متابعات-ميكسي نيوز
اختراق الوكالات الأمريكية…يزعم الممثلون الذين ترعاهم الدولة في روسيا مستهدف وزارة الخزانة الأمريكية ، إدارة الاتصالات الوطنية والمعلومات الوطنية لوزارة التجارة (NTIA) ، والوكالات الحكومية الأخرى مراقبة حركة البريد الإلكتروني الداخلية كجزء من حملة الانتشار الإلكترونية على نطاق واسع.
وقالت صحيفة واشنطن بوست ، مستشهدة بمصادر لم تكشف عن اسمها ، إن أحدث الهجمات هي عمل APT29 أو Bear المريح ، وهي مجموعة القرصنة نفسها التي يُعتقد أنها قامت بتنظيم خرق لشركة Fireeye التي تتخذ من الولايات المتحدة مقراً لها والتي تؤدي إلى سرقة أدوات اختبار تغلغل الفرق الحمراء.
لا يزال الدافع والنطاق الكامل لما تم اختراقه للذكاء غير واضح ، لكن العلامات هي أن الخصوم يعبثون بتحديث البرامج الذي صدره شركة Solarwinds Solarwinds مقرها في تكساس في وقت سابق من هذا العام للتسلل إلى أنظمة الوكالات الحكومية بالإضافة إلى Fireeye و Mount A Countated للغاية هجوم سلسلة التوريد.
وقال براندون ويلز القائم بأعمال المدير بالنيابة في وكالة الأمن السيبراني والبنية التحتية (CISA) ، التي لديها القائم بأعمال أمن الأمن السيبراني والبنية التحتية (CISA) ، التي لديها القائم بأعمال أمن الأمن السيبراني والبنية التحتية (CISA) ، التي لديها “توليون” القائم بأعمال المدير بالنيابة في وكالة الأمن السيبراني والبنية التحتية (CISA) ، التي لديها ، القائم بأعمال المدير بالنيابة لوكالة الأمن السيرة مطلق سراحه توجيه الطوارئ ، ويحث الوكالات المدنية الفيدرالية على مراجعة شبكاتها من أجل النشاط المشبوه وفصل منتجات Solarwinds Orion على الفور.
يتم استخدام منتجات شبكات Solarwinds والأمن من قبل أكثر من 300000 عميل في جميع أنحاء العالم، بما في ذلك شركات Fortune 500 والوكالات الحكومية ومؤسسات التعليم.
كما أنه يخدم العديد من شركات الاتصالات الأمريكية الرئيسية ، وجميع فروع الجيش الأمريكي الخمس ، وغيرها من المنظمات الحكومية البارزة مثل البنتاغون ووزارة الخارجية ووكالة الأمن القومي (NSA) ، وخدمة البريد ، و NOAA ، ووزارة العدل ، ومكتب رئيس الولايات المتحدة.
حملة مراوغة لتوزيع Sunburst Backdoor
Fireeye ، التي تتبع حملة التسلل المستمرة تحت اللقب “UNC2452وقال هجوم سلسلة التوريد يستفيد من تحديثات برامج أعمال Solarwinds Orion Business Tromanized من أجل توزيع الباب الخلفي يسمى Sunburst.
وقالت فيلي في تحليل يوم الأحد: “ربما بدأت هذه الحملة في وقت مبكر من ربيع عام 2020 وهي مستمرة حاليًا”. “لقد تضمن نشاط ما بعد التسوية بعد حل وسط سلسلة التوريد الحركة الجانبية وسرقة البيانات. الحملة هي عمل ممثل ذي مهارات عالية وتم إجراء العملية بأمان تشغيلي كبير.”
هذه النسخة المارقة من Solarwinds Orion Plug-In ، إلى جانب تنكر حركة شبكتها كبرنامج تحسين Orion (OIPيقال إن البروتوكول ، يتواصل عبر HTTP إلى الخوادم البعيدة من أجل استرداد وتنفيذ الأوامر الضارة (“الوظائف”) التي تغطي سلسلة برامج التجسس ، بما في ذلك تلك الخاصة بنقل الملفات ، وتنفيذ الملفات ، والتنفيذ وإعادة تشغيل النظام المستهدف ، وتعطيل خدمات النظام.
يستخدم برنامج Orion لتحسين أو OIP بشكل رئيسي لجمع بيانات إحصائيات الأداء والاستخدام من مستخدمي Solarwinds لأغراض تحسين المنتج.
والأكثر من ذلك ، أن عناوين IP المستخدمة في الحملة كانت محشورة من قبل خوادم VPN الموجودة في نفس البلد مثل الضحية للتجنب اكتشافها.
أكدت Microsoft أيضًا النتائج في تحليل منفصل ، تفيد بالهجوم (الذي تسميه “حلو“) تم الاستفادة من الثقة المرتبطة ببرنامج Solarwinds لإدراج التعليمات البرمجية الضارة كجزء من حملة أكبر.
وقال صانع Windows: “تم تضمين فصل برمجي ضار من بين العديد من الفصول المشروعة الأخرى ثم وقعت مع شهادة شرعية”. تضمن الثنائي الناتج بابًا خلفيًا ثم تم توزيعه بسرور على منظمات مستهدفة. “
Solarwinds تصدر الأمن الاستشارية
في الاستشارات الأمنية نشرت الشركة من قبل Solarwinds ، إن الشركة تستهدف إصدارات الهجوم 2019.4 إلى 2020.2.1 من برنامج Solarwinds Orion Platform الذي تم إصداره بين مارس ويونيو 2020 ، مع التوصية بالمستخدمين للترقية إلى إصدار منصة Orion 2020.2.1 HF 1 على الفور.
من المتوقع أيضًا أن تصدر الشركة ، التي تحقق حاليًا الهجوم بالتنسيق مع FireEye ومكتب التحقيقات الفيدرالي الأمريكي ، الإصلاح الساخن الإضافي ، 2020.2.1 HF 2 ، في 15 ديسمبر ، والذي يحل محل المكون المضروب ويوفر العديد من التحسينات الأمنية الإضافية.
كشفت Fireeye الأسبوع الماضي أنها وقعت ضحية لهجوم من الحكومة الأجنبية المتطورة للغاية التي تعرضت للخطر أدوات البرمجيات المستخدمة لاختبار دفاعات عملائها.
مجموع ما يصل إلى 60 في العدد، أدوات الفريق الأحمر المسروقة هي مزيج من الأدوات المتاحة للجمهور (43 ٪) ، وإصدارات معدلة من الأدوات المتاحة للجمهور (17 ٪) ، وتلك التي تم تطويرها في الشركة (40 ٪).
علاوة على ذلك ، تتضمن السرقة أيضًا حمولات استغلال تستفيد من نقاط الضعف الحرجة في Pulse Secure SSL VPN (CVE-2019-11510) ، و Microsoft Active Directory (CVE-2020-1472) ، و Zoho ManageEngine Desktop Central (CVE-2020-10189) ، و Windows remote-removels (CVE-2019-0708).
يبدو أن الحملة ، في نهاية المطاف ، هي هجوم سلسلة التوريد على نطاق عالمي ، لأن Fireeye قالت إنها اكتشفت هذا النشاط عبر العديد من الكيانات في جميع أنحاء العالم ، وتمتد الحكومة والاستشارات والتكنولوجيا والاتصالات والشركات الاستخراجية في أمريكا الشمالية وأوروبا وآسيا والشرق الأوسط.
يمكن الوصول إلى مؤشرات التسوية (IOCs) وغيرها من توقيعات الهجوم ذات الصلة المصممة لمواجهة Sunburst هنا.
