هشدارهای افتایی
در یک هفته گذشته در جریان حملاتی پیچیده شرکت امنیتی فایرآی (FireEye) و وزارت خزانه‌داری ایالات متحده و احتمالا بسیاری از شرکت‌ها و سازمان‌های معروف دیگر توسط گروهی از مهاجمان هک شدند.
به گزارش معاونت بررسی مرکز افتا به نقل از سایت blog.malwarebytes، اکنون مشخص شده که پیش‌تر این مهاجمان با رخنه به سولار ویندز (SolarWinds) موفق به تزریق کد آلوده به یکی از محصولات ساخت این شرکت با نام Orion Platform شده بودند و از طریق نرم‌افزار مذکور زمینه را برای نفوذ به بیش از 18 هزار مشتری آن محصول از جمله شرکت‌ها و سازمان‌هایی که در روزهای اخیر هک شدند فراهم کرده بودند.
این روش حمله به زنجیره تأمین (Supply Chain Attack) معروف است. در این حملات، مهاجمان با بهره‌جویی از اجزای آسیب‌پذیر در زنجیره تأمین یک سازمان به آن رخنه و یا آن را دچار اختلال می‌کنند.
وزارت امنیت داخله ایالات متحده با انتشار یک بخشنامه اضطراری از تمامی سازمان‌های فدرال این کشور خواسته تا به‌سرعت نسبت به قطع ارتباط نسخ آسیب‌پذیر Orion Platform اقدام کنند.
هفته گذشته فایرآی اعلام کرد که مهاجمان موفق به سرقت ابزارهایی دیجیتال شده‌اند که این شرکت از آنها با عنوان Red Team یاد می‌کند. فایرآی از ابزارهای Red Team به‌منظور شناسایی آسیب‌پذیری سیستم‌ها در شبکه مشتریان خود استفاده می‌کرده است. در آن زمان این احتمال مطرح شده بود که هدف مهاجمان از آن حمله، سرقت ابزارهای Red Team و استفاده از آنها در حملات آتی خود بوده باشد. اما حال به نظر می‌رسد که مهاجمان در پی رسیدن به مقاصدی مهم‌تر بوده‌اند و دامنه حملات آنها بسیار گسترده‌تر از آن‌چه قبلا تصور می‌شد بوده است. 
انتظار می‌رود در روزها، هفته‌ها و حتی شاید ماه‌های آتی ابعادی دیگر از یکی از کم‌نظیرترین حملات سایبری روشن شود.
توصیه‌نامه سولار ویندز در خصوص رخداد اخیر در لینک زیر قابل دریافت و مطالعه است: فهرست برخی از گزارش‌های منتشر شده از سوی شرکت‌های امنیتی به شرح زیر است: شرکت فایرآی مجموعه قواعدی از جمله از نوع Snort و Yara برای شناسایی نشانه‌های آلودگی مرتبط با سولار ویندز در دسترس قرار داده که در لینک زیر قابل دریافت است: انجام اقدامات زیر با اولویت بالا توصیه می‌شود:
  •     در اسرع وقت نسبت به جدا کردن هر سیستمی که بر روی آن Version 2019.4 HF 5 تا Version 2020.2.1 محصول SolarWinds Orion Platform نصب است اقدام شود. این نسخ در فاصله مارس 2020 تا ژوئن 2020 عرضه شده بودند.
  •     با استفاده از محصولات ضدویروس و ابزارهای امنیتی وجود هر گونه نشانه آلودگی که در انتهای این گزارش به فهرست آنها اشاره شده بررسی شود.
  •     با انجام یک بررسی امنیتی دقیق، فراگیر و جامع زیرساخت‌های فیزیکی و ابری بازبینی و مقاوم‌سازی شوند.
  •     SolarWinds Orion Platform به Version 2020.2.1 HF 1 ارتقا داده شده و پس از اطمینان از عدم وجود هر گونه آلودگی، سیستم‌ها به حالت قبل بازگردانده شوند.

نشانه‌های آلودگی (IoC)

 
(با تشکر از شرکت مهندسی شبکه گستر برای همکاری در تهیه این گزارش)
 

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.