۱/ در مورد #حمله_سایبری اخیر به زیرساخت ها و شرکت های #آمریکا که معروف شده به #Sunburst یا #Solorigate اطلاعات دقیق زیادی نیست توی توییتر فارسی. برای همین سعی می کنم توی یک رشته توییت خلاصه وار بگم جریان چی بوده.
۲/ این شرکت #SolarWinds ابزار های مانیتوریگ و مدیریت شبکه اینا تولید می کنه و ظاهرا طیف وسیعی از مراکز دولتی و صنعتی و IT ازش استفاده می کنن. نرم افزار اصلی که نفوذ از طریقش شروع شده SolarWinds Orion نام داره. ظاهرا نسخه های این نرم افزار از مارچ تا جون ۲۰۲۰ آلوده به تروجان بودن.
۳/ این تروجان به هکر امکان می داده سیستم رو کامل تحت نظر بگیره و دوستورات مختلفی رو از راه دور اجرا کنه. اولین بخش نفوذ اکتبر ۲۰۱۹ شروع شده. هکر ها یک کلاس خالی رو اضافه کردن یه یک فایل dll نرم افزار. احتمالا هدف فقط یک POC بوده و البته این کلاس بعد ها محل اضافه شدن کد اصلی بود
۴/ بعد از موفقیت توی نفوذ به فرایند تست و build شرکت، هکر ها شروع کردن به بازنویسی یه سری توابع موجود یا اضافه کردن کد های جدید. کد ها به طرز ماهرانه ای شبیه بقیه پروژه هست. اسامی مشابه و ساختار تقریبا یکسان. تمام تلاش صورت گرفته برنامه نویس ها متوجه تغییرات نشن
۵/ اولین نسخه آلوده به #بدافزار در مارچ ۲۰۲۰ تموم شده. تقریبا ۴۰۰۰ خط کد تزریق شده داخل فایل dll. فایل همراه نرم افزار اصلی پروسه تست و build رو طی کرده و به صورت الکترونیکی امضا شده! این امضا باعث راحتی کار ویرویس و همینطور سختی تشخصیش شده.
۶/ هکر ها ظاهر افرادی بسیار حرفه ای و با حوصله بودن! تمام تلاششون رو برای ناشناس موندن برنامه مخرب به کار بردن. کد تروجان با کلیه قابلیت ها فقط ۱۳ زیر کلاس هست و ۱۶ تا تابع! رشته ها به روش های مختلف کد شده و از روش های مختلفی برای مخفی شدن استفاده شده
۷/ فایل نهایی نهایتا به صورت رسمی منتشر شده و ظاهرا بیش از ۱۸۰۰۰ مشتری اون رو دانلود و نصب کردن! مشتری های مهم و بزرگی که شامل بخش های دولتی، مشاوره، تکنولوژی، مخابراتی و ... توی آمریکا، اروپا، آسیا و خاومیانه هستند.
۸/ بعد از اولین اجرا ویروس پروسه چک و فعال سازی رو شروع می کنه. چندین مورد چک می شه. در موارد زیر ویروس فعال نمی شه یا به خواب می ره!
* در برخی زیرساخت ها که تعدادی از اونا متعلق به آمازون، گوگل و مایکروسافت هستن
* اگر ویروس یابی توی سیستم باشه
* ۲ هفته از نصب برنامه نگذشته باشه
* در برخی زیرساخت ها که تعدادی از اونا متعلق به آمازون، گوگل و مایکروسافت هستن
* اگر ویروس یابی توی سیستم باشه
* ۲ هفته از نصب برنامه نگذشته باشه
۹/ * اگر تشخیص بده محیط اجرایی محیط تست و آزمایشه و واقعی نیست
بعد از این تست ها زمان اجرای واقعی به صورت تصادفی مدتی عقب انداخته می شه.
در صورتی که نتیحه همه تست ها مثبت باشه فرایند اصلی شروع می شه. تروجان به یک سروی دستور و کنترل (C2) وصل می شه. دستورات رو دریافت و اجرا می کنه
بعد از این تست ها زمان اجرای واقعی به صورت تصادفی مدتی عقب انداخته می شه.
در صورتی که نتیحه همه تست ها مثبت باشه فرایند اصلی شروع می شه. تروجان به یک سروی دستور و کنترل (C2) وصل می شه. دستورات رو دریافت و اجرا می کنه
۱۰/ تعداد ۱۸ دستور اصلی شناسایی شده که به هکرها اجازه دستکاری رجیستری، ایجاد پروسه جدید، کار بای فایل ها و ... رو می ده. به عبارت ساده کنترل کامل سیستم! مخصوصا با توجه به اینکه دستورات اجرایی امضا و تائید شدن توسط سازنده
۱۱/ برای ارتباط با سرور ها C2، تروجان از یک سری الگوریتم نسبتا پیچیده برای ایجاد دامین استفاده می کنه. اولین آدرس یک زیردامنه از آدرس avsvmcloud[.]com هست. زیر دامنه و دامنه های بعدی مختص هر ماشین آلوده هست و مشترک نیستن. از سیستم های ابری آمازون و مایکروسافت و چند شرکت دیگه برای
۱۲/ سروی های دستور و کنترل استفاده شده که اتفاقا بخش زیادی هم توی آمریکا بودن. IP هر سرور دستور و کنترل هم حتما توی همون کشوری بوده که ماشین آلوده قرار داره. همینطور برای ارتباط با سرور از پروتکل های واقعی نرم افزار SolarWinds استفاده شده. همینطور اطلاعات دریافتی هم داخل ساختار
۱۳/ پلاگین خود نرم افزار اصلی ذخیره می شه تا کسی شک نکنه. در مواقعی ویروس برخی فایل هارو با کد آلوده دانلود شده جاگیزن و اجرا می کنه و بعد از اجرا شدن فایل اصلی رو دوباره برمی گردونه سر جاش! حتی بعد پروسه نصب کد مربوط به تروجان اولیه از سیستم حذف می شه.
۱۴. ظاهرا این شرکت با وجود داشتن مشتری های بسیار بزرگ، قبلا سوتی های عجیبی داره! مثلا سال قبل یک متخصص امنیت متوجه شد پسورد پروتکل FTP این شرکت solarwinds123 هست! یا ظاهرا شرکت بخش مربوط به امنیت و افراد متخصص لازمه رو نداره یا در مواردی اشتباهی پسورد هارو توی گیتهاب فرستادن!
۱۵. همینطور ظاهرا مشتری هایی گفتن که شرکت ازشون می خواسته قبل از نصب انتی ویروس هارو خاموش کنن!! بعد از این اتفاق هم عملکرد سریعی نداشتن. سهامشون ریزش شدیدی داشته و احتمالا مشکلات بیشتر هم بشه.
ابعاد و جزییات فنی هنوز خیلی مشخص نیست. هر روز تعداد بیشتری مقاله و بررسی در موردش ارائه می شه و احتمالا در آینده واقعیت های بیشتری ازش منتشر بشه.
جاري تحميل الاقتراحات...