استهدف المتسللون الصينيون عملاء SolarWinds بالتوازي مع المرجع الروسي

10

COME ONE ، COME ONE –

تشير البيانات الجديدة إلى أن روسيا لم تكن الدولة القومية الوحيدة التي تقوم باختراق العملاء.

)دان جودين –

Chinese hackers targeted SolarWinds customers in parallel with Russian op 

صور غيتي

في الوقت الحالي ، يعرف معظم الناس أن المتسللين المرتبطين بالحكومة الروسية قد اخترقوا نظام بناء برامج SolarWinds واستخدموه لدفع تحديث ضار لحوالي 18000 من عملاء الشركة. نشر باحثون يوم الاثنين أدلة على أن قراصنة من الصين استهدفوا أيضًا عملاء SolarWinds فيما وصفه محللون أمنيون بأنه عملية مختلفة تمامًا. كانت حملات الاختراق الموازية معلومة للجمهور منذ ديسمبر ، عندما كشف الباحثون أنه بالإضافة إلى هجوم سلسلة التوريد ، استغل المتسللون ثغرة أمنية في برنامج SolarWinds يسمى Orion. استخدم المتسللون في الحملة الأخيرة الثغرة لتثبيت قذيفة ويب خبيثة يطلق عليها اسم Supernova على شبكة العميل الذي استخدم أداة إدارة الشبكة. ومع ذلك ، لم يكن لدى الباحثين سوى القليل من القرائن ، إن وجدت ، على من نفذ هذا الهجوم.

يوم الاثنين ، قال الباحثون إن الهجوم من المحتمل أن يكون من قبل مجموعة قرصنة مقرها الصين أطلقوا عليها اسم “Spiral”. تم وضع النتيجة في تقرير نشرته يوم الإثنين من قبل Secureworks ‘Counter Threat Unit ، يستند إلى تقنيات وتكتيكات وإجراءات الاختراق التي كانت إما متطابقة أو متشابهة جدًا مع حل وسط سابق اكتشفه الباحثون في نفس الشبكة.

    • ضرب على أكثر من جبهة يأتي هذا الاكتشاف في أعقاب الأخبار التي أطلق عليها قراصنة في الصين أطلقوا عليها اسم Hafnium ، وهي واحدة من خمس مجموعات على الأقل من المتسللين وراء الهجمات التي تثبيت قذائف ويب ضارة على عشرات الآلاف من خوادم Microsoft Exchange. يُظهر تقرير يوم الاثنين أنه لا يوجد نقص في APTs – وهو اختصار للمتسللين المتقدمين للتهديد المستمر – المصممون على استهداف مجموعة واسعة من المنظمات التي تتخذ من الولايات المتحدة مقراً لها. “في وقت يبحث فيه الجميع عن قشور الويب HAFNIUM بسبب قال خوان أندريس غيريرو – سعادة ، باحث التهديد الرئيسي في شركة الأمن SentinelOne ، في رسالة مباشرة: “تبادل الأيام الصفرية التي علمنا بها الأسبوع الماضي ، نشاط SPIRAL هو تذكير بأن الشركات تتعرض للهجوم على أكثر من جبهة.” التقرير “تذكير بتنوع واتساع النظام البيئي APT.”

قال باحثو وحدة مكافحة التهديد إنهم واجهوا سوبر نوفا في نوفمبر عندما استجابوا لاختراق شبكة أحد العملاء. مثل قذائف الويب الخبيثة الأخرى ، تم تثبيت Supernova بعد أن نجح المهاجمون في اكتساب القدرة على تنفيذ تعليمات برمجية ضارة على أنظمة الهدف. استخدم المهاجمون بعد ذلك سوبر نوفا لإرسال أوامر سرقت كلمات المرور والبيانات الأخرى التي تتيح الوصول إلى أجزاء أخرى من الشبكة.

يعتقد باحثو وحدة مكافحة الإرهاب بالفعل أن السرعة والدقة الجراحية للحركة داخل شبكة الهدف تشير إلى أن Spiral لديها خبرة سابقة بداخلها. بعد ذلك ، لاحظ الباحثون وجود أوجه تشابه بين الاختراق الذي حدث في نوفمبر وأحد الاختراق الذي اكتشفه الباحثون في أغسطس 2020. ومن المحتمل أن يكون المهاجمون في الاختراق السابق قد حصلوا على وصول مبدئي في وقت مبكر من عام 2018 من خلال استغلال ثغرة أمنية في منتج يُعرف باسم ManageEngine ServiceDesk ، وفقًا للباحثين قال.

“لم يتمكن باحثو وحدة مكافحة الإرهاب في البداية من عزو نشاط أغسطس إلى أي مجموعات تهديد معروفة “، كتب الباحثون. “ومع ذلك ، فإن أوجه التشابه التالية مع اقتحام SPIRAL في أواخر عام 2020 تشير إلى أن مجموعة التهديد SPIRAL كانت مسؤولة عن كلا التطفل:”

LSASS process dump from August 2020 using an identical command to the November 2020 incident.

  • استخدم ممثلو التهديد أوامر متطابقة لتفريغ عملية LSASS عبر comsvcs.dll واستخدموا نفس مسار ملف الإخراج (انظر الشكل 6).

تكبير / عملية تفريغ LSASS من أغسطس 2020 باستخدام أمر مماثل لحادثة نوفمبر 2020.Secureworks

    • تم الوصول إلى نفس الخادمين: وحدة تحكم بالمجال وخادم يمكن أن يوفر الوصول إلى بيانات الأعمال الحساسة.
    • نفس ‘ج: المستخدمين تم استخدام المسار العام (جميع الأحرف الصغيرة) كدليل عمل.
    • تم استخدام ثلاثة حسابات مدير مخترقة في كلا التطفل.

) كان باحثو CTU يعرفون بالفعل أن المتسللين الصينيين كانوا يستغلون خوادم MangeEngine للحصول على وصول طويل الأجل إلى الشبكات ذات الأهمية. لكن هذا وحده لم يكن كافيًا لتحديد أصول Spiral في الصين. أصبح الباحثون أكثر ثقة في الاتصال بعد أن لاحظوا أن المتسللين في حادثة أغسطس كشفوا عن طريق الخطأ أحد عناوين IP الخاصة بهم. تم تحديد الموقع الجغرافي للصين. كشف المتسللون عنوان IP الخاص بهم عندما سرق برنامج اكتشاف نقطة النهاية التي باعتها Sercureworks للعميل المخترق. لأسباب غير واضحة ، قام المتسللون بعد ذلك بتشغيل منتج الأمان على أحد أجهزة الكمبيوتر الخاصة بهم ، وعند هذه النقطة كشف عنوان IP الخاص به أثناء اتصاله بخادم Secureworks. كان اصطلاح التسمية الخاص بجهاز كمبيوتر المتسللين هو نفسه جهاز كمبيوتر مختلف استخدمه المتسللون عند الاتصال بالشبكة من خلال VPN. مجتمعة ، أعطتهم الأدلة التي جمعها باحثو CTU الثقة بأن كلا الاختراقين تم بواسطة نفس المجموعة وأن المجموعة كانت مقرها في الصين.

كتب باحثو CTU أن أوجه التشابه بين النشاط المرتبط بـ SUPERNOVA في نوفمبر والنشاط الذي حلله باحثو CTU في أغسطس تشير إلى أن مجموعة التهديد SPIRAL كانت مسؤولة عن كلا التطفلتين. . “تشير خصائص هذه التدخلات إلى وجود صلة محتملة بالصين.”