[ad_1]

هزاران شرکت و دولت در تلاشند تا بفهمند آیا توسط هکرهای روسی که گفته می شود به چندین آژانس دولتی ایالات متحده نفوذ کرده اند مورد حمله قرار گرفته اند یا خیر. تخلف اولیه ، گزارش شده در 13 دسامبر ، مربوط به وزارت دارایی ، تجارت و امنیت ملی بود. اما تکنیک های سرقت مورد استفاده توسط هکرها به این معنی است که شناسایی همه قربانیان آنها و حذف هرگونه جاسوسی که نصب کرده اند ، ماه ها به طول می انجامد.

برای دستیابی به موفقیت ، هکرها ابتدا وارد سیستم های SolarWinds ، یک شرکت نرم افزاری آمریکایی شدند. در آنجا ، آنها درب عقب را وارد Orion کردند ، یکی از محصولات این شرکت که سازمان ها برای دیدن و مدیریت شبکه های عظیم رایانه ای داخلی از آن استفاده می کنند. برای چندین هفته که از ماه مارس آغاز می شود ، هر مشتری که به آخرین نسخه Orion – با امضای دیجیتال توسط SolarWinds دیجیتالی می شود و بنابراین قانونی به نظر می رسد – به طور ناخواسته نرم افزار به خطر افتاده را بارگیری می کند و به هکرها راهی برای دسترسی به سیستم های خود می دهد.

SolarWinds حدود 300000 مشتری در سراسر جهان دارد ، از جمله بیشتر Fortune 500 و بسیاری از دولت ها. در ارسال جدید به کمیسیون بورس و اوراق بهادار ، این شرکت گفت که “کمتر از” 18000 سازمان تاکنون این به روزرسانی را با بازخورد بارگیری کرده اند. (SolarWinds گفت هنوز مشخص نیست که چه تعداد از این سیستم ها واقعاً هک شده اند.) روش استاندارد امنیت سایبری این است که نرم افزار خود را به روز نگه دارید – بنابراین ، از قضا اکثر مشتریان SolarWinds از این بابت محافظت نشده اند به این توصیه توجه کرده اند

گرگ توهیل ، مدیر سابق امنیت اطلاعات فدرال ، گفت: هکرها “بسیار هوشمند و استراتژیک بودند.” حتی پس از دستیابی به در پشت در Orion ، معروف به Sunburst ، آنها آهسته و آگاهانه حرکت کردند. بر اساس گزارشی از شرکت امنیتی FireEye ، آنها به جای اینکه به یکباره به بسیاری از سیستم ها وارد شوند ، که به راحتی می تواند سو susp ظن را ایجاد کند ، آنها بر روی مجموعه کوچکی از اهداف انتخاب شده متمرکز شدند.

طبق این گزارش ، سان بورست قبل از بیدار شدن و شروع به برقراری ارتباط با هکرها ، دو هفته کامل سکوت کرد. بدافزار ترافیک شبکه شما را به عنوان “برنامه بهبود جبار” پنهان می کند و برای ادغام بهتر داده ها را در پرونده های قانونی ذخیره می کند. وی همچنین به دنبال ابزارهای امنیتی و برنامه های آنتی ویروس در دستگاه آلوده است تا از آنها جلوگیری کند.

هکرها برای پوشش بیشتر آهنگ های خود مراقب بودند که از رایانه ها و شبکه ها برای برقراری ارتباط با درب پشت هدف فقط یک بار استفاده کنند – یعنی استفاده از تلفن در حال سوختن برای مکالمه غیرقانونی. آنها از بدافزار محدودی استفاده کردند زیرا کشف آن نسبتاً آسان بود. در عوض ، پس از دسترسی اولیه از درب پشت ، تمایل دارند که روش آرام تری را برای استفاده از شناسه های مسروقه واقعی برای دستیابی از راه دور به ماشین های قربانی انتخاب کنند. و بدافزاری که آنها مستقر کرده اند از کد استفاده مجدد نمی کند و جاسوسی را دشوار تر می کند زیرا برنامه های امنیتی به دنبال کدی هستند که در هک های قبلی ظاهر شده است.

بر اساس گزارش های امنیتی مایکروسافت و FireEye ، که هفته گذشته تخلف مربوط به شبکه های خود را کشف کرده بود ، نشانه های کمپین نفوذ به مارس برمی گردد. این بدان معناست که هر سازمانی که مظنون است ممکن است مورد هدف قرار گرفته باشد ، اکنون باید حداقل 10 ماه از ورود سیستماتیک به دنبال فعالیت مشکوک بگذرد – کاری که از عهده بسیاری از تیم های امنیتی خارج است.

FireEye و مایکروسافت برای کمک به سازمان ها در دانستن اینکه آیا سیستم هایشان هک شده است ، لیست طولانی “شاخص های سازش” را منتشر کرده اند – داده های پزشکی قانونی که می تواند شواهدی از فعالیت مخرب را نشان دهد. این شاخص ها شامل وجود درب پشتی SUNBURST خود و همچنین برخی از آدرس های IP شناسایی رایانه ها و شبکه هایی است که هکرها برای برقراری ارتباط با آن استفاده می کنند. اگر تیمی هر یک از این آدرسهای IP را در وبلاگهای خود پیدا کند ، نشانه خوبی از خبرهای بد است. اما از آنجا که هکرها از هر آدرس فقط یک بار استفاده کرده اند ، نبود آنها هیچ تضمینی برای امنیت نیست. همچنین ، کشف اینکه آنها در یک شبکه زندگی می کنند به این معنی نیست که آسان می توان با موفقیت آنها را بیرون برد ، زیرا آنها می توانند در شبکه مکان های مخفی جدید را جستجو کنند.

هکرهای مظنون از SVR روسیه ، آژانس اصلی اطلاعات خارجی این کشور هستند. آنها با نام های Cozy Bear و APT29 شناخته می شوند ، لیستی طولانی از تخلفات را در CV خود دارند ، از جمله هک کمیته ملی دموکرات در سال 2016. روسیه این ماجرا را رد می کند.

توهیل ، که اکنون رئیس گروه Appgate Federal Group ، یک شرکت زیرساخت امن است ، گفت: “این به آنها این فرصت را می دهد تا به شبکه های بزرگ تبدیل شوند.” “آنها توانایی نشستن در آنجا ، از بین بردن تمام ترافیک ، تجزیه و تحلیل آن را دارند. باید مراقب باشیم ، این بازیگران به دنبال چه چیز دیگری هستند؟ کجا می توانند باشند؟ کجای دیگر می توان کمین کرد؟ در صورت دسترسی به راحتی تسلیم نمی شوند. “

[ad_2]

منبع: unbox-khabar.ir