هکرها چه‌طور به شبکه نهادهای دولتی آمریکا نفوذ کردند؟

۲۵ آذر ۱۳۹۹

خواندن در ۶ دقیقه

وزارت خزانه‌داری آمریکا و اداره اطلاعات و ارتباطات ملی وزارت بازرگانی، دو نهاد دولتی هستند که هکرهای وابسته به یک دولت خارجی به شبکه داخلی آن‌ها نفوذ کرده وایمیل کارکنان آن‌ها را زیر نظر گرفته‌اند

احمد باطبی

روز یک‌شنبه، ۲۳ آذر ماه، خبرگزاری «رویترز» در گزارشی اختصاصی فاش کرد که دست‌کم وزارت خزانه‌داری آمریکا و اداره اطلاعات و ارتباطات ملی وزارت بازرگانی، دو نهاد دولتی هستند که هکرهای وابسته به یک دولت خارجی به شبکه داخلی آن‌ها نفوذ کرده و ایمیل کارکنان آن‌ها را زیر نظر گرفته‌اند.

بنا بر این گزارش، مهاجمان با نفوذ به دفتر نرم‌افزاری اداره اطلاعات و ارتباطات ملی آمریکا، ایمیل‌هایی را که با نرم‌افزار «آفیس ۳۶۵» فعال بوده‌اند، هک کرده‌اند و گویا ضمن عبور از بخش پیچیده احراز هویت شرکت «مایکروسافت»، دست‌کم از تابستان امسال به اکثر ایمیل‌های کارکنان دولت ایالات متحده دسترسی داشتند.

این نفوذ سایبری به حدی جدی بود که شورای امنیت «کاخ سفید»، روز شنبه سیزدهم دسامبر تشکیل جلسه داده است و به بخش‌های مختلف دولت ایالات متحده اعلام آماده‌باش داده است.

رویترز به نقل از منابع آگاه در این مورد نوشته است، بعید نیست که هکرها با استفاده از همان ابزار و سازوکاری که به وزارتخانه‌های خزانه‌داری و بازرگانی نفوذ کرده‌اند، بخش‌های دیگری از دولت ایالات متحده، شرکت‌های مطرح اقتصادی و کمپانی‌های فعال در حوزه اینترنت نیز نفوذ کرده و در حال جاسوسی از آن‌ها باشند.

هر چند مظنون اول این حمله بی‌سابقه سایبری، هکرهای تحت حمایت روسیه اعلام شدند، اما سفارت روسیه در واشنگتن اتهام تهاجم سایبری به سیستم‌های دولتی آمریکا را رد کرده و انجام آن را در تضاد با منافع ملی و اصول روابط خارجی روسیه دانسته است. با این حال، پلیس فدرال آمریکا «FBI» تحقیقات خود را درباره هکرهای روسی، از جمله گروه «تهدید پیشرفته مستمر۲۹» (APT29) یا (Cozy Bear) آغاز کرده است.

چند روز پیش از این حمله، شرکت امنیتی «فایرآی» (FireEye) اعلام کرده بود که ایالات متحده، بخش‌هایی از آمریکای شمالی، اروپا، آسیا، خاورمیانه و حتی خود شرکت فایرآی، از سوی یک کشور خارجی در بالاترین سطح مورد تهاجم سایبری قرار گرفته‌اند.

این شرکت هم‌زمان با انتشار خبر رویترز، گزارشی را در وب‌سایت خود منتشر کرد و از کشف یک کمپین نفوذ بین‌المللی با عنوان «UNC2452» خبر داد. فایرآی فاش کرد که حملات گسترده صورت‌گرفته، از طریق نسخه به‌روزرسانی‌شده بدافزار موسوم به «SUNBURST» انجام شده و احتمالا از اوایل بهار سال جاری میلادی، امکان یک زنجیره از حملات وسیع به محصول تجاری «SolarWinds Orion» را فراهم کرده است.

«سولار ویندز» یک بستر نرم‌افزاری محصول شرکت «SolarWinds Inc» مستقر در ایالت تگزاس آمریکا است که از طریق آن می‌توان شبکه‌های بزرگ، حاوی سرورها، ایستگاه‌های کاری، تلفن‌های همراه و اینترنت اشیا را مدیریت‌ کرد و بر آن کنترل داشت. حالا نسخه‌های به‌روزرسانی Orion 2019.4 تا 2020.2.1 که بین ماه مارس تا ژوئن امسال منتشر شده‌اند، همه آلوده به بدافزار هستند.

بخشی از سولار ویندز به نام «SolarWinds.Orion.Core.BusinessLayer.dll» که با افزونه‌هایی از نرم‌افزار «Orion» امضاشده، دارای یک در پشتی است که قادر است از طریق پروتکل HTTP با شخص ثالث ارتباط برقرار کند. بدافزار «SUNBURST» در حقیقت نسخه تروجان‌شده این پلاگین است که امکان ایجاد یک مسیر نفوذ یا «Backdoor» را فراهم می‌کند. این تروجان بعد از یک دوره سکوت دو هفته‌ای در سیستم قربانی، اقدام به اجرای دستورهایی موسوم به «Jobs» می‌کند که شامل انتقال پرونده‌ها، اجرای فایل‌ها، پروفایل کردن سیستم، ری‌بوت کردن سیستم و غیرفعال کردن خدمات سیستم است. این بدافزار بار ترافیک خود را با استفاده از پروتکل Orion Improvement Program»» یا OIP مخفی و ضمن ذخیره فایل‌های مربوط به فعالیت‌های خود به شکل قانونی، اجازه می‌دهد که این فایل‌ها با فایل‌های خود سولار ویندز نیز ترکیب شوند. این بدافزار همچنین، با استفاده از ابزارها و فرایندهای قانونی سیستم، خود را از دید آنتی‌ویروس‌ها پنهان می‌کند.

از جمله قابلیت‌های منحصر به فرد این بدافزار توسعه‌یافته، استفاده از الگوریتم تولید دامنه (DomainName یا DGA) برای درخواست‌های DNS، پاسخ‌های CNAME برای اتصال بدافزار به دامنه C2، استفاده از ماسک کنترل و فرمان، برای مشروع جلوه دادن رفتار تروجان و استفاده از مولفه و متغیرهای جعلی برای پیوند با افزونه‌های قانونی سیستم است، که در نوع خود کم‌نظیر است.

اگر چه شرکت فایرآی راه‌کاری را برای ترمیم این نقطه‌ضعف‌ها ارائه کرده است و شرکت‌های ارائه‌دهنده آنتی‌ویروس و همچنین آنتی‌ویروس پیش‌فرض ویندوز این بسته ترمیمی را به محصولات خود افزوده‌اند، اما نکته فاجعه‌بار این‌‌جاست که به احتمال فراوان، آغاز این بحران به دلیل بی‌احتیاطی سولار ویندز و بارگزاری گواهی‌های اعتبار سرورهایش در مخزن گیت ‌هاب در سال ۲۰۱۹ است.

«کلی هانسلوان»، متخصص بدافزار و مدیر آزمایشگاه هک اخلاقی «هانترزلب»، در یک رشته توییت به شکل کامل نشان داده است که چه‌طور هکرها با استفاده از بدافزار «SUNBURST backdoor» از محصول سولار ویندز دسترسی گرفته‌اند.

«وینوت کومار»، یکی از کارشناسان امنیت سایبری، نیز سندی را از سال ۲۰۱۹ میلادی در صفحه تو ی یتر خود منتشر کرده است که نشان می‌دهد او یک سال پیش، یک نشت اطلاعات را در پروتکل FTP سولار ویندز کشف کرده است که روی وب‌سایت گیت‌هاب در دسترس عموم قرار داشت.

تصویری که وینوت کومار در صفحه توییتر خود منتشر کرده، بیان‌گر این است که او در سال ۲۰۱۹ توانسته است از طریق این ضعف امنیتی به سرور «SolarWinds FTP» دسترسی پیدا کند. این دسترسی به حدی بود که امکان ویرایش و بارگذاری در سرور را نیز فراهم می‌کرد. کومار برای آزمایش، یک فایل را در سرور حساس و حیاتی « FTP - downloads.solarwinds.com» بارگذاری کرد که میزبان پرونده‌های مهمی در مجموعه سرور است. به نظر می‌رسد، شرکت فایرآی نیز دقیقا از همین نقطه ضعف هک شده باشد.

قرار دادن رمز عبور در مخزن گیت‌هاب یکی از اشتباهات معمول برنامه‌نویسان و توسعه‌دهندگان است که هر ساله هزاران بار روی داده است و در بسیاری از موارد نیز با احساس مسئولیت مخاطبان وب‌‌سایت گیت‌هاب، به اطلاع صاحبان آن می‌رسد و تصحیح می‌شود. کومار نیز بنا بر حس مسئولیت، این ضعف را به اطلاع تیم «SolarWinds PSIRT» منتقل کرده بود. تو ی یت دیگری از کومار نشان می‌دهد که تیم امنیتی سولار ویندز، سه روز بعد به ایمیل او پاسخ داده و گفته‌اند که منبع نشت مورد اشاره او در گیت‌هاب را تصحیح کرده‌اند.

علاوه بر این ضعف امنیتی، مورد دیگر نحوه انتخاب رمز عبور در سرور سولار ویندز است. آقای کومار در توییت خود، رمز سرور اف‌تی‌پی کشف‌شده را « 123 ******» اعلام کرده است که با توجه به ادبیات به‌کاربرده در این توییت، به احتمال زیاد این رمز عبور «FTP Admin123» و یا «Admin123» است که در نوع خود یکی از ساده‌ترین رمزها است و با ابتدایی‌ترین نرم‌افزارهای هک رمز در کمتر از چند ثانیه قابل کشف است. نشت اطلاعات در گیت‌هاب و عدم رعایت اصول اولیه انتخاب رمز کافی است که حتی هکرهای غیرحرفه‌ای نیز به مهم‌ترین زیرساخت‌های شرکت‌ها دسترسی پیدا کنند و کل مجموعه را به خطر بیاندازند.

اگرچه موضوع نشت اطلاعات در گیت‌هاب و عدم رعایت سیاست‌های امنیتی هنوز به شکل رسمی به عنوان عامل این هک گسترده اعلام نشده است، اما تایید آن بیان‌گر این حقیقت است که حمله وسیع سایبری به زیرساخت‌های دولت ایالات متحده، و بسیاری دیگر از مصرف‌کنندگان محصول سولار ویندز در سراسر جهان، حمله‌ای چندان پیچیده نبوده و تمام دسترسی‌‌ها به احتمال فراوان از همین ضعف امنیتی حاصل شده‌اند.