نشرت الأخبار هذا الأسبوع أن الوكالات الحكومية والشركات الأمريكية على حد سواء- وكذلك الأهداف الدولية- كانت ضحايا حملة تجسس ضخمة على مستوى الدولة القومية. ولكن مع استمرار تراكم الاكتشافات واكتشاف أهداف جديدة كل يوم، قد يكون من الصعب التعامل مع ما حدث بالضبط وما يعنيه كل هذا.
المتسللون، الذين تم الإبلاغ عنهم على نطاق واسع على أنهم روس، قاموا باختراق أهداف بارزة مثل التجارة الأمريكية، ووزارة الخزانة، والأمن الداخلي، وإدارة الطاقة، بالإضافة إلى شركات مثل شركة الأمن FireEye. يبدو أن جميع الهجمات تنبع من اختراق أولي واحد للبنية التحتية لتكنولوجيا المعلومات وشركة إدارة الشبكة SolarWinds. كان المتسللون قد اخترقوا الشركة منذ أكتوبر 2019، ثم زرعوا كودًا خبيثًا في تحديثات البرامج لأداة مراقبة الشبكة Orion. أي عميل قام بتثبيت تصحيح Orion تم إصداره بين مارس ويونيو قام عن غير قصد بزرع باب خلفي روسي على شبكته الخاصة.
في بيان صدر يوم الخميس، قالت وكالة الأمن السيبراني وأمن البنية التحتية التابعة لوزارة الأمن الداخلي إنها "قررت أن هذا التهديد يشكل خطرًا جسيمًا على الحكومة الفيدرالية وحكومات الولايات والحكومات المحلية والقبلية والإقليمية وكذلك كيانات البنية التحتية الحيوية وغيرها. منظمات القطاع الخاص". تعد CISA، ومكتب التحقيقات الفيدرالي، ومكتب مدير المخابرات الوطنية جزءًا من "مجموعة التنسيق السيبراني الموحد Cyber Unified Coordination Group" التي تعمل على دعم استجابة حكومة الولايات المتحدة للتدخلات الواسعة النطاق وتعمل على التعامل مع النطاق والنطاق للوضع في أسرع وقت ممكن.
لم يتأثر جميع ضحايا هذه الحملة بنفس الطريقة. في بعض الحالات، قامت روسيا بزرع باب خلفي لكنها لم تذهب أبعد من ذلك؛ في حالات أخرى، تحركت بعمق داخل شبكاتهم للاستطلاع واستخراج البيانات. سيكون اكتشاف الفرق- والآثار المترتبة على كل منها- مهمًا بشكل متزايد حيث يتعمق المحققون في مستنقع SolarWinds.
المتسللون، الذين تم الإبلاغ عنهم على نطاق واسع على أنهم روس، قاموا باختراق أهداف بارزة مثل التجارة الأمريكية، ووزارة الخزانة، والأمن الداخلي، وإدارة الطاقة، بالإضافة إلى شركات مثل شركة الأمن FireEye. يبدو أن جميع الهجمات تنبع من اختراق أولي واحد للبنية التحتية لتكنولوجيا المعلومات وشركة إدارة الشبكة SolarWinds. كان المتسللون قد اخترقوا الشركة منذ أكتوبر 2019، ثم زرعوا كودًا خبيثًا في تحديثات البرامج لأداة مراقبة الشبكة Orion. أي عميل قام بتثبيت تصحيح Orion تم إصداره بين مارس ويونيو قام عن غير قصد بزرع باب خلفي روسي على شبكته الخاصة.
في بيان صدر يوم الخميس، قالت وكالة الأمن السيبراني وأمن البنية التحتية التابعة لوزارة الأمن الداخلي إنها "قررت أن هذا التهديد يشكل خطرًا جسيمًا على الحكومة الفيدرالية وحكومات الولايات والحكومات المحلية والقبلية والإقليمية وكذلك كيانات البنية التحتية الحيوية وغيرها. منظمات القطاع الخاص". تعد CISA، ومكتب التحقيقات الفيدرالي، ومكتب مدير المخابرات الوطنية جزءًا من "مجموعة التنسيق السيبراني الموحد Cyber Unified Coordination Group" التي تعمل على دعم استجابة حكومة الولايات المتحدة للتدخلات الواسعة النطاق وتعمل على التعامل مع النطاق والنطاق للوضع في أسرع وقت ممكن.
لم يتأثر جميع ضحايا هذه الحملة بنفس الطريقة. في بعض الحالات، قامت روسيا بزرع باب خلفي لكنها لم تذهب أبعد من ذلك؛ في حالات أخرى، تحركت بعمق داخل شبكاتهم للاستطلاع واستخراج البيانات. سيكون اكتشاف الفرق- والآثار المترتبة على كل منها- مهمًا بشكل متزايد حيث يتعمق المحققون في مستنقع SolarWinds.
في الأثير In the Ether
تدعي شركة SolarWinds أن لديها أكثر من 300000 عميل إجمالاً، ولكن ليس كلهم سيتأثرون بحل وسط الشركة. لسبب واحد، الموقف يؤثر فقط على أولئك الذين يستخدمون Orion، وضمن هذه المجموعة فقط أولئك الذين قاموا بتثبيت الرقع الملوثة سيكونون معرضين. قالت شركة SolarWinds في تقرير لجنة الأوراق المالية والبورصات الأمريكية يوم الإثنين إنها أخطرت حوالي 33000 من عملاء Orion بالمخاطر التي تشكلها تحديثات البرامج الضارة. لكن الشركة قالت أيضًا في بيانها إنها تعتقد أن "العدد الفعلي" للعملاء الذين يحتمل تعرضهم للانكشاف أقل من 18000.
تدعي شركة SolarWinds أن لديها أكثر من 300000 عميل إجمالاً، ولكن ليس كلهم سيتأثرون بحل وسط الشركة. لسبب واحد، الموقف يؤثر فقط على أولئك الذين يستخدمون Orion، وضمن هذه المجموعة فقط أولئك الذين قاموا بتثبيت الرقع الملوثة سيكونون معرضين. قالت شركة SolarWinds في تقرير لجنة الأوراق المالية والبورصات الأمريكية يوم الإثنين إنها أخطرت حوالي 33000 من عملاء Orion بالمخاطر التي تشكلها تحديثات البرامج الضارة. لكن الشركة قالت أيضًا في بيانها إنها تعتقد أن "العدد الفعلي" للعملاء الذين يحتمل تعرضهم للانكشاف أقل من 18000.
في حين أنه من أفضل الممارسات عمومًا تثبيت التحديثات على أجهزتك الشخصية في أسرع وقت ممكن، غالبًا ما تعمل الأشياء بشكل مختلف قليلاً في إعدادات تكنولوجيا المعلومات للمؤسسات الضخمة. غالبًا ما تكون المؤسسات متخلفة في إصلاح البنية التحتية لشبكتها وأسطول من الأجهزة؛ تشغيل هذه التحديثات دون التسبب في توقف أو مشاكل أخرى غير متوقعة يتضمن لوجستيات معقدة. غالبًا ما يكون هذا أمرًا سيئًا من حيث الأمان. على سبيل المثال، أدى الفشل الواسع النطاق في التصحيح إلى السماح لخلل Windows EternalBlue بإحداث فوضى في عام 2017 وما بعده. ولكن في هذه الحالة، يبدو أن التخلف عن الركب قد سمح للعديد من مستخدمي Orion بتفادي رصاصة، لأنهم لم يقوموا بالفعل بتثبيت التحديثات الملوثة. قد يستغرق الأمر وقتًا من المؤسسات الكبيرة لتأكيد ما إذا كانت التصحيحات قد نجحت أم لا.
يقول David Kennedy، الرئيس التنفيذي لشركة تتبع التهديدات Binary Defense Systems، الذي عمل سابقًا في وكالة الأمن القومي ووحدة استخبارات إشارات مشاة البحرية: "الخوف من هذا الأمر حقيقي". "هذا النوع من الهجوم يمكن أن يسمح للخصم بالوصول إلى أي شخص يريده بشكل أساسي لديه SolarWinds Orion والتصحيح السيئ. هناك تدافع كبير الآن لمعرفة الأنظمة التي تم اختراقها، وإذا كان هناك احتمال حدوث ذلك، فإن المؤسسات بحاجة إلى التحقيق".
يقول David Kennedy، الرئيس التنفيذي لشركة تتبع التهديدات Binary Defense Systems، الذي عمل سابقًا في وكالة الأمن القومي ووحدة استخبارات إشارات مشاة البحرية: "الخوف من هذا الأمر حقيقي". "هذا النوع من الهجوم يمكن أن يسمح للخصم بالوصول إلى أي شخص يريده بشكل أساسي لديه SolarWinds Orion والتصحيح السيئ. هناك تدافع كبير الآن لمعرفة الأنظمة التي تم اختراقها، وإذا كان هناك احتمال حدوث ذلك، فإن المؤسسات بحاجة إلى التحقيق".
في الحي In the Neighborhood
من بين 18000 من عملاء Orion المعرضين لخطر جسيم، يقول المستجيبون للحوادث إنه من المهم فهم أنه لم يكن جميعهم ضحايا استهداف عميق. عندما قام المستخدمون بتنزيل تحديثات Orion الخبيثة، كانوا في الأساس يقومون بدفع حصان طروادة إلى شبكاتهم. ولكن هذا حصان طروادة رقمي يمكن الوصول إليه عن بعد ويمكن للمهاجمين تركه في وضع الخمول إلى الأبد أو يمكن تنشيطه حسب الرغبة. للمضي قدمًا في الهجوم على هدف معين، يرسل المهاجمون أوامر إلى الغرسة implant لتنزيل المزيد من البرامج الضارة التي من شأنها أن تسمح للمهاجمين بالدخول إلى شبكة الضحية. في هذه المرحلة، قد يستخدم المتسللون هذا الوصول للمضي قدمًا في نهب بيانات الهدف رقميًا، أو قد ينظرون حولهم قليلاً ويفقدون الاهتمام.
من بين 18000 من عملاء Orion المعرضين لخطر جسيم، يقول المستجيبون للحوادث إنه من المهم فهم أنه لم يكن جميعهم ضحايا استهداف عميق. عندما قام المستخدمون بتنزيل تحديثات Orion الخبيثة، كانوا في الأساس يقومون بدفع حصان طروادة إلى شبكاتهم. ولكن هذا حصان طروادة رقمي يمكن الوصول إليه عن بعد ويمكن للمهاجمين تركه في وضع الخمول إلى الأبد أو يمكن تنشيطه حسب الرغبة. للمضي قدمًا في الهجوم على هدف معين، يرسل المهاجمون أوامر إلى الغرسة implant لتنزيل المزيد من البرامج الضارة التي من شأنها أن تسمح للمهاجمين بالدخول إلى شبكة الضحية. في هذه المرحلة، قد يستخدم المتسللون هذا الوصول للمضي قدمًا في نهب بيانات الهدف رقميًا، أو قد ينظرون حولهم قليلاً ويفقدون الاهتمام.
هذا يعني أن هناك بالفعل ثلاث مجموعات فرعية ضمن الضحايا المحتملين لهذه الهجمات: مستخدمو Orion الذين قاموا بتثبيت الباب الخلفي ولكن لم يتم استغلالهم بأي طريقة أخرى؛ الضحايا الذين لديهم بعض الأنشطة الضارة على شبكاتهم، لكنهم في النهاية لم يكونوا أهدافًا جذابة للمهاجمين؛ والضحايا الذين تعرضوا في الواقع لخطر شديد لأنهم يمتلكون بيانات قيمة.
يقول Jake Williams، المتسلل السابق لوكالة الأمن القومي ومؤسس شركة الأمن Rendition Infosec: "إذا لم يسرقوا البيانات، فذلك لأنهم لم يرغبوا في ذلك". "إذا لم يحصلوا على حق الوصول، فذلك لأنهم لم يكونوا مهتمين به."
ومع ذلك، لا تزال المجموعة الأولى والثانية بحاجة إلى تحييد الباب الخلفي لمنع الوصول في المستقبل. نظرًا لأنها كانت قادرة على تحليل المؤشرات من اختراقها، قادت FireEye جهدًا انضمت إليه شركات أخرى منذ ذلك الحين لنشر معلومات حول تشريح الهجمات. تتضمن بعض "مؤشرات الاختراق" عناوين IP واستجابات سجل خدمة اسم المجال المرتبطة بالبنية التحتية الضارة للمهاجمين. يمكن للمستجيبين والضحايا استخدام هذه المعلومات للتحقق مما إذا كانت الخوادم أو الأجهزة الأخرى على شبكاتهم تتواصل مع أنظمة المتسللين. عملت Microsoft أيضًا مع FireEye و GoDaddy لتطوير نوع من "مفتاح القفل" للباب الخلفي من خلال السيطرة على عناوين IP التي تتواصل معها البرامج الضارة، لذلك لا يمكنها تلقي الأوامر بعد الآن.
يعد القضاء على الباب الخلفي أمرًا بالغ الأهمية، خاصة وأن المهاجمين ما زالوا يستغلونه بنشاط. والآن بعد أن أصبحت التفاصيل الفنية الخاصة ببنيتهم التحتية عامة، هناك أيضًا خطر من أن المتسللين الآخرين قد يستغلون الوصول الضار أيضًا إذا لم يتم قفله.
ومع ذلك، لا تزال المجموعة الأولى والثانية بحاجة إلى تحييد الباب الخلفي لمنع الوصول في المستقبل. نظرًا لأنها كانت قادرة على تحليل المؤشرات من اختراقها، قادت FireEye جهدًا انضمت إليه شركات أخرى منذ ذلك الحين لنشر معلومات حول تشريح الهجمات. تتضمن بعض "مؤشرات الاختراق" عناوين IP واستجابات سجل خدمة اسم المجال المرتبطة بالبنية التحتية الضارة للمهاجمين. يمكن للمستجيبين والضحايا استخدام هذه المعلومات للتحقق مما إذا كانت الخوادم أو الأجهزة الأخرى على شبكاتهم تتواصل مع أنظمة المتسللين. عملت Microsoft أيضًا مع FireEye و GoDaddy لتطوير نوع من "مفتاح القفل" للباب الخلفي من خلال السيطرة على عناوين IP التي تتواصل معها البرامج الضارة، لذلك لا يمكنها تلقي الأوامر بعد الآن.
يعد القضاء على الباب الخلفي أمرًا بالغ الأهمية، خاصة وأن المهاجمين ما زالوا يستغلونه بنشاط. والآن بعد أن أصبحت التفاصيل الفنية الخاصة ببنيتهم التحتية عامة، هناك أيضًا خطر من أن المتسللين الآخرين قد يستغلون الوصول الضار أيضًا إذا لم يتم قفله.
في المنزل In the House
لكن بالنسبة للضحايا الذين عانوا من تسوية أعمق، فإن إغلاق الباب ببساطة لا يكفي، لأن المهاجمين استقروا بالفعل في الداخل.
بالنسبة للأهداف الواضحة مثل الوكالات الحكومية الأمريكية، فإن السؤال هو ما الذي حصل المهاجمون عليه بالضبط وما هي الصورة الأكبر التي يمكن أن ترسمها المعلومات من حيث الجغرافيا السياسية والقدرات الدفاعية والهجومية للولايات المتحدة عبر وزارة الدفاع والبنية التحتية الحيوية وغير ذلك.
إن تحديد ما تم أخذه بالضبط يمثل تحديًا ويستغرق وقتًا طويلاً. على سبيل المثال، أشارت بعض التقارير إلى أن المتسللين اخترقوا أنظمة حساسة للإدارة الوطنية للأمن النووي التابعة لوزارة الطاقة، المسئولة عن ترسانة الأسلحة النووية الأمريكية. لكن المتحدثة باسم وزارة الطاقة، Shaylyn Hynes، قالت في بيان في وقت متأخر من يوم الخميس إنه بينما وصل المهاجمون إلى "شبكات الأعمال" التابعة لوزارة الطاقة، فإنهم لم ينتهكوا "مهام الأمن القومي الأساسية للوزارة".
وقالت Hynes: "التحقيق جار، والرد على هذا الحادث يحدث في الوقت الحقيقي".
هذا هو الوضع بالنسبة لجميع الضحايا في هذه المرحلة. ستستمر بعض الأهداف لتكتشف أنها تأثرت بشكل أعمق مما كانوا يعتقدون في البداية؛ قد يجد آخرون أن المتسللين ركلوا الإطارات لكنهم لم يذهبوا إلى أبعد من ذلك. هذا هو الخطر الأساسي لهجوم سلسلة التوريد supply chain مثل اختراق SolarWinds. يحصل المهاجمون على قدر كبير من الوصول مرة واحدة ويمكنهم اختيار الضحايا بينما يترك المستجيبون يحاولون اللحاق بالركب.
على الرغم من صعوبة تحديد النطاق الكامل للموقف، إلا أن الباحثين يبذلون جهودًا متضافرة لتحديد من أصيب ومدى الضرر. من خلال تتبع عناوين IP وسجلات DNS وعلامات المهاجم الأخرى وربطها، يعمل محللو الأمان على تطوير طرق لتحديد الأهداف بشكل استباقي. أصدرت Kaspersky Labs، على سبيل المثال، أداة يوم الجمعة تقوم بفك تشفير طلبات DNS من البنية التحتية للقيادة والتحكم للمهاجمين والتي يمكن أن تساعد في تحديد الأهداف التي حددها المتسللون حسب الأولوية.
من المحتمل أن تستمر الأخبار حول فورة القرصنة لأسابيع حيث تحدد المزيد من المؤسسات المكان المناسب لها في نموذج تقييم الأهداف المحتملة. كتب Brad Smith رئيس شركة Microsoft يوم الخميس أن الشركة أخطرت أكثر من 40 عميلًا بشأن علامات اقتحام عميق لشبكاتهم. وتقول Microsoft إنه في حين أن الغالبية العظمى من هؤلاء الضحايا موجودون في الولايات المتحدة، فإن بعضهم في سبع دول أخرى: كندا والمكسيك وبلجيكا وإسبانيا والمملكة المتحدة وإسرائيل والإمارات العربية المتحدة. وأضاف Smith: "من المؤكد أن عدد وموقع الضحايا سيستمران في الازدياد".
في وقت لاحق من تلك الليلة ، أكدت شركة Microsoft أنه تم اختراقها في الحملة أيضًا.
بالنسبة للأهداف الواضحة مثل الوكالات الحكومية الأمريكية، فإن السؤال هو ما الذي حصل المهاجمون عليه بالضبط وما هي الصورة الأكبر التي يمكن أن ترسمها المعلومات من حيث الجغرافيا السياسية والقدرات الدفاعية والهجومية للولايات المتحدة عبر وزارة الدفاع والبنية التحتية الحيوية وغير ذلك.
إن تحديد ما تم أخذه بالضبط يمثل تحديًا ويستغرق وقتًا طويلاً. على سبيل المثال، أشارت بعض التقارير إلى أن المتسللين اخترقوا أنظمة حساسة للإدارة الوطنية للأمن النووي التابعة لوزارة الطاقة، المسئولة عن ترسانة الأسلحة النووية الأمريكية. لكن المتحدثة باسم وزارة الطاقة، Shaylyn Hynes، قالت في بيان في وقت متأخر من يوم الخميس إنه بينما وصل المهاجمون إلى "شبكات الأعمال" التابعة لوزارة الطاقة، فإنهم لم ينتهكوا "مهام الأمن القومي الأساسية للوزارة".
وقالت Hynes: "التحقيق جار، والرد على هذا الحادث يحدث في الوقت الحقيقي".
هذا هو الوضع بالنسبة لجميع الضحايا في هذه المرحلة. ستستمر بعض الأهداف لتكتشف أنها تأثرت بشكل أعمق مما كانوا يعتقدون في البداية؛ قد يجد آخرون أن المتسللين ركلوا الإطارات لكنهم لم يذهبوا إلى أبعد من ذلك. هذا هو الخطر الأساسي لهجوم سلسلة التوريد supply chain مثل اختراق SolarWinds. يحصل المهاجمون على قدر كبير من الوصول مرة واحدة ويمكنهم اختيار الضحايا بينما يترك المستجيبون يحاولون اللحاق بالركب.
على الرغم من صعوبة تحديد النطاق الكامل للموقف، إلا أن الباحثين يبذلون جهودًا متضافرة لتحديد من أصيب ومدى الضرر. من خلال تتبع عناوين IP وسجلات DNS وعلامات المهاجم الأخرى وربطها، يعمل محللو الأمان على تطوير طرق لتحديد الأهداف بشكل استباقي. أصدرت Kaspersky Labs، على سبيل المثال، أداة يوم الجمعة تقوم بفك تشفير طلبات DNS من البنية التحتية للقيادة والتحكم للمهاجمين والتي يمكن أن تساعد في تحديد الأهداف التي حددها المتسللون حسب الأولوية.
من المحتمل أن تستمر الأخبار حول فورة القرصنة لأسابيع حيث تحدد المزيد من المؤسسات المكان المناسب لها في نموذج تقييم الأهداف المحتملة. كتب Brad Smith رئيس شركة Microsoft يوم الخميس أن الشركة أخطرت أكثر من 40 عميلًا بشأن علامات اقتحام عميق لشبكاتهم. وتقول Microsoft إنه في حين أن الغالبية العظمى من هؤلاء الضحايا موجودون في الولايات المتحدة، فإن بعضهم في سبع دول أخرى: كندا والمكسيك وبلجيكا وإسبانيا والمملكة المتحدة وإسرائيل والإمارات العربية المتحدة. وأضاف Smith: "من المؤكد أن عدد وموقع الضحايا سيستمران في الازدياد".
في وقت لاحق من تلك الليلة ، أكدت شركة Microsoft أنه تم اختراقها في الحملة أيضًا.
