نشریه WIRED یه مطلب جدیدی در خصوص هک معروف SolarWinds منتشر کرده، در مورد اینکه وزارت دادگستری آمریکا ، این هک رو، 6 ماه زودتر از افشای اون توسط Mandiant شناسایی کرده بود.
در این گزارش اومده که وزارت دادگستری ، مایکروسافت و Mandiant ، شش ماه زودتر از افشای نقض SolarWinds ، با این هک مواجه شدن، اما از اهمیت چیزی که پیدا کردن مطلع نبودن.
این هک که در خصوصش در شماره دوم مجله در قسمت حملات زنجیره تامین، بهش پرداخته بودیم، در دسامبر 2020 بطور عمومی افشاء شد. در این نقض، هکرهای روسی با هک شرکت SolarWinds یه بکدور داخل این برنامه قرار داده بودن و مشتری های اون که 18000 مورد بود، با بروزرسانی برنامه ،آلوده شده بودن. از بین اهداف، هکرها موارد مهم رو انتخاب و به شبکه اشون نفوذ کرده بودن.
این نرم افزار آلوده، حداقل 9 سازمان فدرال آمریکا از جمله : وزارت دادگستری، وزارت دفاع ، وزارت امنیت ملی و وزارت خزانه داری و همچنین خیلی از شرکتهای معروف فنی و امنیتی از جمله مایکروسافت، سیسکو، اینتل ، Mandiant و Palo Alto Networks رو آلوده کرده بود. هکرها بین 4 تا 9 ماه قبل از اینکه Mandiant قضیه رو افشاء کنه، در شبکه قربانی ها بودن.
WIRED براساس تحقیقات جدید، متوجه شده که وزارت دادگستری قضیه هک رو در اواخر مه 2020 ، اردیبهشت 99، کشف کرده اما بهش اهمیت چندانی نداده. قضیه کشف هم این جوری بوده که وزارت دادگستری یسری ترافیک مشکوک در یکی از سرورهای خودش که نرم افزار Orion روش اجرا میشده رو شناسایی میکنه. این برنامه که برای مدیریت و پیکربندی شبکه مورد استفاده قرار میگیره با یه سرور خارجی ارتباط برقرار میکرد. وزارت دادگستری از Mandiant درخواست میکنه تا قضیه رو بررسی کنن تا ببینن سرور هک شده یا نه. در این تحقیق مایکروسافت و SolarWinds هم دعوت شدن .
بصورت دقیق مشخص نیست که کدوم بخش های وزارت دادگستری در این نقض بودن اما نمایندگانی از بخش های Justice Management Division و US Trustee Program در این تحقیق بودن. US Trustee Program در خصوص پرونده های ورشکستی و ورشکستگی های جعلی نظارت داره و Management Division هم به مدیران ارشد وزارت دادگستری مشاوره هایی در خصوص بودجه، تدارکات، امنیت و … میده.
محققا به این مشکوک بودن که احتمالا هکرها یه آسیب پذیری در برنامه Orion پیدا و اونو اکسپلویت کردن و وارد سرور شدن. برای همین با SolarWinds تماس گرفتن تا در این تحقیق کمکشون کنه. اما مهندسای این شرکت آسیب پذیری در کدهاشون پیدا نکردن. در جولای 2020 با اینکه هنوز قضیه مشخص نشده بود ، ارتباط بین محققا و SolarWinds متوقف میشه. منابع اعلام کردن که یه ماه دیگه وزارت دادگستری دوباره سیستم Orion رو خریداری میکنه و این نشون میده که وزارتخونه از تهدید مطلع نبوده و از برنامه راضی بوده.
یه سخنگوی وزارت دادگستری این تحقیقات رو تایید کرده اما جزییاتی در خصوص نتیجه کار محققین نداده. ایشون در ایمیلی نوشتن که اگرچه پاسخ به رخداد و یسری اقدامات کاهشی انجام شد اما پرونده همچنان در FBI باز بوده. WIRED اعلام کرده که تحقیقات توسط مایکروسافت و Mandiant و SolarWinds انجام شده اما این سه شرکت حاضر به بحث در خصوص این موضوع نشدن.
وزارت دادگستری هم چنین اعلام کرده که این رخداد به CISA هم گزارش داده بود اما CISA در خصوص اینکه در جریان این رخداد نبوده ، ابزار ناراحتی کرده بود. اما در دسامبر 2020 ، آذر 99، وقتی این هک عمومی شد، نه وزارت دادگستری و نه CISA در خصوص اینکه قبلتر در جریان هک بودن چیزی نگفتن و حتی وزارت دادگستری اولش گفته بود که افسر ارشد اطلاعات این حادثه رو در 24 دسامبر کشف کرده .
در نوامبر 2020، آبان 99، ماهها بعد از اینکه وزارت دادگستری به قضیه مشکوک بوده، Mandiant متوجه هک خودش شده و با بررسی که کرده متوجه شده که یه بکدور در برنامه Orion در زمان کامپایل این برنامه در فوریه 2020 ، بهمن 97، بهش اضافه شده.
شرکت Mandiant به WIRED گفته که خودش در 28 ژوئیه 2020، 7 مرداد 99، توسط این برنامه آلوده شده، درست زمانی که این شرکت برای بررسی نقض به وزارت دادگستری کمک میکرده.
در خصوص این که چرا در زمان افشاء ، Mandiant جزییاتی در خصوص نقض وزارت دادگستری اعلام نکرده، این شرکت گفته وقتی قضیه رو عمومی میکردن، چندین شرکت آلوده دیگه رو شناسایی کرده بودن.
این حادثه نشون دهنده اهمیت اشتراک گذاری اطلاعات بین آژانس ها و صنعت هستش، چیزی که دولت بایدن بهش تاکید میکنه. اگر چه وزارت دادگستری به CISA اطلاع داده بود اما یه سخنگوی NSA گفته که تا ژانویه 2021 از نقض وزارت دادگستری مطلع نبوده و وقتی جریانش بین کارمندان چندین آژانس به اشتراک گذاشته شده، در این مورد خبردار شده.
همون ماه بود که وزارت دادگستری اعلام کرد که هکرهای پشت کمیپن SolarWinds به سه درصد از ایمیلهای Office 365 اش دسترسی داشتن. این وزارتخونه بیش از 100 هزار پرسنل داره که در بخش های مختلفی مانند مواد مخدر ، مارشال ، FBI و … کار میکنن. گزارشهای ضد و نقیضی در خصوص این هک بود بخصوص اینکه این هک آیا بخشی از همون کمپین بود یا توسط عوامل تهدید اون کمپین انجام شده. شش ماه بعد، این موضوع برجسته و اعلام شد که هکرها به اکانت ایمیل 27 دفتر دادستانی از جمله کالفرنیا، واشنگتن و نیویورک دسترسی داشتن.
در آخرین بیانیه در این خصوص توسط وزارت دادگستری اعلام شد که هکرها از 7 می، 18 اردیبهشت 99، تا 27 دسامبر 2020 ، 7 دی 99، به حسابهای هک شده دسترسی داشتن. از جمله تمام ایمیلهای ارسالی ، دریافتی، ذخیره شده و پیوستها.
علاوه بر شرکتهایی که بالا اشاره شد، شرکت Volexity هم اون زمان در خصوص یه هک در یه نهاد تحقیقاتی آمریکایی مشغول تحقیق بوده و به سرور آلوده Orion رسیده بود. در اواخر سپتامبر هم، شرکت امنیتی Palo Alto Networks به فعالیت های غیرعادی در خصوص Orion رسیده بود. Volexity مشکوک شده بود که یه بکدور روی سرور در حال اجراست اما موردی پیدا نکرد و در نتیجه به تحقیقات خاتمه دادن. Palo Alto Networks هم با SolarWinds در این خصوص تماس گرفته بود اما مانند مورد وزارت دادگستری ، مشکل رو نتونسته بودن کشف کنن.
سناتور Ron Wyden در خصوص این هک اعلام کرده که این افشاگری نیاز به تحقیقات در خصوص نحوه واکنش آمریکا به حملات و از دست دادن فرصت ها برای توقف اون داره. ایشون گفتن که این کمپین به دلیل شکست های متوالی دولت و شرکای اون موفق بوده. من مدرکی مشاهده نکردم که شعبه اجرایی بطور کامل این شکستهارو بررسی و رسیدگی کنه. دولت باید به اشتباهات رخ داده بپردازه تا در آینده بکدورهای برنامه هایه دیگه ای که توسط سازمانهای دولتی مورد استفاده قرار میگیرن، به سرعت شناسایی و خنثی بشن.