بازخوانی پرونده شرکت سولار ویندز(SolarWinds)

سولار ویندز یک شرکت نرم افزاری آمریکایی بوده که کاربرد اصلی آن  نظارت بر عملکرد سیستم های مورد استفاده متخصصان آی تی است. Orion که پرکاربرد ترین محصول سولار ویندز به شمار می‌رود ، یک سیستم مدیریت شبکه (NSM) است که نباید آن را با سیستم مدیریت امنیت (NSM) اشتباه گرفت.
دفتر مرکزی سولار ویندز در آستین، مرکز ایالت تگزاس واقع شده است. دفاتر  فروش و  توسعه محصولات آن نیز در برخی از مناطق آمریکا و چند کشور دیگر قرار دارد. این شرکت به طور علنی از ماه می 2009 تا اواخر 2015 ، و بعد از آن از سال 2018 تجاری شد. همچنین، شرکت های دیگری را خریداری کرد و در حال حاضر  بدون تغیر اسم برخی از آنها  مشغول به فعالیت است.

از جمله این شرکت ها می‌توان به پینگدوم (Pingdom)، پاپرتریل (Papertrail) و لاگلی (Laggly) اشاره کرد و از ماه دسامبر 2020، حدود 300 هزار نفر مشتری دارد، که شامل پانصد شرکت و ادارات دولتی فراوانی می‌شود.

سیستم های مدیریت شبکه (NMS) به دلایل متعددی از جمله دلایل ذیل جزو اصلی ترین اهداف مهاجم ها به شمار می‌روند. 

• دلیل اول: سیستم مدیریت شبکه باید به تمام دستگاه های تحت مدیریت و کنترل متصل باشد. بنابراین، ACL های خروجی با تبدیل آنها به مکان اصلی، بدون تاثیر هستند. 
• دلیل دوم: بسیاری از NMS ها به گونه ای ساخته شده اند تا اتفاقات را کنترل کرده و به آنها واکنش نشان دهند. این بدان معنی است که سیستم های مدیریت شبکه قادر هستند تا برخلاف ساختارشان تغییراتی ایجاد کنند.  هر تغییری که NMS ایجاد کند، مهاجم نیز قادر به ایجاد آن است. حتی در حالتی که NMS ها تنها کنترل کننده باشند، اطلاعاتی که در بخش ابراز هویت به کار رفته اند، تا حدی امکان دسترسی به مهاجم را می‌دهند. مهاجمی که به یک NMS حمله کرده است، قادر به تغییر شکل ترافیک اینترنتی بوده که زمینه را  برای حمله MITM، که یکی از خطرناک ترین حملات به شمار می‌رود، فراهم می‌کند. به علاوه، قادر به استفاده از اطلاعات ابراز هویت برای کنترل سیستم خواهد بود که در نهایت به سیستم های هدف دسترسی پیدا می‌کند.

Orion NMS ها توانایی های گسترده ای در کنترل و مدیریت سیستم ها دارند، که شامل سرورها، کارابزارها، دستگاه های شبکه ای، و غیره را می‌شوند.  تمامی سازمان ها دارای سولار ویند های پیکربندی شده در سطح مساوی نیستند. اما زمانی که دارای سولار ویند های پیکربندی شده باشند، بدون شک هدف مهمی برای مهاجم ها خواهند بود. یکی از دلایل این اتفاق این است که برای کنترل کردن سیستم ها، باید نوعی  یکپارچگی سیستم صورت گیرد. در اولین مرحله، ممکن است  به سادگی دستور پینگ به نظر برسد. اما در حقیقت، هیچ اطلاعی از اینکه پینگ موفقیت آمیز بوده است یا نه به ما نمی‌دهد. چیزی که ما در اکثر موارد به دنبال آن هستیم، وضعیت فرد یا یک لینک ارتباطی است.
یکی از عواقب بزرگ  این اتفاق، ارتباط بیشتر آی تی ما و آی تی تیم های امنیتی در تلاش برای پاسخ به این سوال است: «در خصوص این شبکه های مدیریت سیستم ها، در حال پذیرش چه خطری هستیم؟

چه کسانی از سولار ویندز استفاده می‌کنند؟

البته سوال بهتر این است که بپرسیم: «چه کسانی از سولار ویندز استفاده نمی‌کنند؟» اگر نخواهیم بگوییم خود سیستم مدیریت شبکه، سولار ویندز ها یکی از سیستم های مدیریت شبکه هستند. آنها مانند دستمال های پاکسازی کننده، سیستم های شبکه ای را کنترل و مدیریت می کنند. سولارویندز بیش از 300 هزار نفر مشتری دارد که بسیاری از آنان افراد و ارگان های مهم از جمله سازمان امنیت، تعداد 425 فورچون های آمریکا، و دیگر سازمان های سر تا سر دنیا هستند.

سولار ویندز، تحت محاصره

سولار ویندز  افشا کرد ورژن های کنترل محصول شبکه ای که بین ماه مارس و ژوئن عرضه کرده بود، دچار حملات زنجیره ای  سایبری و پیچیده ای شدند.  طبقه گفته کمپانی، به نظر می‌رسد که این حمله توسط یک حکومت خارجی برنامه ریزی شده است، اگر چه اسم کشور خاصی نام برد نشده است.
در یکی از مطالب بلاگ فایر آی (Fire Eye)  آمده است: 

هکر ها به وسیله آپدیت های تروجان شده نرم افزار Orion  سولار ویندز به سازمان های خصوصی و عمومی فراوانی دسترسی پیدا کردند. هویت هیچ یک از قربانی ها افشا نشده است. گزارشات رسانه ای و فایر وال، دلیل حملات به سازمان های خزانه داری و بازرگانی را وجود نقص در محصولات Orion عنوان کرده اند. اما سولار ویندز روز دوشنه اعلام کرد که همچنان در حال بررسی است.

 

با احتمال دست داشتن سازمان جاسوسی روسیه در این حمله و همچنین اعلام آسیب دیدگی سازمان های بزرگ می‌توان گفت که نفوذ به سولار ویندز های غول پیکر،  دفاتر کاپیتال هیل و فورچون 500 را شوکه کرده است.
از طریقه ای که هکرها از شناسایی شدن طفره رفتند تا  اینکه  چرا ادارات دولتی باید به دلیل تاثیرات وارد شده Orion بر تجارت کنترل مدیریت پروژه آن را غیر فعال کنند، نظرات شما را به موارد مهمی که باید در مورد هک سولار ویندز بدانید جلب می‌کنم.

۶ موضوعی که باید در مورد این نفوذ امنیتی بدانیم

1.  ایالت متحده به ادارات دولتی دستور غیر فعال کردن SolarWinds Orion را می‌دهد.در نیمه شب بکشنبه، دولت آمریکا به تمامی ادارات دولتی دستور داد تا تمامی SolarWinds Orion ها خاموش کنند، زیرا از آنها، به عنوان بخشی از نفوذ امنیتی فعال استفاده می شود. مدیریت اجرایی محصولات استفاده شده در ادارات دولتی گزارش داد که تمامی SolarWinds Orion ها تا ساعت 12 بامداد روز دوشنبه خاموش شدند.
2. هک ماه ها پس از حمله روز صفر ابزار مدیریت راه دور (RMM) اتفاق افتاد. این اولین باری نیست که فناوری SolarWinds نسبت به حملات آسیب پذیر بوده است. در واقع، بر اساس اطلاعاتی که وندور هانترس در اختیارمان قرار داد،  آسیب پذیری یک حمله روز صفر در MSP سولار ویندز  کنترل و مدیریت از راه دور مرکزی که در ژانویه 2020 اتفاق افتاد، امکان سرقت اطلاعات ابراز هویتی مدیریت ذی حساب  را فراهم کرد. به گفته هانترس ، وجود نقص در اکتبر 2019 گزارش شده و تا سه ماه بدون بررسی باقی ماند. 
3. گمان ها به سوی سازمان جاسوسی روسیه می‌رود!روزنامه واشنگتون روز یکشنبه گزارش کرد که هکر های سازمان جاسوسی روسیه که به APT29 شناخته می‌شوند، در ماه های اخیر به سازمان های متعددی حمله کرده اند. از مهم ترین آنها می‌توان به Fire Eye، سازمان خزانه داری و بازرگانی، و ادارات دولتی آمریکا اشاره کرد.حملات به میزانی منظم و یکی پس از دیگری اتفاق افتاده اند که گمان ها را به سمت روسیه می‌برد. هک هایی که در زمان ریاست جمهوری باراک اوباما بر کاخ سفید و وزارت امور خارجه رخ داد نشانه مهمی در تصدیق این موضوع هستند.
4.  روسیه اتهامات مبنی بر دست داشتن در هک را رد می‌کند.در بیانیه ای که یکشنبه اخیر در فیسبوک قرار گرفت، وزیر امو خارجه روسیه اتهامات آمریکا را تکذیب کرد و آن را تلاشی دیگر از رسانه های آمریکایی برای مقصر دانستن روسیه در حملات سایبری اخیر به آمریکا خواند.سفیر روسیه نیز در فیسبوک نوشت: « فعالیت های بد خواهانه در فضای اطلاعاتی با اصول و  سیاست های خارجی روسیه و علایق مشترک میان کشورها مغایرت دارد. روسیه به هیچ وجه عملیات های سایبری مخربی را ترتیب انجام نمی‌دهد.»
5. آسیب پذیری برنامه Orionبه احتمال زیاد ۱۸هزار مشتری سولار ویندز را تحت‌الشعاع قرار داده است. شرکت سولار ویندز روز یک شنبه با ۳۳هزار مشتری خود که از این نرم افزار استفاده می کردند تماس گرفته و آن ها را از این رخنه امنیتی مطلع کرده است. اما طبق گزارشات، تنها ۱۸هزار نفر از مشتریان نرم افزار orionاقدام به نصب نسخه به روز رسانی این نرم افزار کرده اند.درآمد های کلی به دست آمده از محصولات orion تا پایان سپتامبر ۲۰۲۰ تقریبا ۳۴۳میلیون دلار بود و این یعنی ۴۵ درصد از کل درآمد این شرکت.شرکت سولار ویندز از بردار حمله ای که ایمیل های مربوط به آفیس ۳۶۵ را به خطر انداخته بود، اطلاع داشت و ممکن است این بردار، زمینه دسترسی به دیگر داده های موجود در ابزار office productivity را مهیا کند.سولار ویندز گفت که در حال همکاری با مایکروسافت می باشد تا بتواند تحقیقات و بررسی های لازم را انجام دهد. 
6. کاهش سهام سولار ویندز پس از این حمله سایبری

تعداد و اهمیت بالای مشتریان سولار ویندز باعث شده است تا سهام این شرکت پس از حمله سایبری، ۳.۴۸دلار ( ۱۴.۷۷درصد) کاهش پیدا کند و به ۲۰.۰۸دلار به ازای هر سهم برسد. 
این عدد، پایین ترین میزان سهام ثبت شده برای سولار ویندز از ماه اکتبر است.

24 ارگان و شرکتی که مورد هدف قرار گرفتن آن ها تایید شده است

شرکت تولید کننده لوازم الکترونیکی بلکین اینترنشنال، بیمارستان ایالتی کالیفرنیا، شرکت سیسکو، وزارت بازرگانی آمریکا، شرکت آمریکایی Cox communications، وزارت دفاع آمریکا، موسسه بزرگ حسابرسی دیلویت، شرکت دیجیتال سنس، وزارت انرژی آمریکا، شرکت فایر آی، وزارت بهداشت و خدمات انسانی آمریکا، وزارت امنیت داخلی آمریکا، شرکت اینتل، شرکت ITPS، دانشگاه ایالتی کنت، مایکروسافت، شرکت نرم افزاری Netdecisionهند، شرکت ان‌ویدیا، شهرداری شهر پیما در آریزونا، شرکت سولار ویندز، وزارت خارجه آمریکا، شرکت ارائه دهنده خدمات کامپیوتری نت ورک استراتوس، وزارت خزانه داری آمریکا و شرکت وی ام ویر.
 

ادامه دارد...