ربما كان الهجوم الإلكتروني الأخير على العديد من وكالات الحكومة الفيدرالية الأمريكية وشركات الأمن الرائدة مثل FireEye مجرد قمة جبل الجليد.
في الثالث عشر من ديسمبر، كشف باحثو الأمن في شركة FireEye عن اختراق إلكتروني مستمر ومتقدم للغاية أدى إلى اختراق مؤسسات القطاعين العام والخاص على نطاق غير مسبوق في جميع أنحاء العالم. يُعتقد أن الهجمات بدأت في ربيع عام 13، وتم تنفيذها من خلال تحديثات ضارة تم إدخالها في سلسلة توريد البرامج لمنصة مراقبة تكنولوجيا المعلومات Orion التابعة لشركة SolarWind، وهو تطبيق لإدارة الشبكات واسع الانتشار. ونظرًا لشعبية هذا المنتج وطول الوقت الذي لم يتم فيه اكتشاف الباب الخلفي، لا يزال مجتمع الأمن يعمل على تقييم النطاق الحقيقي للهجوم.
"ما تم الكشف عنه حتى الآن ربما يكون مجرد قمة جبل الجليد"، كما ادعى ريتشارد ستايننجز، وهو من أبرز دعاة أمن الرعاية الصحية، ويعمل كرئيس استراتيجي للأمن في شركة Cylera.
يضم عملاء شركة SolarWinds 425 من شركات Fortune 500 الأمريكية، وأكبر عشر شركات اتصالات أمريكية، وأكبر خمس شركات محاسبة أمريكية، وجميع فروع الجيش الأمريكي، والبنتاغون، ووزارة الخارجية، بالإضافة إلى مئات الجامعات والكليات في جميع أنحاء العالم.
الهجوم
تمكن المهاجمون من الوصول إلى خادم تحديث برامج SolarWind، ربما بسبب تسريب عرضي لبيانات اعتماد الخادم على Github، وقاموا بتحميل العديد من التحديثات الضارة بين شهري مارس ومايو من هذا العام. التحديثات، التي تمكن المهاجمون من التوقيع عليها رقميًا بحيث تبدو أصلية وغير قابلة للتلاعب، تضمنت مكونًا ضارًا يسمى SolarWinds.Orion.Core.BusinessLayer.dll، والتي يطلق عليها باحثو الأمن الآن اسم الباب الخلفي SUNBURST. يبدأ الباب الخلفي بالبقاء خاملاً لمدة تصل إلى أسبوعين، مما يؤدي إلى إبعاد نشاطه اللاحق عن تاريخ تثبيت التحديث. ثم يبدأ في التواصل مع خوادم القيادة والتحكم الخارجية (C2) التي يمكنها إصدار تعليمات للباب الخلفي لإجراء الاستطلاع وتزويد المهاجمين بالوصول إلى الشبكة.
ويعتقد أن الهجمات المتطورة للغاية والتي يعتقد أنها نجحت في التسلل إلى وزارات الخارجية والخزانة والأمن الداخلي والتجارة الأمريكية، فضلاً عن وكالات حكومية أخرى ومؤسسات تجارية، هي من عمل مجموعة تُعرف باسم APT29، وهي مجموعة قراصنة روسية تُعرف أيضًا باسم Cozy Bear، ويُعتقد أنها تابعة لجهاز الاستخبارات الأجنبية في البلاد، SVR.
وفقًا لمصادر إخبارية أمريكية متعددة، تورطت مجموعة APT29 في العديد من الهجمات الإلكترونية ضد الولايات المتحدة ودول أخرى على مدار سنوات عديدة. ويشمل ذلك اختراق الحزب الديمقراطي الأمريكي في الفترة التي سبقت الانتخابات الرئاسية لعام 2016، إلى جانب العديد من الهجمات الإلكترونية الأخرى ضد الكيانات الحكومية والتجارية. وعلى الرغم من عدم ذكره بالاسم، إلا أن الرئيس التنفيذي لشركة FireEye، كيفن مانديافي مقابلة أجريت معه مؤخرا، قال وزير الخارجية الأمريكي مايك بومبيو: "إننا نشهد هجوما من جانب دولة تتمتع بقدرات هجومية من الدرجة الأولى". لذا فمن المرجح أن يكون الهجوم المعقد من هذا النوع قد نفذه على الأقل طرف تابع لدولة ممولة جيدا.
كيفية اكتشاف شبكة المستشفى المخترقة؟
إن مجموعة منتجات MedCommand من Cylera عبارة عن نظام للكشف عن التهديدات يتمتع بالقدرة على اكتشاف وجود هذا البرنامج الخبيث باستخدام الخصائص المميزة لسلوكه وبنية التحكم الخاصة به. ويشمل ذلك اكتشاف الاتصالات بعناوين IP والاستعلامات عن أسماء النطاقات المرتبطة بخوادم C2 للبرنامج الخبيث، وعلامات بروتوكول الاتصال للبرنامج الخبيث، والاستعلامات المشبوهة في DNS والتي تتطابق مع مخطط DGA (خوارزمية إنشاء اسم النطاق) الذي يستخدمه البرنامج الخبيث، من بين أمور أخرى. وبالمثل، يتم اكتشاف الأنشطة ومجموعات الأدوات التي استخدمها المهاجمون خلال المراحل اللاحقة من سلسلة القتل الخاصة بهم، مثل إطار عمل Cobalt Strike المستخدم أثناء تحركهم أفقيًا عبر شبكة الضحية.
بالإضافة إلى آليات الكشف التقليدية القائمة على IoC، تقوم أنظمة الكشف عن التهديدات من Cylera بتقييم نشاط الشبكة لمنتجات SolarWinds بحثًا عن علامات النشاط الشاذ، مثل استعلامات DNS أو اتصالات HTTP التي لا تميز المنتج. ونظرًا لأن المهاجمين يمكنهم - وكثيرًا ما يفعلون - تحديث برامجهم الخبيثة أو نقل البنية الأساسية للتحكم لديهم للتهرب من دفاعات الشبكة التي تبحث عن عناوين IP والمجالات وأنماط الاتصال للإصدار السابق من البرامج الضارة، فإن التحليل السلوكي ضروري للكشف المستمر عن الهجمات التي تشنها مجموعات APT العنيدة والمتزايدة الانتشار والتي تبتلي المشهد الأمني اليوم، والحماية منها.
منظمات تقديم الرعاية الصحية التي تستخدم منتجات SolarWinds
يجب على المؤسسات التي تستخدم منتجات SolarWinds، بغض النظر عن منتجات الأمان التي تستخدمها، أن تتبع على الفور التعليمات الموضحة في التوجيه الطارئ رقم 21-01 لوكالة الأمن السيبراني والبنية التحتية. يتضمن ذلك إيقاف تشغيل جميع منتجات SolarWinds Orion من الإصدار 2019.4 حتى 2020.2.1 وتحليل حركة المرور على الشبكة، بالإضافة إلى التنبيهات من منتجات أمان الشبكة، لأي نشاط يتضمن مؤشرات معروفة للاختراق. بالنسبة للمؤسسات التي لا تمتلك منتجات مراقبة الشبكة التي ستقوم بهذا التحليل تلقائيًا، تم توفير مؤشرات الخطر العامة بواسطة FireEye وتتضمن المجالات وعناوين IP التالية:
- بانهاردوير[.]كوم 204.188.205.176
- زوبيرتك[.]كوم 51.89.125.18
- موضوع الموقع[.]com 34.203.203.23
- قاعدة بيانات عالية[.]كوم 139.99.115.204
- deftsecurity[.]com 13.59.205.66
- قاعدة بيانات وافرة[.]كوم 5.252.177.21
- freescanonline[.]com 54.193.127.66
- thedoccloud[.]كوم 54.215.192.52
- تحديث الدخل[.]com 5.252.177.25
غيض من فيض
ورغم أن هذه الحملة رسخت بلا شك مكانتها على قائمة الهجمات الإلكترونية الأكثر شهرة، فإنها ليست أول هجوم يستغل سلسلة التوريد لتوسيع النطاق، ولن تكون الأخيرة بالتأكيد. وتكتسب هجمات سلسلة التوريد قوة خاصة في مجال الرعاية الصحية، حيث يستمر عدد التطبيقات والخدمات عن بعد والمنتجات الشبكية المطلوبة لتشغيل بيئة الرعاية الصحية الحديثة في النمو بسرعة. وأصبح فهم سطح الهجوم ببساطة صعباً على نحو متزايد، لأنه لا يتألف فقط من بائعي البرامج النموذجيين ومقدمي الخدمات عن بعد، بل وأيضاً من آلاف الأجهزة الطبية وأجهزة إنترنت الأشياء المتصلة بالشبكة والتي تتصل بمورديها للحصول على التحديثات أو الخدمات عن بعد.
إن إمكانية استخدام المهاجمين للأجهزة الطبية لاجتياز سلسلة التوريد واختراق شبكات الرعاية الصحية بطريقة مماثلة لهجوم SolarWinds ليست مجرد فرضية، بل هي حقيقة واقعة. استهدف البرنامج الخبيث المسمى Kwampirs، الذي تم الكشف عنه علنًا لأول مرة في عام 2018 بواسطة Symantec، المنظمات عبر هجمات سلسلة التوريد منذ عام 2015 مع الحفاظ على التركيز المقلق على الرعاية الصحية. اكتشف باحثو Cylera إصابات Kwampirs ليس فقط في مؤسسات الرعاية الصحية في الولايات المتحدة، ولكن أيضًا في بائعي برامج التصوير الطبي ومصنعي الطابعات وأحد الشركات المصنعة الرئيسية لمعدات التصوير الطبي، والتي وفرت اتصالات VPN للدعم عن بعد، المستخدمة لمعدات مثل أجهزة التصوير المقطعي المحوسب، للبرامج الضارة وسيلة للانتشار من البائع إلى المستشفى.
تُظهر لنا هذه الحملات أن المهاجمين يتعلمون كيفية اختراق الشبكات من خلال طرق لا تعرفها العديد من المؤسسات بالكاد ويختبئون في أماكن لا يفكر معظم الناس في البحث فيها. وفي حين يجب على المؤسسات اتخاذ إجراءات فورية لضمان عدم تأثرها بهجوم SolarWinds، فإن هذا الإجراء ليس سوى خطوة واحدة نحو ضمان استمرار أمن شبكاتها واستمرارية عملياتها. وفي حين قد يستغرق الأمر بعض الوقت قبل أن نرى حملة أخرى بهذا الحجم، فلن يمر وقت طويل قبل أن نرى حملة أخرى تستخدم هذه التكتيكات. قال بول باكويانيس، كبير مسؤولي التكنولوجيا والمؤسس المشارك لشركة Cylera: "يجب على المؤسسات بناء دفاعات للحماية من التهديدات الجديدة التي قد لا تكون معروفة بعد لمجتمع الأمن، ويجب أن تعمل على زيادة وعيها بنقاط النهاية والسلوكيات الموجودة على شبكاتها حتى تتمكن من ضمان مراعاة برامجها الأمنية لكامل سطح الهجوم".
"إن المنظمات التي أبلغت حتى الآن عن تأثرها بهذا الهجوم على سلسلة التوريد ليست سوى قمة جبل الجليد"، كما زعم ستينينجز. وخلال الأيام والأسابيع القليلة القادمة سوف نسمع عن المزيد. "إن أي شخص يستخدم البرنامج المتأثر سوف يُنصح باتباع نصيحة وكالة الأمن السيبراني والأنظمة الأخرى، وعزل الأنظمة التي تستخدم هذا البرنامج والتحقيق فيها بشكل جنائي ثم إجراء اختبار انحدار كامل لجميع التطبيقات والبيانات للتأكد من عدم وصول أي برامج ضارة أخرى إلى الأنظمة. ومن المرجح أن يكون أي هجوم من هذا النوع والتعقيد قد أنشأ مستويات متعددة من الثبات"، كما زعم ستينينجز. وأضاف: "قد يستغرق الأمر أشهرًا قبل أن نتمكن من وضع هذا الأمر خلفنا بالكامل".
