كشفت Microsoft عن عملية المرحلة الثانية لـ SolarWinds Cyberattack

شرحت Microsoft مؤخرًا بمزيد من العمق كيفية حدوث هجوم SolarWinds الإلكتروني ، مع توضيح المرحلة الثانية من الهجوم وأنواع البرامج الضارة المستخدمة.

بالنسبة للهجوم مع العديد من الأهداف البارزة مثل SolarWinds ، لا يزال هناك العديد من الأسئلة التي تحتاج إلى إجابة. يكشف تقرير Microsoft عن مجموعة من المعلومات الجديدة حول الهجوم ، تغطي الفترة التي أعقبت قيام المهاجمين بإسقاط الباب الخلفي Sunburst.

مايكروسوفت تفاصيل المرحلة الثانية من الهجوم الإلكتروني SolarWinds

ال أمان Microsoft تقدم المدونة نظرة على "الرابط المفقود" ، وهي الفترة من وقت الباب الخلفي Sunburst (المشار إليه باسم Solorigate بواسطة Microsoft) في SolarWinds لزرع أنواع مختلفة من البرامج الضارة داخل الضحية الشبكات.

كما نعلم بالفعل ، فإن SolarWinds هي واحدة من "هجمات التسلل الأكثر تطورًا وطول أمد في العقد" ، وأن المهاجمون "هم من مشغلي الحملات المهرة الذين خططوا ونفذوا الهجوم بعناية ، وظلوا بعيد المنال أثناء الصيانة إصرار."

تؤكد مدونة Microsoft Security أن الباب الخلفي الأصلي Sunburst قد تم تجميعه في فبراير 2020 وتوزيعه في مارس. بعد ذلك ، قام المهاجمون بإزالة الباب الخلفي Sunburst من بيئة بناء SolarWinds في يونيو 2020. يمكنك متابعة الجدول الزمني الكامل في الصورة التالية.

تعتقد Microsoft أن المهاجمين أمضوا وقتًا في إعداد غرسات Cobalt Strike المخصصة والفريدة وتوزيعها والبنية التحتية للقيادة والتحكم ، و "من المرجح أن يبدأ نشاط التدريب العملي على لوحة المفاتيح في وقت مبكر من شهر مايو".

تعني إزالة وظيفة الباب الخلفي من SolarWinds أن المهاجمين قد انتقلوا من طلب الوصول إلى الباب الخلفي من خلال البائع إلى الوصول المباشر إلى شبكات الضحية. كانت إزالة الباب الخلفي من بيئة البناء خطوة نحو إخفاء أي نشاط ضار.

متعلق ب: مايكروسوفت تكشف عن الهدف الفعلي للهجوم الإلكتروني SolarWinds

مايكروسوفت تكشف عن الهدف الفعلي للهجوم الإلكتروني SolarWinds

لم يكن الدخول إلى شبكة الضحية هو الهدف الوحيد للهجوم.

من هناك ، بذل المهاجم جهودًا كبيرة لتجنب اكتشاف وإبعاد كل جزء من الهجوم. كان جزء من السبب وراء ذلك هو أنه حتى لو تم اكتشاف وإزالة غرسة Cobalt Strike الضارة ، فإن الباب الخلفي SolarWinds لا يزال متاحًا.

تضمنت عملية مكافحة الكشف ما يلي:

• نشر غرسات Cobalt Strike الفريدة على كل جهاز
• قم دائمًا بتعطيل خدمات الأمان على الأجهزة قبل متابعة حركة الشبكة الجانبية
• مسح السجلات والطوابع الزمنية لمحو آثار الأقدام ، وحتى الذهاب إلى أبعد من ذلك لتعطيل التسجيل لفترة لإكمال مهمة قبل إعادة تشغيلها.
• مطابقة جميع أسماء الملفات وأسماء المجلدات للمساعدة في تمويه الحزم الخبيثة على نظام الضحية
• استخدام قواعد جدار الحماية الخاصة للتعتيم على الحزم الصادرة للعمليات الضارة ، ثم إزالة القواعد عند الانتهاء

تستكشف مدونة Microsoft Security مجموعة الأساليب بتفصيل أكبر بكثير ، مع قسم مثير للاهتمام يبحث في بعض أساليب مكافحة الكشف الجديدة التي استخدمها المهاجمون.

SolarWinds هي واحدة من أكثر الاختراقات تطوراً على الإطلاق

هناك القليل من الشك في أذهان فرق الاستجابة والأمن في Microsoft بأن SolarWinds هي واحدة من أكثر الهجمات تقدمًا على الإطلاق.

يعني الجمع بين سلسلة هجوم معقدة وعملية مطولة أن الحلول الدفاعية تحتاج إلى أن تكون شاملة رؤية عبر النطاقات في نشاط المهاجم وتزويد أشهر من البيانات التاريخية بأدوات صيد قوية للتحقيق في ما مضى عند الضرورة.

لا يزال هناك المزيد من الضحايا في المستقبل أيضًا. لقد أبلغنا مؤخرًا أن المتخصصين في مكافحة البرامج الضارة Malwarebytes قد تم استهدافهم أيضًا في الهجوم الإلكتروني ، على الرغم من أن المهاجمين استخدموا طريقة مختلفة للدخول للوصول إلى شبكتها.

متعلق ب: Malwarebytes أحدث ضحية للهجوم الإلكتروني SolarWinds

بالنظر إلى النطاق بين الإدراك الأولي بحدوث مثل هذا الهجوم السيبراني الهائل ومجموعة الأهداف والضحايا ، يمكن أن يكون هناك المزيد من شركات التكنولوجيا الكبرى للمضي قدمًا.

أصدرت Microsoft سلسلة من التصحيحات التي تهدف إلى تقليل مخاطر SolarWinds وأنواع البرامج الضارة المرتبطة بها يناير 2021 الثلاثاء التصحيح. تعمل التصحيحات ، التي تم إطلاقها بالفعل ، على التخفيف من ثغرة يوم الصفر التي تعتقد Microsoft أنها مرتبطة بهجوم SolarWinds الإلكتروني وكانت قيد الاستغلال النشط في البرية.

ما هو اختراق سلسلة التوريد وكيف يمكنك البقاء آمنًا؟

لا تستطيع اختراق الباب الأمامي؟ مهاجمة شبكة سلسلة التوريد بدلا من ذلك. إليك كيفية عمل هذه الاختراقات.

عن المؤلف