مع استمرار التحقيقات في الهجوم الشهير على سلسلة توريد SolarWinds، كشف باحثون في الأمن السيبراني عن سلالة ثالثة من البرمجيات الضارة تم نشرها في بيئة تطوير الشركة، بهدف زرع باب خلفي داخل منصة مراقبة الشبكات Orion.
البرمجية، التي أُطلق عليها اسم “Sunspot”، تنضم إلى قائمة البرمجيات الخبيثة المرتبطة بالهجوم، والتي شملت سابقًا Sunburst وTeardrop.
وأوضح الباحثون أن “Sunspot” تم تطويرها بعناية عالية لتتمكن من حقن كود Sunburst الضار في منصة Orion دون إثارة أي شكوك لدى فرق تطوير البرمجيات أو فرق البناء في الشركة، ما يعكس مستوى كبيرًا من التخطيط والمهارة التقنية لدى منفذي الهجوم
أظهرت الأدلة الأولية أن منفذي الهجوم التجسسي على شركة SolarWinds تمكنوا، في وقت مبكر من أكتوبر 2019، من اختراق بيئة بناء البرمجيات ومنصة توقيع الأكواد الخاصة بنظام Orion، وذلك بهدف زرع باب خلفي (Sunburst Backdoor).
لكن النتائج الأخيرة كشفت عن جدول زمني جديد، يثبت أن أول وصول غير مصرح به إلى شبكة الشركة وقع في 4 سبتمبر 2019، أي قبل شهر تقريبًا من التاريخ الذي حددته التحقيقات الأولية، ما يشير إلى أن المهاجمين كانوا قد تمكنوا من التسلل إلى الأنظمة في وقت أبكر مما كان يُعتقد
كشف باحثون في شركة CrowdStrike، في تحليل نُشر يوم الاثنين، أن برمجية Sunspot الخبيثة كانت تراقب عمليات التشغيل المرتبطة بتجميع منتج Orion، وتقوم باستبدال أحد ملفات المصدر بآخر معدل يتضمن كود Sunburst Backdoor.
وتعقّب CrowdStrike هذا الاختراق تحت اسم “StellarParticle”، مشيرة إلى أن البرمجية الضارة، التي تعمل تحت اسم الملف TaskHostSvc.exe، صُممت لاختطاف سير عمل بناء منصة Orion عبر مراقبة عمليات البرمجيات على الخادم، ثم استبدال ملف مصدر في دليل البناء بملف خبيث، ليتم حقن كود Sunburst أثناء عملية البناء.
وأوضح سوداكار راماكريشنا، الرئيس التنفيذي لشركة SolarWinds، أن إصدار أكتوبر 2019 من منصة Orion قد احتوى على تعديلات تبدو وكأنها اختبارات أجراها المهاجمون لقياس قدرتهم على إدراج تعليمات برمجية ضارة في عمليات البناء، وهو ما يتوافق مع تقارير سابقة نشرتها ReversingLabs
في تطور جديد ضمن تحقيقات هجوم SolarWinds، اكتشف باحثون في شركة Kaspersky ما يشتبه في كونه رابطًا محتملاً بين برمجية Sunburst الخبيثة وKazuar، وهي عائلة برمجيات ضارة مرتبطة بعمليات تجسس إلكتروني ترعاها الدولة الروسية.
ورغم هذا الاكتشاف، امتنعت الشركة عن الجزم بوجود علاقة مباشرة، مشيرة إلى أن أوجه التشابه قد تكون أُدرجت عمدًا بهدف التضليل وصعوبة الإسناد المباشر للهجوم.
وفي حين أن هذه القرائن لا تصل إلى حد “الدليل القاطع” الذي يربط الهجوم بروسيا، فإن الحكومة الأمريكية أعلنت رسميًا، الأسبوع الماضي، أن العملية تقف وراءها جهة معادية “يُرجَّح أن تكون من أصل روسي”.
ويظل هجوم SolarWinds مثالًا صارخًا على التعقيد الذي يمكن أن تبلغه العمليات السيبرانية الحديثة، حيث تتقاطع الأهداف التقنية مع الرسائل السياسية، لتترك وراءها شبكة من الأدلة المتشابكة التي تجعل من الحقيقة هدفًا صعب المنال”.
