هک SolarWinds با همکاری حداقل ۱۰۰۰ مهندس مجرب اجرا شده است

مدیران حوزه فناوری می‌گویند هک تاریخی «سولار ویندز» (SolarWinds) که حدود ۱۰۰ شرکت آمریکا و ۹ سازمان فدرال را تحت تاثیر قرار داد، بسیار بزرگ‌تر و پیچیده‌تر از چیزی است که پیش‌تر تصور می‌شد. این اطلاعات در جلسه روز سه‌شنبه کمیته اطلاعات مجلس سنای آمریکا ارائه شده است.

هکرهایی که گفته می‌شود به روسیه وابسته بودند، در سال ۲۰۲۰ توانستند با استفاده از برنامه‌های سولار ویندز و مایکروسافت به شرکت‌ها و سازمان‌های آمریکایی نفوذ کنند. در این حمله حتی از سرورهای شرکت آمازون نیز استفاده شد، ولی این غول دنیای فناوری از ارسال نماینده به جلسه استماع مجلس سنا خودداری کرد.

نمایندگان شرکت‌های درگیر از جمله سولار ویندز، مایکروسافت و شرکت‌های امنیت سایبری FireEye و CrowdStrike به سناتورها گفتند که دامنه حقیقی تبعات این حمله هنوز نامشخص است، چون اکثر قربانیان از نظر قانون موظف به افشای حملات نبوده‌اند مگر این که پای اطلاعات حساس افراد در میان بوده باشد. با این حال، آن‌ها از عملیاتی در ابعادی باورنکردنی حرف زدند.

برد اسمیت، نماینده مایکروسافت گفت محققان این شرکت باور دارند که حداقل ۱۰۰۰ مهندس قابل و ماهر در حمله سولار ویندز نقش داشته‌اند. اسمیت خطاب به سناتورها اظهار داشت: «[حمله سولار ویندز] بزرگ‌ترین و پیچیده‌ترین نوع از عملیات‌هایی است که تاکنون دیده‌ایم.»

اسمیت گفت موفقیت این عملیات ناشی از توانایی در نفوذ به سیستم‌ها از طریق فرآیندهای روتین بوده است. سولار ویندز به عنوان نرم‌افزاری برای نظارت بر شبکه عمل می‌کند و در اعماق زیرساخت سیستم‌های فناوری اطلاعات به دنبال شناسایی و رفع مشکلات است. این شرکت خدمات مهمی را برای کمپانی‌های مختلفی در سرتاسر دنیا فراهم می‌کند. اسمیت گفت: «جهان به اصلاح و به‌روزرسانی نرم‌افزارها در سطوح مختلف متکی است. اخلال یا دستکاری در عملکرد چنین نرم‌افزارهایی معادل اخلال در عملکرد خدمات بهداشت عمومی است. این کار تمام جهان را در معرض خطر بزرگ‌تری قرار می‌دهد.»

این مقام شرکت مایکروسافت افزود: «مثل این است که سارقی بخواهد وارد یک آپارتمان شود ولی سیستم هشدار تمامی خانه‌ها و ساختمان‌های شهر را غیرفعال کند. امنیت همه به خطر می‌افتد. ما در حال حاضر با چنین شرایطی روبرو هستیم.»

اسمیت گفت هکرها از تکنیک‌های زیادی استفاده کرده‌اند که هنوز از آن‌ها خبر نداریم. آن‌ها احتمالا در طول سال ۲۰۲۰ به روش‌های مختلف و به دفعات سعی داشتند به شبکه‌های قربانیان نفوذ کنند. مایکروسافت هفته گذشته اذعان کرد که هکرها توانسته‌اند به کد منبعی دست یابند که به شدت تحت حفاظت بوده و چگونگی احراز هویت کاربران در برنامه‌های این شرکت را تشریح می‌کرده است. اسمیت تاکید کرد که این اقدامات به خاطر خطاهای برنامه‌نویسی مایکروسافت ممکن نشده، بلکه به خاطر پیکربندی‌های نامناسب و کنترل‌های ضعیف سمت مشتری بوده است.

«جورج کرتز» (George Kurtz)، مدیرعامل شرکت CrowdStrike، توضیح داد که هکرها در خصوص شرکت خودش از طریق یکی از فروشندگان شخص ثالث نرم‌افزارهای مایکروسافت اقدام کرده‌اند. این فروشنده به سیستم‌های CrowdStrike دسترسی داشته ولی نتوانسته وارد ایمیل شرکت شود. کرتز تقصیر را به گردن معماری پیچیده مایکروسافت انداخت و آن را «منسوخ» دانست.

کرتز گفت مهاجم از نقاط ضعف سیستمیِ معماری احراز هویت ویندوز بهره جسته که اجازه حرکت جانبی درون شبکه و دسترسی به فضای ابری را به او داده است. اکنون در شرایطی که اسمیت از دولت آمریکا کمک خواسته تا دستورالعمل‌هایی را برای بهبود شرایط به کاربران ارائه کند، کرتز می‌گوید مایکروسافت باید به بررسی وضعیت خودش بپردازد و مشکلات سیستم‌های فراگیری مثل Active Directory و Azure را برطرف کند.

کرتز گفت: «اگر مایکروسافت محدودیت‌های معماری احراز هویت Active Directory و Acure Active Directory را برطرف کند، یا اصلا به سراغ روش دیگری برود، عامل تهدید به طور کامل از یکی از پراستفاده‌ترین پلتفرم‌های احراز هویت دنیا حذف می‌شود.»

مدیران خواستار شفافیت بیشتر و فراهم‌سازی بستری برای اشتراک‌گذاری اطلاعات مربوط به حمله‌ها شدند. آن‌ها می‌گویند باید سیستمی برای محافظت از قربانیان وجود داشته باشد و برای کسانی که قدم پیش می‌گذارند مجازاتی در نظر گرفته نشود. اسمیت گفت ضروری است که اشتراک‌گذاری اطلاعات مربوط به حملات سایبری شرایط بهتری داشته باشد.

قانون‌گذاران در گفتگو با مدیران شرکت‌ها جویای روش‌هایی برای اشتراک‌گذاری آسان و محرمانه اطلاعات شدند تا از وقوع چنین هک‌های بزرگی در آینده جلوگیری کنند. شایعه شده که دولت بایدن می‌خواهد به موجب این حمله تحریم‌هایی را علیه روسیه در نظر بگیرد.

سناتور «مارک وارنر» از ایالت ویرجینیا گفت: «این اتفاق می‌توانست بسیار بدتر باشد و لازم است که آن را جدی بگیریم. ما حداقل باید هزینه انجام این کارها را برای دشمنانمان بالا ببریم.» قانون‌گذاران به شدت از آمازون به خاطر عدم حضور در این جلسه انتقاد و این شرکت را تهدید کردند که آن‌ها را برای ادای شهادت در جلسه دیگری فرا می‌خوانند.

سناتور «سوزان کالینز» گفت: «فکر می‌کنم [آمازون] وظیفه دارد که به روند تحقیقات این پرونده کمک کند، و امیدوارم که آن‌ها داوطلبانه این کار را انجام دهند. در غیر این صورت، فکر می‌کنم باید به فکر گام‌های بعدی باشیم.»