حمله سایبری به SolarWindows ابعاد بسیار گسترده‌ای داشته است

ماه گذشته مایکروسافت همراه ‌با تعدادی از شرکت‌های بزرگ مورد حمله‌ی سایبری بی‌سابقه‌ای قرار گرفت و شواهد نشان می‌دهد که هکرها برای اهداف خصمانه‌ی خود از حمایت دولتی بهره گرفته‌اند. در این حمله‌ی سایبری، مهاجمان از آسیب‌پذیری نرم‌افزار SolarWinds برای اهداف خود، از جمله دسترسی به داده‌های مهم آژانس‌های دولتی ایالات متحده آمریکا و سایر شرکت‌های فناوری استفاده کرده‌اند. بنا به گزارش The Verge و به نقل از نیویورک تایمز، ابعاد این حمله می‌تواند بسیار گسترده‌تر از گفته‌های مایکروسافت و مقامات دولتی باشد.

با گذشت چند روز از واقعه‌ی یادشده، دامنه‌ی حمله‌ی سایبری به SolarWinds به‌صورت روزافزونی در حال گسترش است. نیویورک تایمز به‌تازگی مصاحبه‌هایی در این باره انجام داده است که نشان می‌دهد دخالت روسیه در مبارزات انتخاباتی بسیار گسترده‌تر از آن است که در ابتدا تصور می‌شد. گزارش‌های قبلی حاکی از آن بود که متجاوزان فقط چند شبکه دولتی و شرکتی را مورد حمله قرار داده‌اند؛ اما اکنون به نظر می‌رسد تعداد قربانیان تا ۲۵۰ شبکه و شرکت افزایش یافته است و ظاهرا عاملان این امر از چندین لایه زنجیره تأمین بهره گرفته‌اند.

بر اساس این گزارش، سیستم‌های امنیتی در مقابل هکرها آسیب‌پذیر بوده‌اند و گفته می‌شود Cyber ​​Command و NSA سیستم‌های هشدار سریع را در شبکه‌های خارجی برای شناسایی حملات نصب کرده‌اند؛ اما به نظر می‌رسد این سیستم‌ها نتوانسته‌اند حملات را با موفقیت شناسایی و به‌موقع اطلاع‌رسانی کنند. گفته می‌شود تیم سایبری این حمله را از داخل خاک ایالات متحده آمریکا ترتیب داده است تا از محدودیت‌های قانونی علیه جاسوسی داخلی استفاده کند. در این میان نگرانی‌هایی وجود دارد که تمرکز بر اطمینان از امنیت انتخابات ۲۰۲۰ ممکن است تلاش‌ها را برای محافظت از زنجیره‌ی تأمین نرم‌افزار دور کرده باشد.

در حملات سایبری محل هک ‌شدن  می‌تواند نقش بسزایی در پیشبرد مسائل تحقیقاتی و جلوگیری از حملات احتمالی بعدی داشته باشد؛ از این‌رو، تیم‌های امنیتی در حال تحقیق روی این مسئله هستند که دفاتر SolarWinds در کشورهای اروپای شرقی مانند بلاروس، جمهوری چک و لهستان مبدأ اصلی این هک بوده است یا خیر. از قرار معلوم، مهندسان در آنجا دسترسی گسترده‌ای به نرم‌افزار تحت شبکه‌ی Orion داشتند که در این هک به کار رفته بود و از سوی دیگر با توجه به موقعیت جغرافیایی این کشورها، دولت روسیه که گمان می‌رود حامی این هک بوده، آشنایی بیشتری با منطقه و راه‌های نفوذ به آن داشته است.

نیویورک تایمز ادعا می‌کند که SolarWinds در رسیدگی به امنیت کند عمل کرده و توصیه‌های امنیتی ایان تورنتون-ترامپ برای حفاظت داخلی را نادیده گرفته است. این امر منجر به این شد که تورنتون-ترامپ با ناامیدی از پاسخگویی به نگرانی‌هایش، شرکت را ترک کند. مارک وارنر، سناتور ایالت ویرجینیا و عضو رده‌بندی کمیته‌ی اطلاعات سنا، در مصاحبه با تایمز به این نکته اشاره کرده است که هک بسیار بدتر از آن به نظر می‌رسد که از آن واهمه داشت. او اذعان می‌کند که ابعاد و جنبه‌های جدید حمله مدام در حال گسترش است و  دولت ایالات متحده به‌وضوح کنترل آن را از دست داده است.

سولارویندوز از اظهارنظر در مورد سؤالات مربوط به امنیت خود امتناع ورزیده و در عوض دوباره تأکید کرده است که هدف مهاجمان، حمله‌ی سایبری بسیار پیچیده و هدفمند بوده است. در حال حاضر حجم کامل خسارت مشخص نیست؛ اما با استناد به گزارش‌های منتشرشده، مجرمان به کد منبع مایکروسافت دسترسی پیدا کرده و به شرکت امنیتی CrowdStrike در رأس آژانس‌های فدرال و سایر قربانیان حمله کرده‌اند. در واقع ممکن است ماه‌ها طول بکشد تا مشخص شود که چگونه هک رخ داده و مهم‌تر از همه، چه خسارتی وارد شده است.

هفته‌ی گذشته، مایکروسافت در بیانیه‌ای قسمتی از ابعاد حمله‌ را رسانه‌ای کرد و گفت داده‌های مشتریان در این حمله به خطر نیفتاده و از اطلاعات دسترسی به سیستم‌های مایکروسافت برای حمله به اهداف ثانویه استفاده نشده است. افزون بر این، ردموندی‌ها می‌گویند مخازن کد منبع ممکن است در نتیجه‌ی حملات مشاهده شده باشند؛ البته باید به این نکته توجه داشت که صرفا مشاهده کد منبع «ریسک بالایی» ایجاد نمی‌کند؛ زیرا گفته می‌شود مایکروسافت در بخش‌های داخلی با استفاده از یک فرهنگ «شبه منبع ‌باز» فعالیت می‌کند و مدل امنیتی آن‌ها، خطر آسیب‌پذیری را بسیار کاهش می‌دهد.

اینکه آیا هک SolarWinds برای حمله به کاربران سیستم‌عامل ویندوز و آفیس یا سرویس اَبری اژور (Azure) مورد استفاده قرار خواهد گرفت یا خیر، هنوز در هاله‌ای از ابهام است؛ اما با وجود ادعاهای مایکروسافت، در معرض قرار گرفتن هر کد منبع خاص در مقابل یک عامل خصمانه ممکن است در بهره‌برداری و سوءاستفاده‌های آینده نقش بسزایی داشته باشد؛ به‌ویژه اگر حملات واقعا از یک منبع با حمایت و بودجه دولتی انجام شده باشد.