حملات گسترده علیه SolarWinds هزاران شرکت را متأثر کرد که در بین آنها، نام شرکتهای بزرگ فناوری نظیر اینتل و انویدیا به چشم میخورد.
هفتهی گذشته گزارشی جدید و بحثبرانگیز منتشر شد که یکی از شرکتهای شناختهشدهی حوزهی نرمافزار IT با نام سولار ویندز (SolarWinds) هک شده که روی شرکتهای متعددی اثر گذاشته است. در آن زمان گفته شد احتمالا دولت روسیه در پشت حملات سایبری به سولار ویندز قرار دارد.
نکتهی حائز اهمیت این بود که در حملات سایبری به سولار ویندز وزارت خزانهداری، وزارت بازرگانی، وزارت امور خارجه، وزارت انرژی و وزارت امنیت ملی ایالات متحده آمریکا هک شدهاند. احتمالا در جریان این حملات سایبری ایمیلهای دو وزارتخانه دزدیده شدهاند.
دیگر آژانسهای دولتی و بسیاری از شرکتها در حال تحقیق روی حملات سایبری اخیر هستند؛ زیرا نرمافزار سولار ویندز به شکل گسترده مورد استفاده قرار میگیرد. خبرگزاری والاستریت ژورنال در گزارشی جدیدی مدعی شده است که شماری از شرکتهای بزرگ فناوری (Big Tech) نیز از حادثهی اخیر متأثر شدهاند.
آنطور که والاستریت ژورنال مینویسد، سیسکو (Cisco)، اینتل (Intel)، انویدیا (Nvidia)، بلکین (Belkin) و وی ام ور (VMware) همگی کامپیوترهایی در شبکهی داخلی خود دارند که در جریان حملات سایبری به سولار ویندز، به بدافزار آلوده شدهاند. احتمال دارد تعداد شرکتهای بزرگ حوزهی فناوری که تحت تأثیر حملات سایبری اخیر قرار گرفتهاند بیشتر باشد.
سولار ویندز میگوید «کمتر از ۱۸ هزار شرکت» به بدافزار آلوده شدهاند. این شرکت بهدنبال حملات سایبری تلاش کرد فهرست مشتریانش را که از نرمافزار مخرب استفاده میکردند از وبسایت رسمیاش بردارد. گزارش جدید والاستریت ژورنال باعث میشود وضعیت هک شدن شماری از مشتریهای بزرگ SolarWinds از «احتمالا» به «قطعا» تبدیل شود.
در حال حاضر همهی شرکتهای حوزهی فناوری واکنش مشابهی به این قضیه نشان داده و گفتهاند که در حال تحقیق هستند؛ اما فکر نمیکنند که هک شدن نرمافزار SolarWinds باعث آلوده شدن سیستمهای آنها شده باشد. بااینحال تجربه (بهخصوص در سال ۲۰۱۶ و ماجرای هک شدن ایمیلهای کمیتهی ملی دموکراتها) نشان میدهد فهمیدن آثار هک ممکن است به زمانی طولانی نیاز داشته باشد.
وقتی که هکرها وارد سیستم میشوند، سخت است درمورد خروج کامل آنها از سیستم سخن به میان بیاوریم. آنطور که خبرگزاری آسوشیتد پرس در گزارشی اختصاصی مینویسد، پس از ورود هکر به شبکه و خروج او، نمیتوانیم بهسادگی به امنیت شبکه اطمینان داشته باشیم؛ زیرا هکرها عموما بکدورهایی در شبکه ایجاد میکنند تا بعدا بتوانند دوباره نفوذ کنند.
پروندهی SolarWinds شرایط متفاوتی دارد؛ زیرا به شکلی بسیار گسترده تعداد زیادی شرکت را متأثر کرده و نکتهی نگرانکنندهتر این است که فرایند هک همچنان در حال انجام است. گفته میشود از چند ماه پیش هک نرمافزار SolarWinds آغاز شده است.
محققان طی چند وقت اخیر گروهی دیگر از هکرها را پیدا کردهاند که توانسته بودند از طریق باگی مشابه به SolarWinds نفوذ کنند. این حملهی سایبری که با اصطلاح سوپرنوا (Supernova) شناخته میشود، در ابتدا بهعنوان بخشی از حملهی اصلی (سانبرست یا Sunburst) شناسایی شده بود؛ اما محققان اکنون اعتقاد دارند که حملهی سوپرنوا توسط گروه دوم هکرها انجام شده است و پیچیدگی کمتری نسبت به سانبرست دارد.
اینکه چرا گروههای هکری میخواهند به سیستمهای شرکتهای بزرگ فناوری نفوذ کنند، سؤالی است که دلایل متعددی دارد که از بین آنها میتوانیم به دسترسی به برنامهی آیندهی شرکتها برای تولید محصول یا دسترسی به اطلاعات کارمندان و مشتریان اشاره کنیم. هکرها میتوانند این نوع اطلاعات را در جاهای دیگر بفروشند یا بهواسطهی آنها از شرکتها باج بگیرند.
در حال حاضر به نظر میرسد که اکثر شرکتهای حوزهی فناوری نگرانی زیادی ندارند، زیرا گروههای هکری در اصل بهدنبال دسترسی به اطلاعات آژانسهای دولتی که مشغول استفاده از نرمافزار SolarWinds هستند، بودهاند. سازمان امنیت کامپیوتری ایالات متحده بهدنبال رسانهای شدن ماجرای SolarWinds اعلام کرد که تمامی آژانسهای دولتی باید سیستمهای SolarWinds را فورا خاموش کنند.
رئیس مایکروسافت پیشتر جزئیاتی دربارهی هک SolarWinds اعلام کرده بود. برد اسمیت در آن زمان گفت با حملهای بسیار گسترده، پیچیده و مهلک طرف هستیم. رویترز به نقل از منابع آگاه ادعا کرد که هکرها برای انجام بخشی از فرایند هک از سرویسهای ابری مایکروسافت استفاده کردهاند؛ ادعایی که توسط ردموندیها رد شد.