SolarWinds hack continues to spread: What you need to know
تم إلقاء اللوم على روسيا، حيث أصاب الاختراق الوكالات الفيدرالية والشركات الخاصة الكبرى
ضربت حملة قرصنة روسية عدة وكالات فيدرالية، وفقًا لشركات أمنية وتقارير إخبارية
ضربت حملة قرصنة روسية عدة وكالات فيدرالية، وفقًا لشركات أمنية وتقارير إخبارية
تقوم وكالة مخابرات روسية بحملة برمجيات خبيثة معقدة، حيث تضرب العديد من الوكالات الفيدرالية الأمريكية والشركات الخاصة بما في ذلك شركة Microsoft، وفقًا لتقارير إخبارية وتحليلات من شركات أمنية، وفقًا لوزارة الخارجية. بدأ الاختراق الهائل، الذي ورد أنه تضمن نظام بريد إلكتروني تستخدمه القيادة العليا في وزارة الخزانة، في وقت سابق من هذا العام، عندما اخترق قراصنة البرمجيات التي صنعتها شركة الأمن السيبراني SolarWinds.
تبيع الشركة المخترقة برنامجًا يتيح للمؤسسة رؤية ما يحدث على شبكات الكمبيوتر الخاصة بها. أدخل المتسللون رمزًا ضارًا في إصدار محدث من البرنامج يسمى Orion. قالت الشركة إن حوالي 18000 من عملاء SolarWinds قاموا بتثبيت التحديثات الملوثة على أنظمتهم. كان لعملية التحديث المخترقة تأثير شامل، حيث يستمر حجمها في النمو مع ظهور معلومات جديدة.
خلال عطلة نهاية الأسبوع، طرح الرئيس Donald Trump على Twitter فكرة أن الصين قد تكون وراء الهجوم. Trump، الذي لم يقدم أدلة لدعم اقتراح تورط الصين، وضع علامة على وزير الخارجية Mike Pompeo، الذي قال في وقت سابق في مقابلة إذاعية "يمكننا أن نقول بوضوح أن الروس هم من شاركوا في هذا النشاط".
وفي بيان مشترك، وصفت أجهزة الأمن القومي الأمريكية الخرق بأنه "كبير ومستمر". لا يزال من غير الواضح عدد الوكالات المتأثرة أو المعلومات التي ربما يكون المتسللون قد سرقوها حتى الآن، ولكن وفقًا لجميع الحسابات، تعد البرامج الضارة قوية للغاية. وفقًا لتحليل أجرته Microsoft وشركة FireEye الأمنية، وكلاهما مصاب، فإن البرنامج الضار يمنح المتسللين وصولًا واسعًا إلى الأنظمة المتأثرة.
وقالت Microsoft إنها حددت أكثر من 40 عميلًا تم استهدافهم في الاختراق. من المحتمل أن تظهر المزيد من المعلومات حول الاختراق وعواقبه. إليك ما تحتاج لمعرفته حول اختراق SolarWinds:
كيف تسلل المخترقون إلى تحديث البرامج؟
تمكن القراصنة من الوصول إلى نظام تستخدمه SolarWinds لتجميع التحديثات لمنتج Orion الخاص بها، كما أوضحت الشركة في ملف مع SEC. من هناك، قاموا بإدراج تعليمات برمجية ضارة في تحديثات البرامج المشروعة. يُعرف هذا باسم هجوم سلسلة التوريد supply-chain attack، لأنه يصيب البرامج أثناء تجميعها.
إنه انقلاب كبير للمتسللين لشن هجوم على سلسلة التوريد، لأنه يحزم برامجهم الضارة داخل برنامج موثوق به. بدلاً من الاضطرار إلى خداع أهداف فردية لتنزيل برامج ضارة بحملة تصيد احتيالي، يمكن للقراصنة الاعتماد على العديد من الوكالات الحكومية والشركات لتثبيت تحديث Orion عند مطالبة SolarWinds.
هذا النهج قوي بشكل خاص في هذه الحالة لأن مئات الآلاف من الشركات والوكالات الحكومية حول العالم تستخدم برنامج Orion. مع إصدار تحديث البرنامج الملوث، أصبحت قائمة عملاء SolarWinds الواسعة أهداف قرصنة محتملة.
تمكن القراصنة من الوصول إلى نظام تستخدمه SolarWinds لتجميع التحديثات لمنتج Orion الخاص بها، كما أوضحت الشركة في ملف مع SEC. من هناك، قاموا بإدراج تعليمات برمجية ضارة في تحديثات البرامج المشروعة. يُعرف هذا باسم هجوم سلسلة التوريد supply-chain attack، لأنه يصيب البرامج أثناء تجميعها.
إنه انقلاب كبير للمتسللين لشن هجوم على سلسلة التوريد، لأنه يحزم برامجهم الضارة داخل برنامج موثوق به. بدلاً من الاضطرار إلى خداع أهداف فردية لتنزيل برامج ضارة بحملة تصيد احتيالي، يمكن للقراصنة الاعتماد على العديد من الوكالات الحكومية والشركات لتثبيت تحديث Orion عند مطالبة SolarWinds.
هذا النهج قوي بشكل خاص في هذه الحالة لأن مئات الآلاف من الشركات والوكالات الحكومية حول العالم تستخدم برنامج Orion. مع إصدار تحديث البرنامج الملوث، أصبحت قائمة عملاء SolarWinds الواسعة أهداف قرصنة محتملة.
ما الجهات الحكومية التي أصيبت بالبرامج الضارة؟
وفقًا لتقارير من رويترز وواشنطن بوست وذا وول ستريت جورنال، أثر البرنامج الضار على وزارة الأمن الداخلي الأمريكية، ووزارة الخارجية، ووزارة التجارة، ووزارة الخزانة، بالإضافة إلى المعاهد الوطنية للصحة. ذكرت صحيفة بوليتيكو يوم الخميس أن البرامج النووية التي تديرها وزارة الطاقة الأمريكية والإدارة الوطنية للأمن النووي مستهدفة أيضًا.
لا يزال من غير الواضح ما هي المعلومات، إن وجدت، التي سُرقت من الوكالات الفيدرالية، ولكن يبدو أن مقدار الوصول إليها واسع.
على الرغم من أن وزارة الطاقة ووزارة التجارة قد أقرتا بالاختراق لمصادر الأخبار، فلا يوجد تأكيد رسمي على أن وكالات فيدرالية أخرى محددة قد تم اختراقها. ومع ذلك، أصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية نصيحة تحث الوكالات الفيدرالية على التخفيف من البرامج الضارة، مشيرة إلى أنها "يتم استغلالها حاليًا من قبل الجهات الخبيثة."
وفي بيان يوم الخميس، قال الرئيس المنتخب Joe Biden إن إدارته "ستجعل التعامل مع هذا الخرق على رأس أولوياتنا منذ اللحظة التي نتولى فيها المنصب".
وفقًا لتقارير من رويترز وواشنطن بوست وذا وول ستريت جورنال، أثر البرنامج الضار على وزارة الأمن الداخلي الأمريكية، ووزارة الخارجية، ووزارة التجارة، ووزارة الخزانة، بالإضافة إلى المعاهد الوطنية للصحة. ذكرت صحيفة بوليتيكو يوم الخميس أن البرامج النووية التي تديرها وزارة الطاقة الأمريكية والإدارة الوطنية للأمن النووي مستهدفة أيضًا.
لا يزال من غير الواضح ما هي المعلومات، إن وجدت، التي سُرقت من الوكالات الفيدرالية، ولكن يبدو أن مقدار الوصول إليها واسع.
على الرغم من أن وزارة الطاقة ووزارة التجارة قد أقرتا بالاختراق لمصادر الأخبار، فلا يوجد تأكيد رسمي على أن وكالات فيدرالية أخرى محددة قد تم اختراقها. ومع ذلك، أصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية نصيحة تحث الوكالات الفيدرالية على التخفيف من البرامج الضارة، مشيرة إلى أنها "يتم استغلالها حاليًا من قبل الجهات الخبيثة."
وفي بيان يوم الخميس، قال الرئيس المنتخب Joe Biden إن إدارته "ستجعل التعامل مع هذا الخرق على رأس أولوياتنا منذ اللحظة التي نتولى فيها المنصب".
لماذا الاختراق صفقة كبيرة؟
بالإضافة إلى الوصول إلى العديد من الأنظمة الحكومية، قام المتسللون بتحويل تحديث البرامج العادي إلى سلاح. تم توجيه هذا السلاح إلى آلاف المجموعات، وليس فقط الوكالات والشركات التي ركز عليها المتسللون بعد تثبيت تحديث Orion الملوث.
وصف Brad Smith، رئيس شركة Microsoft، هذا بأنه "عمل طائش an act of recklessness" في منشور واسع النطاق على مدونة بحث في تداعيات الاختراق. لم ينسب الاختراق مباشرة إلى روسيا، لكنه وصف حملات القرصنة المزعومة السابقة بأنها دليل على صراع إلكتروني مشحون بشكل متزايد.
قال Smith: "هذا ليس مجرد هجوم على أهداف محددة، ولكن على ثقة وموثوقية البنية التحتية الحيوية في العالم من أجل النهوض بوكالة استخبارات دولة واحدة". ومضى في الدعوة إلى اتفاقيات دولية للحد من إنشاء أدوات القرصنة التي تقوض الأمن السيبراني العالمي.
قال Alex Stamos، رئيس الأمن السيبراني السابق في فيسبوك، على Twitter إن الاختراق قد يؤدي إلى زيادة انتشار هجمات سلسلة التوريد. ومع ذلك، فقد تساءل عما إذا كان الاختراق هو أي شيء خارج عن المألوف بالنسبة لوكالة استخبارات جيدة الموارد.
وقال Stamos: "حتى الآن، كل النشاط الذي نوقش علنًا يقع في حدود ما تفعله الولايات المتحدة بانتظام".
هل تعرضت الشركات الخاصة أو الحكومات الأخرى للبرامج الضارة؟
نعم. أكدت Microsoft الخميس أنها عثرت على مؤشرات عن وجود برمجيات خبيثة في أنظمتها، بعد أن أكدت قبل ذلك بأيام أن الاختراق يؤثر على عملاء خدمات الأمن السيبراني لديها. وذكر تقرير لرويترز أيضا أن أنظمة Microsoft الخاصة استخدمت لتعزيز حملة القرصنة، لكن Microsoft نفت هذا الادعاء لوكالات الأنباء. وبدأت الشركة، الأربعاء، في الحجر الصحي لإصدارات Orion المعروفة باحتوائها على البرمجيات الخبيثة، من أجل قطع المتسللين عن أنظمة عملائها.
كما أكدت FireEye الأسبوع الماضي أنها أصيبت بالبرنامج الخبيث وشهدت الإصابة في أنظمة العملاء أيضًا.
وقالت صحيفة وول ستريت جورنال يوم الاثنين إنها كشفت عن 24 شركة على الأقل قامت بتثبيت البرامج الضارة. وتشمل هذه شركات التكنولوجيا Cisco و Intel و Nvidia و VMware و Belkin، وفقًا للمجلة. وبحسب ما ورد تمكن المتسللون من الوصول إلى مستشفيات ولاية كاليفورنيا وجامعة ولاية كينت.
ليس من الواضح أي من عملاء القطاع الخاص الآخرين في SolarWinds شهد إصابات بالبرامج الضارة. تشمل قائمة عملاء الشركة الشركات الكبيرة، مثل AT&T و Procter & Gamble و McDonald's. تعتبر الشركة أيضًا الحكومات والشركات الخاصة حول العالم كعملاء. يقول FireEye أن العديد من هؤلاء العملاء أصيبوا.
نعم. أكدت Microsoft الخميس أنها عثرت على مؤشرات عن وجود برمجيات خبيثة في أنظمتها، بعد أن أكدت قبل ذلك بأيام أن الاختراق يؤثر على عملاء خدمات الأمن السيبراني لديها. وذكر تقرير لرويترز أيضا أن أنظمة Microsoft الخاصة استخدمت لتعزيز حملة القرصنة، لكن Microsoft نفت هذا الادعاء لوكالات الأنباء. وبدأت الشركة، الأربعاء، في الحجر الصحي لإصدارات Orion المعروفة باحتوائها على البرمجيات الخبيثة، من أجل قطع المتسللين عن أنظمة عملائها.
كما أكدت FireEye الأسبوع الماضي أنها أصيبت بالبرنامج الخبيث وشهدت الإصابة في أنظمة العملاء أيضًا.
وقالت صحيفة وول ستريت جورنال يوم الاثنين إنها كشفت عن 24 شركة على الأقل قامت بتثبيت البرامج الضارة. وتشمل هذه شركات التكنولوجيا Cisco و Intel و Nvidia و VMware و Belkin، وفقًا للمجلة. وبحسب ما ورد تمكن المتسللون من الوصول إلى مستشفيات ولاية كاليفورنيا وجامعة ولاية كينت.
ليس من الواضح أي من عملاء القطاع الخاص الآخرين في SolarWinds شهد إصابات بالبرامج الضارة. تشمل قائمة عملاء الشركة الشركات الكبيرة، مثل AT&T و Procter & Gamble و McDonald's. تعتبر الشركة أيضًا الحكومات والشركات الخاصة حول العالم كعملاء. يقول FireEye أن العديد من هؤلاء العملاء أصيبوا.
ماذا نعرف عن تورط روسيا في الاختراق؟
وعزا Pompeo يوم الجمعة الاختراق لروسيا. جاء ذلك بعد أن أفادت وسائل الإعلام على مدار الأسبوع أن مسئولين حكوميين قالوا إن مجموعة قرصنة يعتقد أنها وكالة مخابرات روسية مسئولة عن حملة البرمجيات الخبيثة. نسبت شركة SolarWinds وشركات الأمن السيبراني الاختراق إلى "جهات فاعلة في الدولة القومية" لكنها لم تحدد أي دولة بشكل مباشر.
في بيان على فيسبوك، نفت السفارة الروسية في الولايات المتحدة مسئوليتها عن حملة قرصنة SolarWinds. وقالت السفارة إن "الأنشطة الخبيثة في مجال المعلومات تتعارض مع مبادئ السياسة الخارجية الروسية والمصالح الوطنية وفهمنا للعلاقات بين الدول"، مضيفة أن "روسيا لا تقوم بعمليات هجومية في المجال السيبراني".
الملقب بـ APT29 أو CozyBear، تم إلقاء اللوم على مجموعة القرصنة التي أشارت إليها التقارير الإخبارية سابقًا لاستهداف أنظمة البريد الإلكتروني في وزارة الخارجية والبيت الأبيض أثناء إدارة الرئيس Barack Obama. تم تسميته أيضًا من قبل وكالات المخابرات الأمريكية كواحدة من المجموعات التي اخترقت أنظمة البريد الإلكتروني في اللجنة الوطنية الديمقراطية في عام 2015، لكن تسريب رسائل البريد الإلكتروني هذه لا يُنسب إلى CozyBear. (تم إلقاء اللوم على وكالة روسية أخرى في ذلك).
في الآونة الأخيرة، حددت الولايات المتحدة والمملكة المتحدة وكندا المجموعة باعتبارها مسئولة عن جهود القرصنة التي حاولت الوصول إلى معلومات حول أبحاث لقاح COVID-19.
في الآونة الأخيرة، حددت الولايات المتحدة والمملكة المتحدة وكندا المجموعة باعتبارها مسئولة عن جهود القرصنة التي حاولت الوصول إلى معلومات حول أبحاث لقاح COVID-19.
