تکنیک حمله به SolarWinds می‌تواند توسط هکرهای دیگر استفاده شود

حمله‌ی گسترده‌ی اخیر به نرم‌افزار سازمانی شرکت سولار ویندز (SolarWinds) تعداد بسیار زیادی از شرکت‌های فعال در ایالات متحده‌ی آمریکا را متأثر کرد که در بین آن‌ها آژانس‌های دولتی آمریکایی نیز به ‌چشم می‌خورند. تحلیلگران می‌گویند منبع اصلی حملات به روسیه برمی‌گردد.

براساس مقاله‌ی وایرد، یکی از ترسناک‌ترین جنبه‌های حمله به SolarWinds،‌ استفاده‌ی موفقیت‌آمیز از تکنیک حمله‌ی زنجیره‌ی تأمین (Supply Chain Attack) بود که در نتیجه‌ی آن، ده‌ها هزار شرکتی که مشغول استفاده یک نرم‌افزار سازمانی بودند، تبدیل ‌به هدف بالقوه شدند.

این موضوع تنها ویژگی برجسته‌ی حمله‌‌ی سایبری به SolarWinds محسوب نمی‌شود. پس از هدف قرار دادن نرم‌افزار سازمانی SolarWinds، هکرها با اتکا بر استراتژی‌هایی ساده و ظریف، عمیق‌تر وارد شبکه‌های شرکتی قربانیان شدند. در همین راستا به‌تازگی محققان امنیتی نگرانی خود را از افزایش این تکنیک در حملات سایبری ابراز کرد‌ه‌اند. 

هکرهای SolarWinds در بسیاری از مواقع از دسترسی‌‌شان برای نفوذ به سرویس‌های ایمیل مایکروسافت ۳۶۵ (Microsoft 365) و زیرساخت ابری مایکروسافت آژور (Microsoft Azure Cloud) استفاده کردند. مایکروسافت ۳۶۵ و مایکروسافت آژور دو سرویس بسیار بزرگ و محبوب هستند و گنجینه‌ای از داده‌های ارزشمند دارند.

چالش جلوگیری از این نوع نفوذ به مایکروسافت ۳۶۵ و آژور این است که وابسته ‌به آسیب‌پذیری خاصی نیستند که بتوان به‌راحتی آن را با ارتقا سیستم، بهبود داد. به‌ جای آن، هکرها با استفاده از حمله‌ای اولیه، در موقعیتی قرار می‌گیرند که بتوانند سرویس‌های مایکروسافت ۳۶۵ و آژور را به‌ گونه‌ای اصلاح کنند که انگار یکی از کارمندان مایکروسافت چنین کاری انجام داده است؛ با این کار عملا همه ‌چیز طبیعی به ‌نظر می‌رسد. در مورد حملات سایبری SolarWinds، این تکنیک به‌ شکل گسترده اثرگذار بود. 

متیو مک‌ویرت، از مدیران Mandiant Fireeye که پیش از بقیه موفق شد در اوایل ماه دسامبر ۲۰۲۰ (اواسط آذر ۱۳۹۹) پویش هک روسیه را برای SolarWinds شناسایی کند، می‌گوید امروزه هکرهای دیگری وجود دارند که قطعا سراغ استفاده از این نوع تکنیک‌ خواهند رفت؛ زیرا دنبال راهکاری می‌گردند که حملات سایبری را به ‌نتیجه برساند.

در حملات اخیر هکرها سراغ یکی از نرم‌افزارهای SolarWinds رفتند که با نام Orion شناخته می‌شود؛ سپس به‌روزرسانی‌ حاوی بدافزار را برای Orion منتشر کردند که باعث شد امکان دسترسی به شبکه‌ی تمامی مشتریان SolarWinds که به‌روزرسانی را دانلود کرده بودند فراهم شود.

از این مرحله به بعد، هکرها می‌توانستند به ‌لطف بدافزار، به سیستم قربانیان دسترسی پیدا کنند و کنترل گواهی‌ها و کلیدهایی که برای تولید توکن‌ تصدیق هویت سیستم (SAML) در مایکروسافت ۳۶۵ و مایکروسافت آژور استفاده می‌شود به ‌دست بگیرند. سازمان‌های مختلف به‌طور محلی از طریق سرویس‌ Active Directory Federation مایکروسافت، زیرساخت‌های سیستم تصدیق هویت را مدیریت می‌کنند و به سرورهای ابری متکی نمی‌شوند. 

زمانی‌که هکرها به ‌حدی در شبکه دسترسی داشته باشند که بتوانند سیستم تصدیق هویت را دست‌کاری کنند، می‌توانند برای خود توکن اختصاصی معتبر بسازند و به ‌لطف آن به تمامی حساب‌های کاربری مایکروسافت ۳۶۵ و آژور در آن سازمان دسترسی پیدا کنند. به‌منظور دسترسی به حساب‌های کاربری، هیچ نیازی به وارد کردن رمز عبور یا احراز هویت چند عاملی وجود ندارد.

از این‌جا به بعد، هکرها توانایی ایجاد حساب‌ کاربری جدید دارند و می‌توانند بالاترین دسترسی ممکن را به حساب کاربری اختصاصی خود بدهند تا بدون روبه‌رو شدن با محدودیت و بدون اینکه مشکلی پیش بیاید، هر کاری در شبکه انجام بدهند.

در ماه پایانی سال گذشته‌ی میلادی مایکروسافت اعلام کرد تکنیک‌های مورد بحث به حملات SolarWinds ارتباط دارند. ردموندی‌ها اعتقاد دارند دولت‌ها و شرکت‌های بخش خصوصی باید به ‌شکل روزافزون در حوزه‌ی فعالیت‌های دولت-ملت سیاست‌ شفاف در پیش بگیرند تا همچنان بتوان به‌صورت جهانی از اینترنت محافظت کرد. مایکروسافت امیدوار است رسانه‌ای کردن موضوع SolarWinds باعث افزایش آگاهی سازمان‌ها و افراد درباره‌ی اقداماتی شود که می‌توانند برای محافظت از خود انجام دهند.

در همان ماه آژانس امنیت ملی ایالات متحده‌ی آمریکا (NSA) جزئیات تکنیک‌های حملات SolarWinds را در مقاله‌ای منتشر کرد که براساس آن، ‌هنگام استفاده از سرویس‌هایی که فرایند تصدیق هویت را انجام می‌دهند، باید حتما مطمئن شوید که شبکه برای هرگونه مشکل امنیتی آماده باشد. در غیر این‌صورت امکان ایجاد توکن SAML جعلی توسط هکرها وجود دارد که به‌ کمک آن می‌توانند به منابع زیادی دسترسی پیدا کنند. 

از زمان حملات SolarWinds، مایکروسافت ابزارهای نظارتی Azure Sentinel را افزایش داده است. به‌علاوه شرکت Mandiant ابزاری منتشر کرده است که به سازمان‌ها و افراد امکان می‌دهد استفاده از توکن‌های دسترسی به مایکروسافت ۳۶۵ و آژور را بررسی کنند.

حال ‌که جزئيات تکنیک‌های حملات SolarWinds به‌صورت کاملا عمومی در دسترس قرار گرفته، ممکن است هکرهای بیشتری مشغول استفاده از آن‌ها شوند و سازمان‌های بیشتری در معرض خطر باشند. برخی از محققان امنیتی سال‌ها است هشدار می‌دهند که دست‌کاری توکن‌ SAML برای تقریبا تمامی کاربران سرویس‌های ابری، پرمخاطره محسوب می‌شود؛ نه فقط برای کسانی که متکی ‌بر پلتفرم آژور هستند.

در سال ۲۰۱۷ شیکد راینر، محققی در شرکت CyberArk، جزئیات برخی از یافته‌های خود درباره‌ی تکنیک موردبحث (GoldenSAML) را منتشر کرد. راینر می‌گوید هکرها در چند سال گذشته زیاد از GoldenSAML استفاده نکرده‌اند؛ زیرا این روش به دسترسی سطح بالا نیاز دارد. بااین‌حال او همواره شاهد افزایش استفاده از این تکنیک بوده است که با توجه به اثرگذاری آن، اجتناب‌ناپذیر است. این محقق امنیتی وقتی متوجه شده هکرهای SolarWinds از این تکنیک استفاده کرده‌اند، متعجب نشده است؛ زیرا با تمام چالش‌های این تکنیک، استفاده از آن کاملا ارزش دارد و دسترسی‌های زیادی در اختیار هکر قرار می‌دهد.

شیکد راینر می‌گوید: «از آن‌جایی که هکرهای SolarWinds به ‌شکل بسیار موفقیت‌آمیز از آن استفاده کردند، مطمئن هستم که هکرهای دیگر از فرایند این حمله یادداشت‌برداری خواهند کرد و از این پس بیشتر و بیشتر سراغ استفاده از آن خواهند رفت.» 

Mandiant و CyberArk ‌اکنون در تلاش هستند که به مشتریان خود برای اقدامات امنیتی کمک کنند. با این کمک‌ها، مشتریان دو شرکت یادشده می‌توانند جلوی انجام حملات Golden SAML را بگیرند یا اگذ تشخیص بدهند این حملات درحال انجام هستند، به‌سرعت به آن‌ها پاسخ بدهند.

 Mandiant چند روز پیش مقاله‌ای منتشر کرد تا بگوید سازمان‌ها چگونه می‌توانند بررسی کنند که آیا حملات نوع Golden SAML علیه آن‌ها انجام شده است یا خیر. سپس می‌توانند سیستم‌هایی روی کار بیاورند تا کار را برای هکرها سخت کنند. سازمان‌ها باید مطمئن شوند که «سرویس‌های ارائه‌دهنده‌ی هویت» آن‌ها نظیر سرورهایی که حاوی گواهی‌ توکن هستند به‌درستی پیکربندی شده باشند. دسترسی به سیستم‌های تصدیق هویت باید بسیار محدود شود تا حساب‌های کاربری زیادی اجازه‌ی اصلاح آن‌ها را نداشته باشند. به‌علاوه سازمان‌ها باید حتما روی نحوه‌ی استفاده از توکن‌ نظارت کنند تا هرگونه فعالیت غیر عادی را سریعا تشخیص بدهند.

به گفته‌ی محققان امنیتی، برای مثال باید حواستان به توکن‌هایی باشد که ماه‌ها یا سال‌ها پیش صادر شده‌اند؛ اما چند هفته‌ی پیش برای انجام فرایند تصویق هویت از آن‌ها استفاده شده است. راینر می‌گوید سازمان‌هایی که سیستم نظارتی قوی دارند، می‌توانند اقدامات هکرها برای از بین ‌بردن سرنخ‌ها را تشخیص بدهند. مثلا اگر توکنی می‌بینید که به ‌شکل گسترده مورد استفاده قرار می‌گیرد اما نمی‌توانید به داده‌های مربوط به زمان صدور آن دسترسی پیدا کنید، ممکن است برای انجام فعالیت‌های مخرب مورد استفاده قرار گرفته باشد.

راینر می‌گوید هرچه تعداد سازمان‌های متکی ‌بر سرور ابری افزایش می‌یابد، استفاده‌ از  SAML  بیشتر می‌شود. سازمان‌ها باید آماده باشند؛ زیرا  این تکنیک‌ را نمی‌توانیم آسیب‌پذیری خطاب کنیم؛ بلکه بخشی از ذات پروتکل است. به‌همین دلیل فعلا قرار است با مشکلی که SolarWinds را متأثر کرد روبه‌رو شویم.