[ad_1]

تصویر سه بعدی انتقال مدلی از کد باینری پس زمینه چکیده.  ذرات آینده نگر برای تجارت ، علم و فناوری ، زمینه آبی

حدود 18000 سازمان در سراسر جهان ابزارهای مدیریت شبکه را بارگیری کرده اند که حاوی درگاهی است که جاسوسان روسی می توانند برای نصب بدافزار اضافی که اطلاعات حساس را سرقت می کند ، نصب کنند.

افشاگری توسط سازنده نرم افزار SolarWinds در آستین ، تگزاس ، یک روز پس از کشف یک نقض امنیتی بزرگ توسط دولت ایالات متحده در آژانس های فدرال و شرکت های خصوصی صورت گرفت. خزانه داری و تجارت در پایان این حملات از جمله آژانس های فدرال بودند که به ایمیل ها و دیگر منابع حساس دسترسی داشتند.

شرکت امنیتی FireEye ، که هفته گذشته نقض جدی شبکه خود را کشف کرد ، گفت هکرهای مورد حمایت دولت روسیه سازوکار به روزرسانی نرم افزار SolarWinds را به خطر انداخته و سپس از آن برای آلوده کردن مشتریان منتخبی که نسخه ای از این ابزار را نصب کرده اند ، استفاده کردند. مدیریت شبکه Orion شرکت. .

SolarWinds در سندی که روز دوشنبه به کمیسیون بورس و اوراق بهادار / SolarWinds ارسال شده است ، گفت: براساس مشتریانی که SolarWinds حدود 300،000 مشتری Orion دارد و تعداد مشتریان تحت تأثیر آن حدود 18،000 است .

سرقت کلیدهای اصلی

چندین عامل باعث شده تا Orion گامی ایده آل به سمت شبکه های مورد نظر هکرهای مورد حمایت روسیه باشد که به یکی از جدی ترین تهدیدات امنیت سایبری ایالات متحده در دهه گذشته تبدیل شده اند. مایک چاپل ، استاد IT ، تجزیه و تحلیل و عملیات در دانشگاه نوتردام ، گفت: این ابزار به طور گسترده ای برای مدیریت روترها ، سوئیچ ها و سایر دستگاه های شبکه در سازمان های بزرگ استفاده می شود. سطح دسترسی ممتاز همراه با تعداد شبکه های در معرض دید Orion را به ابزاری ایده آل برای بهره برداری از هکرها تبدیل کرده است.

چپل ، دانشمند پیشین کامپیوتر با آژانس امنیت ملی ، در مصاحبه ای گفت: “SolarWinds ، به دلیل ماهیت خود ، دسترسی بسیار ممتازی به سایر قسمتهای زیرساخت شما دارد.” “شما می توانید SolarWinds را به عنوان کلیدهای اصلی شبکه خود در نظر بگیرید و اگر می توانید با این نوع ابزارها سازش کنید ، می توانید از این نوع کلیدها برای دسترسی به سایر قسمتهای شبکه استفاده کنید. با به خطر انداختن این مسئله ، شما کلید باز کردن زیرساخت شبکه تعداد زیادی از سازمان ها را دارید. “

این حملات بخشی از آنچه دولت فدرال و مقامات FireEye ، مایکروسافت و سایر شرکت های خصوصی گفتند یک کارزار جاسوسی گسترده است که یک تهدید کننده پیچیده با حمله به زنجیره تأمین در حال انجام آن است.

این شرکت در یک پست وبلاگی روز یکشنبه در FireEye ، اعلام کرد که از یک کمپین نفوذ جهانی رونمایی کرده است که از مکانیزم بروزرسانی SolarWinds به عنوان ورودی اولیه “به شبکه های سازمان های دولتی و خصوصی از طریق زنجیره تامین نرم افزار” استفاده می کند. انتشارات – از جمله واشنگتن پست و نیویورک تایمز – به نقل از مقامات دولتی که نام آنها ذکر نشده است ، اظهار داشتند که Cozy Bear ، یک گروه هکر که گمان می رود عضوی از سرویس امنیت فدرال روسیه (FSB) باشد ، عامل این حملات است.

مقامات FireEye نوشتند: “بر اساس تجزیه و تحلیل ما ، اکنون تعدادی از سازمان ها را شناسایی کرده ایم که نشانه هایی از سازش مربوط به بهار سال 2020 را در آنها می بینیم و در مرحله اطلاع رسانی به این سازمان ها هستیم.” “تجزیه و تحلیل ما نشان می دهد که این معاملات به خودی خود گسترش نمی یابند. هر یک از حملات نیاز به برنامه ریزی دقیق و تعامل دستی دارد. تحقیقات مداوم ما این کمپین را کشف کرده است و ما این اطلاعات را مطابق با روش استاندارد خود به اشتراک می گذاریم. “

FireEye در یک پست جداگانه ، که یکشنبه شب نیز منتشر شد ، افزود: FireEye از یک کمپین گسترده رونمایی کرده است که ما آن را به عنوان UNC2452 دنبال می کنیم. بازیگران این کمپین به بسیاری از سازمانهای دولتی و خصوصی در سراسر جهان دسترسی پیدا کردند. آنها از طریق به روزرسانی تروجان در نرم افزار نظارت و کنترل Orion SolarWind به قربانیان دسترسی پیدا کردند. این کمپین ممکن است در بهار سال 2020 آغاز شده باشد و در حال حاضر ادامه دارد. فعالیت پس از مصالحه پس از این معامله زنجیره تأمین شامل جنبش پهلو و سرقت داده است. این کمپین کار یک بازیگر بسیار واجد شرایط است و این عملیات با امنیت عملیاتی قابل توجهی انجام شده است. “

حفاری بیشتر

درب عقب Orion به مهاجمان دسترسی محدود اما حیاتی به دستگاه های شبکه داخلی را می داد. سپس مهاجمان از تکنیک های دیگر هک برای دفن بیشتر خود استفاده کردند. طبق گفته مایکروسافت ، مهاجمان سپس گواهینامه های امضای را سرقت کردند که به آنها امکان می داد از طریق زبان برچسب گذاری بیانیه امنیتی ، هر یک از کاربران و حساب های موجود را جعل کنند. زبان مبتنی بر XML که به طور معمول SAML خلاصه می شود ، راهی برای ارائه دهندگان هویت فراهم می کند تا داده های تأیید اعتبار و تأیید اعتبار را با ارائه دهندگان خدمات مبادله کنند.

Microsoft Board اظهار داشت:

  • نفوذ کد مخرب به محصول SolarWinds Orion. این امر منجر به استقرار مهاجم در شبکه می شود ، که مهاجم می تواند از آنها برای افزایش اقتدار استفاده کند. Microsoft Defender قبلاً اکتشافاتی برای این پرونده ها داشته است. همچنین نکات امنیتی SolarWinds را ببینید.
  • متجاوز با استفاده از مجوزهای اداری به دست آمده از طریق سازش محلی ، به گواهینامه امضای توکن SAML سازمان دسترسی پیدا می کند. این به آنها امکان می دهد نشانه های SAML را که به هر یک از کاربران و حساب های موجود سازمان از جمله حساب های بسیار ممتاز ارائه می شود ، جعل کنند.
  • ورودی های غیر عادی با استفاده از نشانه های SAML ایجاد شده از یک گواهینامه امضای توکن که می تواند در برابر منابع محلی (صرف نظر از سیستم هویت یا فروشنده) و همچنین در برابر هرگونه محیط ابری (بدون در نظر گرفتن فروشنده) استفاده شود ، برای اعتماد به گواهینامه پیکربندی شده است. از آنجا که برچسب های SAML با گواهی معتبر خود امضا شده اند ، ممکن است سازمان ناهنجاری ها را از دست بدهد.
  • با استفاده از حسابهای بسیار ممتاز که از طریق روش فوق به دست آمده اند و یا در غیر این صورت ، مهاجمان می توانند اعتبارنامه خود را به مدیران سرویس موجود برنامه اضافه کنند و به آنها اجازه می دهند با مجوز اختصاص داده شده به آن برنامه با API تماس بگیرند.

ارائه مدارک صبح روز دوشنبه توسط SolarWinds حاکی از آن است که هکرهای Cozy Bear توانایی حمله به حدود 18000 مشتری این شرکت را داشته اند. هنوز مشخص نیست که چه تعداد از این کاربران واجد شرایط واقعاً هک شده اند.

آژانس امنیت سایبری آژانس امنیت ملی و زیرساخت با صدور بخشنامه ای فوری ، به آژانس های فدرال که از محصولات SolarWinds استفاده می کنند ، دستورالعمل تجزیه و تحلیل شبکه های خود را برای مشاهده علائم سازش صادر می کند. نشریه FireEye در اینجا امضاهای مختلف و سایر معیارها را فهرست می کند که مدیران می توانند برای تشخیص عفونت ها استفاده کنند.

[ad_2]

منبع: tarjome-news.ir