شاركت Microsoft يوم الأربعاء المزيد من التفاصيل حول التكتيكات والتقنيات والإجراءات (TTPs) التي اعتمدها المهاجمون وراء Solarwinds Hack للبقاء تحت الرادار وتجنب الكشف ، حيث تعمل شركات الأمن السيبراني على الحصول على “صورة أوضح” لأحد الهجمات الأكثر تطوراً في التاريخ الحديث.
وقالت الشركة إن استدعاء ممثل التهديد “المشغلون الماهرون والميثوقين الذين يتابعون أفضل الممارسات لأمن العمليات (OPSEC)”.
“المهاجمون وراء SoloriGate هم مشغلي حملة ماهرون خططوا بعناية ونفذوا الهجوم ، ويبقى بعيد المنال مع الحفاظ على الثبات” ، الباحثون من فريق Microsoft 365 Defender Research ، ومركز Microsoft Threat Intelligence Center (MSTIC) ، ومركز Microsoft Cyber Defense Center (CDOC) (CDOC) قال.
بينما تم تتبع الهوية الدقيقة للمجموعة على أنها stellarparticle (CrowdStrike) ، UNC2452 (FireEye) ، عاصفة شمسية (Palo Alto Unit 42) ، و هالو الظلام (VOLEXITY) لا تزال غير معروفة حتى الآن ، ربطت حكومة الولايات المتحدة في وقت سابق من هذا الشهر حملة التجسس رسميًا إلى مجموعة من الأصل الروسي.
مجموعة متنوعة من التكتيكات للبقاء غير مكتشفة
يوضح الجدول الزمني لـ Microsoft للهجمات أن Sunburst DLL الخلفية تم تجميعها ونشرها على منصة Orion Solarwinds في 20 فبراير ، وبعد ذلك تم توزيعه في شكل تحديثات معبأة في وقت ما في أواخر مارس.
فترة استطلاع لمدة شهرين تقريبًا لتحديد أهدافها-شيء يتطلب استمرارًا خفيًا للبقاء غير مكتشف وجمع معلومات قيمة-مهد في نهاية المطاف الطريق لنشر زراعة الكوبالت على شبكات الضحايا المختارة في مايو وإزالة Sunburst من بيئة بناء الطاقة الشمسية في 4 يونيو.
لكن الإجابات حول كيفية ومتى حدث الانتقال من Sunburst إلى Raindrop قد أسفر عن أدلة قليلة ، حتى لو كان يبدو أن المهاجمين يفصلون عن عمد تنفيذ Loader Cobalt من عملية Solarwinds كمقياس OPSEC.
والفكرة هي أنه في حالة اكتشاف زراعة الكوبالت إضراب على الشبكات المستهدفة ، فإنها لن تكشف عن Solarwinds الثنائية التي تتعرض للخطر وهجوم سلسلة التوريد التي أدت إلى نشرها في المقام الأول.
توضح النتائج أيضًا أنه على الرغم من أن المتسللين اعتمدوا على مجموعة من ناقلات الهجوم ، فقد شكل برنامج Solarwinds من طراز Solarwinds جوهر عملية التجسس:
- التجنب النظري للمؤشرات المشتركة لكل مضيف معرض للخطر عن طريق نشر غرسات COBALT Strike DLL مخصصة على كل نظام
- تمويه الأدوات والثنائيات الخبيثة لتقليد الملفات والبرامج الحالية الموجودة بالفعل على الجهاز المعرض للخطر
- تعطيل تسجيل الأحداث باستخدام Auditpol من قبل نشاط لوحة المفاتيح العملية وتمكينه مرة أخرى بمجرد الانتهاء
- إنشاء قواعد جدار الحماية الخاص لتقليل الحزم الصادرة لبعض البروتوكولات قبل تشغيل أنشطة تعداد الشبكة الصاخبة التي تمت إزالتها لاحقًا بعد مسح الشبكة
- تنفيذ أنشطة الحركة الجانبية فقط بعد تعطيل خدمات الأمن على المضيفين المستهدفين
- يُزعم أنه باستخدام الطوابع الزمنية لتغيير الطوابع الزمنية للقطع الأثرية والاستفادة من إجراءات القضاء والأدوات لمنع اكتشاف غرسات DLL الضارة
تبني عقلية الثقة الصفرية
وقالت مايكروسوفت: “كان هذا الهجوم متطورًا وعاديًا في وقت واحد”. “أظهر الممثل التطور في نطاق التكتيكات المستخدمة في اختراق البنية التحتية المتأثرة والتوسع فيها والاستمرار فيها ، ولكن العديد من التكتيكات والتقنيات والإجراءات (TTPs) كانت عادية بشكل فردي.”
للحماية من مثل هذه الهجمات في المستقبل ، توصي الشركة بتبني المنظمات “Zero Trust عقلية“لتحقيق أقل وصول متميز وتقليل المخاطر عن طريق تمكين المصادقة متعددة العوامل.
وقال أليكس وينيرت ، مدير أمن الهوية في ميكروسوفت ، “من خلال SoloriGate ، استفاد المهاجمون من تعيينات الأدوار الواسعة ، والأذونات التي تجاوزت متطلبات الأدوار ، وفي بعض الحالات ، تم التخلي عن الحسابات والتطبيقات التي كان ينبغي أن يكون لها أي أذونات على الإطلاق”.
