خبر ترند عالمي منذ ايام عن اختراق شركة تعد من كبرى شركات أمن المعلومات في امريكا وهي شركة FireEye.
تمكن الهكرز من سرقة برمجيات خاصة بهذه الشركة. البرمجيات مختصة في الفحص ضد الثغرات، يطلق على الفريق المختص بعمليات الفحص داخل الشركة باسم Red Team اي الفريق الاحمر.
البرمجيات التي تم الوصول اليها من الهكرز هي برمجيات يتم استخدماها من قبل الفريق الأحمر. يبدو أن هذه البرمجيات تحتوي ثغرات لا تتوفر علنا، وادوات فريدة تقوم بعمليات فحص فريدة جدا ودقيقة. شركة فايراي تحدثت ان عملية الاختراق حدثت من قبل هاكرز ممولون حكوميا، في اشارة الى ان الهكرز من روسيا.
تقول التقارير ان الهجمات كانت من قبل APT29 أو Cozy Bear وهي مجموعات هاكرز روسية. حيث تمكنت هذه المجموعات من اختراق عدة وكالات أخرى من بينها الإدارة القومية للاتصالات والمعلومات (NTIA) التابعة لوزارة التجارة، والوكالات الحكومية الأخرى لمراقبة حركة البريد الإلكتروني الداخلية كجزء من حملة تجسس إلكتروني واسعة النطاق.
كيف حدثت عملية الاختراق؟
لا يزال دافع الاختراق والمجال الذي توصل اليه الهكرز في هذا الاختراق غير معلوم.
في وقت سابق من هذا العام، تمكن الهاكرز من الوصول الى برمجية SolarWinds Orion وتغيير بنية البرمجية من خلال زرع ما يعرف باسم الباب الخلفي Backdoor وهو مصطلح يعني ان يقوم الهاكرز بالتعديل على برمجية معينة بإضافة برمجيات ضارة يمكن لهم الاتصال بالبرمجية واختراق النظام.
بذلك كانت شركة FireEye فايراي هي احدى ضحايا هذا الاختراق بعد ان اعتمدت برمجية SolarWinds Orion.
برمجيات سولارويندز SolarWinds يتم استخدامها من قبل اكثر من 300000 عميل حول العالم، منها شركات خاصة و جهات حكومية ومؤسسات تعليمية. كما انها تخدم شركات الاتصالات الامريكية الكبرى، وجميع الفروع الخمسة للجيش الأمريكي وغيرها من المنظمات الحكومية البارزة مثل البنتاجون ووزارة الخارجية ووكالة ناسا ووكالة الامن القومي NSA والخدمة البريدية و NOAA ووزراة العدل ومكتب رئيس الولايات المتحدة.
برمجية الباب الخلفي او الباكدور حسب ما قالت شركة فايراي انه يسمى SUNBURST. أضافة الشركة ان الباكدور تم زرعه في ربيع عام 2020 وهو مستمر لهذه الفترة نظرا لكون عدد كبير من المستخدمين لديهم اصدار SolarWinds Orion المعدل من قبل الهكرز.
أكدت شركة ميكروسوفت أيضًا في تحليل منفصل، مشيرة إلى أن الهجوم (الذي تسميه سولارجيت "Solorigate") عزز الثقة المرتبطة ببرنامج SolarWinds لإدخاله تعليمات برمجية ضارة "باكدور" كجزء من حملة أكبر.
قالت ميكروسوفت أيضا انه تم إضافة برمجية ضارة ضمن العديد من البرمجيات الشرعية الأخرى ثم تم توقيعها بشهادة شرعية SSL certificate وبعدها تم إعادة بناء البرمجية لتصبح البرمجية الشرعية مدمجة مع البرمجية الخبيثة "الباكدور"، ومن ثم تم إعادة رفع هذه البرمجية الى شركة Solarwinds وبالتالي أي مستخدم يقوم بتنصيبها يكون عرضة للاختراق في أي لحظة من قبل هؤلاء الهكرز.
كيف علقت شركة SolarWinds على ذلك؟
في تقرير نشرته شركة SolarWinds احتوى بيان أمني قالت الشركة ان الهجوم استهدف الإصدارات 2019.4 حتى 2020.2.1 من برنامج SolarWinds Orion Platform الذي تم إصداره بين مارس ويونيو 2020.
لذلك ان كنت احد مستخدمي هذه النسخة فسارع بحذفها وتنصيب النسخة التي توصي بها الشركة وهي Orion Platform 2020.2.1 HF 1 على الفور .
من المتوقع أيضًا أن تصدر الشركة، التي تحقق حاليًا في الهجوم بالتنسيق مع FireEye ومكتب التحقيقات الفيدرالي الأمريكي، إصلاحًا جديدًا إضافيًا، 2020.2.1 HF 2 ، في 15 ديسمبر ، والذي يوفر العديد من الأمان و التحسينات.