مایکروسافت و سولار ویندز شاه‌راهی برای نفوذ هکرها

به گزارش کارگروه حملات سایبری سایبربان؛ خبرگزاری رویترز مدعی شد هکرهای مظنون روسی از فروشندگان محصولات مایکروسافت برای نفوذ به سیستم مشتریان استفاده کرده‌اند.

برخی محققان مدعی هستند، هکرهای روسی که پشت بدترین حمله سایبری به آمریکا بودند (حمله سولار ویندز که در پی آن نهادهای مهم دولتی و خصوصی آمریکا هک شدند)، با سوءاستفاده از فروشندگانی که به سرویس‌های شرکت مایکروسافت دسترسی داشتند، توانستند به اهدافی که از محصولات شرکت سولار ویندز استفاده نمی‌کردند، نفوذ کنند.

درحالی‌که تصور می‌شد تنها نقطه ورود هکرها از طریق محصول Orion شرکت SolarWinds است؛ اما شرکت امنیتی CrowdStrike روز 24 دسامبر (پنجشنبه) اعلام کرد:

هکرها به فروشنده‌ای که مجوزهای Office را به شرکت CrowdStrike فروخته بود دسترسی پیداکرده و از این طریق سعی داشتند ایمیل‌های شرکت CrowdStrike را بخوانند.

این شرکت به‌طور مشخص نگفت که هکرها همان هکرهای سولار ویندز بودند؛ اما دو شخص مطلع این موضوع را تأیید کردند.

شرکت CrowdStrike از برنامه‌های Office برای پردازش متن استفاده می‌کند اما از ایمیل استفاده نمی‌کند. مایکروسافت مدعی است در 15 دسامبر این تلاش ناموفق را که ماه‌ها قبل انجام‌شده بود را به شرکت CrowdStrike اعلام کرده بود.

شرکت یادشده که از محصولات شرکت سولار ویندز استفاده نمی‌کند گفت:

هیچ تأثیری در تلاش برای نفوذ پیدا نکرده است و از ذکر نام فروشنده خودداری کرد.

یکی از افراد مطلع به رویترز گفت:

هکرها از طریق دسترسی فروشنده وارد شدند و سعی داشتند گزینه خواندن ایمیل را فعال کنند. اگر شرکت CrowdStrike از برنامه Office 365 برای خواندن ایمیل استفاده می‌کرد، بازی را باخته بود.

بسیاری از مجوزهای نرم‌افزاری مایکروسافت از طریق اشخاص ثالث به فروش می‌رسند و این شرکت‌ها می‌توانند به سیستم مشتریان دسترسی دائم داشته باشند.

مایکروسافت روز پنجشنبه گفت این مشتریان باید هوشیار باشند.

جف جونز (Jeff Jones) مدیر ارشد مایکروسافت خاطرنشان کرد:

تحقیقات ما از حملات اخیر بیانگر آن است که هکرها برای دسترسی از اعتبارنامه‌ها سوءاستفاده کرده‌اند. ما هیچ آسیب‌پذیری یا نقضی در محصول مایکروسافت یا خدمات ابری آن مشاهده نکرده‌ایم.

سوءاستفاده از نمایندگی فروش محصولات مایکروسافت برای ورود به یک شرکت برتر امنیت دیجیتال سؤالات جدیدی را در ذهن ایجاد می‌کند در مورد اینکه هکرهایی که مقامات آمریکایی ادعا می‌کنند از طرف دولت روسیه فعالیت می‌کنند، برای نفوذ به سیستم‌ها چندراه در اختیاردارند.

قربانیان شناخته‌شده تاکنون شامل شرکت‌های FireEye رقیب امنیتی شرکت CrowdStrike و وزارت دفاع، امور خارجه، بازرگانی، خزانه‌داری و وزارت امنیت داخلی آمریکا و چند نهاد دولتی و خصوصی دیگر هستند. شرکت‌های بزرگ دیگر، ازجمله مایکروسافت و سیسکو، گفتند که آن‌ها نرم‌افزار آلوده سولار ویندز را در داخل شرکت‌های خود پیداکرده‌اند اما نشانه‌هایی مبنی بر استفاده هکرها از این نرم‌افزار برای دسترسی گسترده به شبکه‌های خود پیدا نکرده‌اند.

تا پیش‌ازاین شرکت سولار ویندز مستقر در تگزاس تنها کانال تأییدشده عمومی برای ورود اولیه هکرها بود، اگرچه مقامات از روزها قبل هشدار داده بودند که هکرها راه‌های دیگری برای ورود دارند.

خبرگزاری رویترز مدعی است هفته پیش گزارش داده بود که از محصولات مایکروسافت در حملات اخیر استفاده‌شده است؛ اما مقامات فدرال گفتند بودند که آن را به‌عنوان مسیر اولیه این حملات نمی‌دانند و شرکت مایکروسافت نیز اعلام کرد از سیستم‌های این شرکت در کارزار اخیر استفاده‌نشده بود.

شرکت مایکروسافت در ادامه اعلام کرد که مشتریانش باید همچنان هوشیار باشند. سایت این شرکت در پایان یک پست طولانی و فنی در روز سه‌شنبه، از یک جمله برای اشاره به دسترسی هکرها به مایکروسافت 365 اشاره کرد:

مراقب حساب‌های فروشندگان قابل‌اعتماد باشید؛ زیرا هکرها محیط فروش را به خطر انداخته‌اند.

شرکت مایکروسافت برای نصب محصولات و جذب کاربران جدید، فروشندگان خود را ملزم به دسترسی به سیستم‌های مشتریان می‌کند؛ اما کشف اینکه کدام فروشنده‌ها حق دسترسی دائمی را دارند به‌قدری دشوار بود که شرکت CrowdStrike ابزاری را برای این کار تولید و منتشر کرد.

شرکت مایکروسافت پس از کشف یک سری تخلفات دیگر، امسال کنترل‌های جدیدی را بر فروشندگان خود اعمال کرد، ازجمله الزامات احراز هویت چندعاملی.

آژانس امنیت ملی و زیرشاخه سایبری آن یعنی آژانس امنیت سایبری و امنیت زیرساخت آمریکا هیچ توضیحی در مورد این موضوع ندادند.

هویت گروه دوم هکرها و میزان موفقیت آن‌ها نامشخص است.

روسیه نیز هرگونه ایفای نقش در این عملیات هکری را انکار کرده است.