الأخبار

شركة Microsoft تقول إنها حددت أكثر من 40 ضحية لاختراق SolarWinds

Microsoft says it identified 40+ victims of the SolarWinds hack

قالت Microsoft إنها حددت أكثر من 40 من عملائها قاموا بتثبيت إصدارات أحصنة طروادة من منصة SolarWinds Orion حيث صعد المتسللون من الاختراقات بحمولات المرحلة الثانية الإضافية.

قال صانع نظام التشغيل إنه كان قادرًا على اكتشاف هذه الاختراقات باستخدام البيانات التي تم جمعها بواسطة منتج Microsoft Defender المضاد للفيروسات، وهو منتج مجاني لمكافحة الفيروسات مدمج في جميع عمليات تثبيت Windows.

قال Brad Smith رئيس Microsoft، إن شركته تعمل الآن على إخطار جميع المنظمات المتأثرة، والتي يقع 80% منها في الولايات المتحدة، والباقي منتشر في سبع دول أخرى- وهي كندا والمكسيك وبلجيكا وإسبانيا والإمارات العربية المتحدة، والمملكة المتحدة وإسرائيل.

في حين أن القائمة الحالية للضحايا المعروفين لاختراق SolarWinds تشمل في الغالب الوكالات الحكومية الأمريكية، قال Smith إن القطاع الحكومي ليس سوى جزء صغير من قائمة الضحايا، مع 44% من شركات تكنولوجيا المعلومات، مثل شركات البرمجيات ومقدمي المعدات.
قال رئيس Microsoft أيضًا إن الهجوم مستمر، حيث لا يزال المتسللون يحاولون اختراق شركات جديدة، على الرغم من أن الحادث كان علنيًا ويتم التحقيق فيه بنشاط.

وقال Smith: "من المؤكد أن عدد ومكان الضحايا سوف يستمر في الازدياد".

أحدث ضحية في هذه القائمة هي Microsoft نفسها، التي اعترفت، قبل ساعات من تحليل Smith، بتثبيت نسخة طروادة من تطبيق SolarWinds داخل بنيتها التحتية.

ذكرت وكالة رويترز أن المتسللين وصلوا إلى شبكة Microsoft الداخلية، لكن Microsoft نفت أن يكونوا قادرين على الوصول إلى أنظمة الإنتاج والتأثير على عملائها التجاريين والمستخدمين النهائيين.
 
ملخص اختراق SolarWinds وتداعياته
بعد خمسة أيام، استمر اتساع نطاق اختراق SolarWinds في النمو.

بدأ هذا الحادث برمته الأسبوع الماضي عندما قالت شركة الأمن FireEye إن مجموعة قرصنة ترعاها الدولة دخلت إلى شبكتها الداخلية، وسرقت أدوات اختبار القلم وحاولت الوصول إلى وثائق عقودها الحكومية.

أثناء التحقيق في الاختراق، تتبعت FireEye التسلل إلى إصدار به برامج ضارة من SolarWinds Orion، وهي أداة مراقبة الشبكة المستخدمة داخل شبكات المؤسسات الكبيرة.

بعد إخطار FireEye، اعترفت SolarWinds يوم الأحد بالتعرض للاختراق، وكشفت أن العديد من تحديثات تطبيق Orion التي تم إصدارها بين مارس ويونيو تحتوي على حصان طروادة خلفي.

بعد ذلك بيوم، اعترفت شركة SolarWinds في وثائق SEC بأن حوالي 18000 عميل قد قاموا بتثبيت تحديثات أحصنة طروادة، مما أدى إلى بحث هائل داخل شبكات المؤسسة، حيث يبحث موظفو تكنولوجيا المعلومات عما إذا كانوا قد قاموا بتثبيت إصدار تطبيق Orion المليء بالبرامج الضارة وما إذا كانت البرامج الضارة في المرحلة الثانية تم استخدام الحمولات لتصعيد الهجمات.

ثبت أن هذه مهمة مرهقة وصعبة، حيث أن البرنامج الضار، المسمى SUNBURST، أو Solorigate، احتوى على تصميم منفصل بين حمولات المرحلة الأولى والثانية مما جعل من الصعب تحديد ما وعدد الأنظمة التي قام المتسللون بتصعيد وصولهم إليها.

ومع ذلك، اتخذت Microsoft، يوم الأربعاء، خطوات لحماية المستخدمين واستولت على مجال الويب الذي استخدمته المرحلة الأولى من برنامج SUNBURST الخبيث لإبلاغ المهاجمين. جنبًا إلى جنب مع GoDaddy و FireEye، حولت Microsoft المجال إلى مفتاح إيقاف تلقائي من أجل منع البرامج الضارة SUNBURST من الاتصال بمنشئيها وتنزيل حمولات المرحلة الثانية.

ومع ذلك، يجب الآن اكتشاف الشركات التي أصيبت بالفعل قبل إنشاء مفتاح القفل هذا.

وفقًا لـ Smith، يبلغ هذا الرقم حاليًا حوالي 40، ولكن من المرجح أن يزداد العدد حيث يتعلم المحققون المزيد عن حمولات المرحلة الثانية هذه، والتي تم تحديد بعضها بواسطة Symantec تحت اسم Teardrop.

يوجد أدناه خريطة توضح التوزيع الحالي للأنظمة المصابة ببرنامج SUNBURST الضار في المرحلة الأولى، حسب القياس عن بُعد لـ Microsoft Defender.
Smith، الذي غالبًا ما دعا الحكومات إلى التوقف عن مهاجمة القطاع الخاص كجزء من عملية التجسس الإلكتروني، لم ينسب الهجوم إلى أي دولة بعينها، لكنه انتقد المهاجمين.

قال Smith: "هذا ليس تجسسًا كالمعتاد، حتى في العصر الرقمي. وبدلاً من ذلك، فإنه يمثل عملاً متهورًا أدى إلى حدوث ضعف تكنولوجي خطير للولايات المتحدة والعالم".

"في الواقع، هذا ليس مجرد هجوم على أهداف محددة، ولكن على ثقة وموثوقية البنية التحتية الحيوية في العالم من أجل تعزيز وكالة الاستخبارات في دولة واحدة."

ودعا سميث إلى قواعد دولية أقوى للتعامل مع الدول التي تنفذ مثل هذه الهجمات المتهورة.

ذكرت صحيفة واشنطن بوست أن مجموعة القرصنة الروسية APT29 هي المسئولة عن اختراق SolarWinds، لكن لم تدعم أي حكومة أو شركة أمنية ادعاء الصحيفة. تم ربط APT29 سابقًا من قبل وكالات المخابرات الأمريكية والإستونية بجهاز المخابرات الخارجية الروسية SVR.