ماجرای یکی از کمنظیرترین حملات سایبری تاریخ
مرکز مدیریت راهبردی افتا اعلام کرد: مهاجمان سایبری که به شرکت امنیتی فایرآی (FireEye) و وزارت خزانهداری آمریکا حمله کردند، به اطلاعات ۱۸ هزار مشتری نرم افزار Orion Platform هم نفوذ کردند.
به گزارش روابط عمومی مرکز مدیریت راهبردی افتا، یک هفته پس از وقوع حملات پیچیده سایبری به شرکت امنیتی فایرآی (FireEye) و وزارت خزانهداری آمریکا ، اکنون مشخص شده است که مهاجمان قبل از این، با رخنه به سولار ویندز (SolarWinds) موفق به تزریق کد آلوده به یکی از محصولات ساخت این شرکت با نام Orion Platform شده بودند و از طریق این نرمافزار به بیش از ۱۸ هزار مشتری آن محصول نفوذ کردند.
این روش حمله به زنجیره تأمین (Supply Chain Attack) معروف است. در این نوع حملات سایبری، مهاجمان با بهرهجویی از اجزای آسیبپذیر در زنجیره تأمین یک سازمان به آن رخنه و یا آن را دچار اختلال میکنند.
وزارت امنیت داخلی آمریکا، با انتشار بخشنامهای اضطراری از تمامی سازمانهای فدرال این کشور خواسته است تا بهسرعت نسبت به قطع ارتباط نسخ آسیبپذیر Orion Platform اقدام کنند.
شرکت فایرآی هم اعلام کرد که مهاجمان موفق به سرقت ابزارهای دیجیتال Red Team شدهاند که این شرکت برای شناسایی آسیبپذیری سیستمها در شبکه مشتریان خود، از آنها استفاده میکند.
پایگاه اینترنتی blog.malwarebytes نوشته است: انتظار میرود در روزها، هفتهها و حتی شاید ماههای آتی ابعادی دیگر از این کمنظیرترین حملات سایبری روشن شود.
کارشناسان معاونت بررسی مرکز مدیریت راهبردی افتا، توصیه می کنند تا کارشناسان IT دستگاههای زیرساخت در کوتاهترین زمان ممکن، با استفاده از محصولات ضدویروس و ابزارهای امنیتی، وجود هرگونه نشانه آلودگی را بررسی کنند.
دستگاههای زیرساخت همچنین، باید با انجام بررسی دقیق، فراگیر و جامع امنیتی، زیرساختهای فیزیکی و ابری را بازبینی و مقاومسازی کنند.
متخصصان IT زیرساختهای کشور، باید در اسرع وقت نسبت به جدا کردن هر سیستمی که روی آن Version ۲۰۱۹,۴ HF ۵ تا Version ۲۰۲۰.۲.۱ محصول SolarWinds Orion Platform نصب است اقدام کنند. این نسخ در فاصله مارس ۲۰۲۰ تا ژوئن ۲۰۲۰ عرضه شده بودند.
کارشناسان معاونت بررسی مرکز افتا از متخصصان IT در زیرساختها خواستهاند تا در نخستین فرصت، SolarWinds Orion Platform را بهVersion ۲۰۲۰.۲.۲.۱HF۱ ارتقا داده و پس از اطمینان از عدم وجود هرگونه آلودگی، سیستمها را به حالت قبل بازگردانند.
اطلاعات فنی، گزارشهای شرکتهای امنیتی از این حملات سایبری، توصیهنامه سولار ویندز، مجموعه قواعد شرکت فایر آی برای شناسایی نشانههای آلودگی مرتبط با سولار ویندز و نشانههای آلودگی (IoC) در پایگاه اینترنتی مرکز مدیریت راهبردی افتا به نشانی https://www.afta.gov.ir/portal/home/?news/۲۳۵۰۴۶/۲۳۷۲۶۶/۲۴۲۴۱۹/ قابل مشاهده است.