بقلم جون ديزموند ، محرر اتجاهات الذكاء الاصطناعى 

يبدو أن متسللي SolarWinds قد استهدفوا الخدمات السحابية كهدف رئيسي ، مما يمنحهم إمكانية الوصول إلى العديد من الخدمات المستندة إلى السحابة ، إن لم يكن جميعها.  

هذا من حساب في GeekWire كتبه كريستوفر بود ، أ iمستشار أمني مستقل عمل سابقًا في مركز الاستجابة الأمنية لـ Microsoft لمدة 10 سنوات.  

"إنإذا قمنا بفك تشفير التقارير المختلفة وربط النقاط ، يمكننا أن نرى أن مهاجمي SolarWinds قد استهدفوا أنظمة مصادقة على الشبكات المخترقة ، حتى يتمكنوا من تسجيل الدخول إلى الخدمات المستندة إلى السحابة مثل Microsoft Office 365 دون إطلاق الإنذارات "، كتب بود. "الأسوأ من ذلك ، أن الطريقة التي ينفذون بها ذلك يمكن أن تُستخدم للوصول إلى العديد من الخدمات المستندة إلى السحابة ، إن لم يكن جميعها."  

المعنى الضمني هو أن أولئك الذين يقيّمون تأثير الهجمات لا يحتاجون فقط إلى النظر إلى أنظمتهم وشبكاتهم الخاصة ، ولكن أيضًا إلى خدماتهم المستندة إلى السحابة بحثًا عن دليل على التسوية. وهذا يعني أن الدفاع ضد الهجمات يعني زيادة أمان ومراقبة أنظمة مصادقة الخدمات السحابية ، "من الآن فصاعدًا".  

استشهد بود بهذه النقاط الرئيسية: 

• بعد إنشاء موطئ قدم في الشبكة ، يستهدف مهاجمو SolarWinds الأنظمة التي تصدر إثبات الهوية الذي تستخدمه الخدمات المستندة إلى السحابة ؛ ويسرقون الوسائل المستخدمة لإصدار بطاقات الهوية ؛ 
• بمجرد حصولهم على هذه القدرة ، يمكنهم إنشاء معرفات مزيفة تسمح لهم بانتحال هوية مستخدمين شرعيين ، أو إنشاء حسابات ضارة تبدو مشروعة ، بما في ذلك الحسابات ذات الوصول الإداري ؛  
• نظرًا لاستخدام المعرفات لتوفير الوصول إلى البيانات والخدمات بواسطة الحسابات المستندة إلى مجموعة النظراء ، يمكن للمهاجمين الوصول إلى البيانات والبريد الإلكتروني كما لو كانوا مستخدمين شرعيين.

تم استهداف طريقة مصادقة SAML للخدمات السحابية 

تستخدم الخدمات المستندة إلى السحابة طريقة مصادقة تسمى لغة ترميز تأكيد الأمان (SAML) ، والتي تُصدر رمزًا "دليلًا" على هوية المستخدم الشرعي للخدمات. أكد Budd ، استنادًا إلى سلسلة من المنشورات على مدونة Microsoft ، أن خدمة SAML كانت مستهدفة. في حين شوهد هذا النوع من الهجوم لأول مرة في عام 2017 ، قال بود "هذا هو الهجوم الرئيسي الأول مع هذا النوع من الرؤية الواسعة التي تستهدف آليات المصادقة المستندة إلى السحابة". 

ردًا على سؤال طرحه Budd على Microsoft ، حول ما إذا كانت الشركة قد علمت بأي ثغرات أدت إلى هذا الهجوم ، حصل على هذا الرد: "لم نحدد أي ثغرات أمنية في منتجات Microsoft أو الخدمات السحابية في هذه التحقيقات. بمجرد الدخول إلى الشبكة ، يستخدم الدخيل موطئ قدمه للحصول على امتياز واستخدام هذا الامتياز للوصول. " 

كان الرد من إدارة الأمن القومي مشابهًا ، حيث قال إن المهاجمين ، من خلال "إساءة استخدام المصادقة الموحدة" ، لم يكونوا يستغلون أي ثغرة أمنية في نظام مصادقة Microsoft ، "ولكن بدلاً من ذلك يسيئون استخدام الثقة التي تم إنشاؤها عبر المكونات المتكاملة". 

أيضًا ، على الرغم من أن هجوم SolarWinds جاء من خلال خدمة قائمة على السحابة من Microsoft ، إلا أنه تضمن معيار SAML المفتوح الذي يستخدم على نطاق واسع من قبل بائعي الخدمات المستندة إلى السحابة ، وليس فقط Microsoft. صرح Budd "أن هجمات SolarWinds وهذه الأنواع من الهجمات المستندة إلى SAML ضد الخدمات السحابية في المستقبل يمكن أن تشمل مزودي خدمة SAML غير تابعين لـ Microsoft وموفري الخدمات السحابية". 

المخابرات الأمريكية ترى الهجوم نشأ مع الدب الروسي المريح 

يعتقد مسؤولو المخابرات الأمريكية أن الهجوم جاء من روسيا. على وجه التحديد ، وفقًا لتقرير من الخبير الاقتصادي، مجموعة المهاجمين المعروفة باسم Cozy Bear ، والتي يعتقد أنها جزء من جهاز المخابرات الروسي ، كانت مسؤولة. وذكر الحساب أنه "يبدو أنه أحد أكبر أعمال التجسس الرقمي على الإطلاق ضد أمريكا".  

أظهر الهجوم وفقًا لـ FireEye ، وهي شركة للأمن السيبراني كانت هي نفسها ضحية لـ "حرفة تشغيلية من الدرجة الأولى".  

تميل أمريكا إلى تصنيف الهجمات الإلكترونية التي تحدث على مدار العقد الماضي والرد عليها وفقًا لأهداف المهاجمين. لقد اعتبر تدخلات تهدف إلى سرقة الأسرار-التجسس على الطراز القديم-باعتبارها لعبة عادلة تشارك فيها أيضًا وكالة الأمن القومي الأمريكية. لكن الهجمات التي تهدف إلى إحداث ضرر ، مثل هجوم كوريا الشمالية على Sony Pictures في عام 2014 ، أو سرقة الصين للأسرار الصناعية ، يُنظر إليها على أنها تجاوز للحدود ، كما اقترح الحساب . وبالتالي ، فُرضت عقوبات على العديد من المتسللين الروس والصينيين والكوريين الشماليين والإيرانيين.   

يبدو أن هجوم الرياح الشمسية قد خلق فئته الخاصة. "هذا الجهد لوضع المعايير على ساحة خفية وفوضوية من المنافسة لم ينجح ،" الإيكونومست  ذكر الحساب. "الخط الفاصل بين التجسس والتخريب غير واضح".  

يرى أحد المراقبين أن أمريكا أصبحت أقل تسامحًا مع "ما هو مسموح به في الفضاء السيبراني" منذ اختراق مسؤول إدارة شؤون الموظفين (OPM) في عام 2015. لقد اخترق هذا الاختراق شبكات OPM وكشف سجلات 22.1 مليون مرتبط بموظفي الحكومة وغيرهم ممن قد خضع لفحوصات الخلفية والأصدقاء والعائلة. يعتقد أن المتسللين الذين ترعاهم الدولة والذين يعملون نيابة عن الحكومة الصينية مسؤولون.   

صرح ماكس سميتس من مركز الدراسات الأمنية في زيورخ أن "مثل هذا التجسس على نطاق واسع" سيكون الآن على رأس قائمة العمليات التي قد يعتبرونها غير مقبولة ". 

يُنظر إلى البرامج "المحلية" على أنها أكثر خطورة 

يتم تثبيت منتج SolarWinds Orion "محليًا" ، مما يعني أنه يتم تثبيته وتشغيله على أجهزة الكمبيوتر الموجودة في مقر المؤسسة باستخدام البرنامج. تحمل مثل هذه المنتجات مخاطر أمنية يجب على قيادة تقنية المعلومات اتباعها بعناية تقييم، اقترح حسابًا حديثًا في الأسبوع الإلكتروني.  

من الواضح أن مهاجمي SolarWinds استخدموا تصحيحًا للبرامج المخترقة للدخول ، كما اقترح ويليام وايت ، مدير الأمن وتكنولوجيا المعلومات في BigPanda ، الذي يوفر برنامجًا للذكاء الاصطناعي لاكتشاف المشكلات في أنظمة تكنولوجيا المعلومات وتحليلها. "مع البرامج داخل الشركة ، غالبًا ما يتعين عليك منح أذونات عالية أو حسابات ذات امتيازات عالية لتشغيل البرنامج ، مما يؤدي إلى حدوث مخاطر ".    

نظرًا لأن هجوم SolarWinds تم تنفيذه على ما يبدو من خلال تصحيح البرنامج ، فقد صرح وايت: "من المفارقات ، أن عملاء SolarWinds الأكثر تعرضًا هم الذين كانوا في الواقع مجتهدين في تثبيت تصحيحات Orion".  

قراءة المواد المصدر في GeekWire, تبدأ من الخبير الاقتصادي و  in الأسبوع الإلكتروني.

المصدر: https://www.aitrends.com/security/solarwinds-hackers-targeted-cloud-services-as-a-key-objective/