت سایبری CrowdStrike بدافزارهای مورد استفاده توسط هکرهای SolarWinds را برای تزریق درهای پشتی یا بک دور در محیط توسعه Orion در هنگام حمله زنجیره تامین که منجر به حمله به چندین شرکت و سازمان دولتی شده را  کشف کرده است.

Sunspot که توسط CrowdStrike نامگذاری شده است ، توسط مهاجمان در محیط توسعه نرم افزار مدیریت فناوری اطلاعات Orion SolarWinds نفوذ کرده است.

پس از اجرا ، بدافزار با جایگزینی کد منبع مجاز شرکت با کد مخرب ، یک درب پشتی Sunburst را کنترل و به طور خودکار در زنجیره ای از نصب نرم افزار تزریق می کند.

CrowdStrike در این باره می گوید: “طراحی SUNSPOT نشان می دهد که توسعه دهندگان StellarParticle تلاش زیادی برای اطمینان از درج صحیح کد و عدم شناسایی کد انجام داده اند و امنیت عملیاتی را در اولویت قرار داده اند تا حضور آنها را در محیط ساخت را برای توسعه دهندگان SolarWinds نشان ندهد.”

سوداکار راماکریشنا ، مدیر عامل SolarWinds افزود: “این کد بسیار پیچیده و نوآور برای تزریق کد مخرب SUNBURST به سیستم عامل SolarWinds Orion بدون ایجاد سوظن برای تیم توسعه نرم افزار طراحی شده است.”

سومین بدافزار مرتبط با هکرهای SolarWinds

این سومین بدافزار است که هنگام بررسی حمله زنجیره تامین SolarWinds و مرتبط با عامل تهدید ردیابی شده به عنوان StellarParticle (CrowdStrike) ، UNC2452 (FireEye) و Dark Halo (Volexity) پیدا شده است.

مورد دوم بدافزار بک دور Sunburst (Solorigate) است که توسط هکرهای SolarWinds بر روی سیستم های سازمانی که نسخه های هک شده  را از طریق مکانیزم بروزرسانی خودکار پلت فرم نصب کرده اند ، نصب شده است.

FireEye پس از بازیابی چندین نمونه Sunburst که بارهای متفاوتی را تحویل می داد ، سومین بدافزار را به نام Teardrop که قبلاً ناشناخته بود و ابزاری برای سوء استفاده پس از آلوده شدن سیستم قربانی است.

چهارمین بدافزار ، که به هکرهای StellarParticle مرتبط نبوده و همچنین با استفاده از تروجان شده Orion ساخته شده است ، همچنین توسط Palo Alto Networks Unit 42 و Microsoft در هنگام بررسی حمله زنجیره تامین SolarWinds کشف شد.

این بدافزار اضافی که SuperNova نامیده می شود ، به عنوان یک فایل DLL است که به مهاجمان اجازه می دهد از راه دور کد C # را روی ماشین های در معرض خطر ارسال ، کامپایل و اجرا کنند.

بازه زمانی حمله زنجیره تامین solarwind

هویت هکرهای SolarWinds هنوز مشخص نیست

در حالی که ما از هک SolarWind در تاریخ 13 دسامبر مطلع شدیم ، اولین افشاگری درباره عواقب آن در تاریخ 8 دسامبر توسط شرکت امنیت سایبری برجسته FireEye انجام شد که فاش کرد این هک توسط یک گروه هک دولتی است.

به عنوان بخشی از این حمله ، هکرها به سیستم ساخت SolarWinds Orion دسترسی پیدا کردند و یک دور را در یک  DLL قانونی که توسط نرم افزار مدیریت فناوری اطلاعات SolarWinds Orion استفاده می شد ، تزریق کردند. بعداً این DLL در حمله زنجیره تأمین به طور خودکار در بین مشتریان SolarWinds توزیع شد.

حتی اگر جدول زمانی حمله SolarWinds از سپتامبر 2019 آغاز شود ، تاریخی که اولین فعالیت مشکوک در شبکه داخلی SolarWinds پیدا شد ، هویت گروه هکری در پشت این حمله زنجیره تامین هنوز ناشناخته است.

با این حال ، کسپرسکی اولین کسی بود که ارتباطی را بین هکرهای SolarWinds و یک گروه جاسوسی سایبری که قبلاً شناخته شده بود ، پیدا کرد ، زیرا متوجه شد که این بک دور Sunburst با Kazuar ، یک بک دور .NET که به طور آزمایشی با گروه هک روسیه Turla مرتبط است ، همپوشانی دارد.

کوستین رایو ، مدیر تیم تحقیق و تجزیه و تحلیل جهانی کسپرسکی (GReAT) گفت: “اتصال شناسایی شده به ما نمی گوید که چه کسی پشت حمله SolarWinds بوده است. اما اطلاعات مفیدی به محققین ارایه می دهد”

زنجیره حمله solarwinds

یک هفته پیش ، FBI ، CISA و NSA نیز در بیانیه مشترکی اعلام کردند که احتمالاً گروهی با عنوان تهدیدات مداوم پیشرفته (APT) تحت حمایت روسیه پشت هک SolarWinds قرار دارند.

مدیر عامل SolarWinds ، سوداکار راماکریشنا امروز گفت: “دولت ایالات متحده و بسیاری از کارشناسان بخش خصوصی این عقیده را دارند که یک دولت ملی خارجی این عملیات سرزده را به عنوان بخشی از حمله گسترده علیه زیرساخت های سایبری آمریکا انجام داده است.”

“تا به امروز ، تحقیقات ما به طور مستقل هویت عاملان را تأیید نکرده است.”

لینک مطلب

ده تا از جدیدترین و خطرناکترین ویروس و تهدیدات مخرب در سال 2020

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

*

code