مايكروسوفت تكشف عن الهدف الفعلي للهجوم الإلكتروني SolarWinds


لم يكن الدخول إلى شبكة الضحية هو الهدف الوحيد للهجوم.

ميزة Microsoft ransomware

يستمر تحقيق Microsoft في هجوم SolarWinds الإلكتروني الذي يحتل العناوين الرئيسية ، مع ظهور المزيد من المعلومات فيما يتعلق بنوايا المهاجمين.

الهجوم ، الذي أشارت إليه Microsoft باسم Solorigate (و Sunburst بواسطة شركة الأمن السيبراني FireEye) ، حصد العديد من الأهداف البارزة ، لا سيما الإدارات الحكومية الأمريكية.

مايكروسوفت تكشف عن الهدف النهائي المشتبه به لـ SolarWinds

كما لو أن ادعاء فروات الرأس مثل وزارة الخزانة الأمريكية ووزارات الأمن الداخلي والخارجية والدفاع والطاقة والتجارة لم يكن كافيًا ، أمان Microsoft تشير المدونة إلى أن الهدف الفعلي للهجوم كان أصول التخزين السحابية.

ذات صلة: تمنع Microsoft البرامج الضارة Sunburst في جذر هجوم SolarWinds

تمكن المهاجمون من الوصول إلى الشبكات المستهدفة باستخدام تحديث SolarWinds Orion الخبيث. بعد اختراق SolarWinds مسبقًا وإدراج ملفات ضارة في تحديث البرنامج ، تم منح المهاجمين وصولاً كاملاً إلى الشبكة عند تثبيت التحديث.

بمجرد دخول المهاجمين ، يكون لديهم “خطر ضئيل في اكتشافهم لأن التطبيق والثنائيات الموقعة شائعة وتعتبر موثوقة”.

نظرًا لأن خطر الاكتشاف كان منخفضًا جدًا ، يمكن للمهاجمين اختيار الأهداف التي يختارونها. مع تثبيت الباب الخلفي ، يمكن للمهاجمين أن يأخذوا وقتهم في معرفة قيمة الاستمرار في استكشاف الشبكة ، وترك الشبكات “منخفضة القيمة” كخيار احتياطي.

ذات صلة: تؤكد Microsoft أن اختراق SolarWinds يؤثر على المنتجات الأساسية

تعتقد Microsoft أن الدافع النهائي للمهاجمين كان استخدام “الدخول الخلفي لسرقة بيانات الاعتماد ، وتصعيد الامتيازات ، والتحرك بشكل جانبي لاكتساب القدرة على إنشاء رموز SAML المميزة”.

تُعد رموز SAML (لغة ترميز تأكيد الأمان) نوعًا من مفاتيح الأمان. إذا تمكن المهاجمون من سرقة مفتاح توقيع SAML (مثل المفتاح الرئيسي) ، فيمكنهم إنشاء رموز الأمان التي ينشئونها والتحقق من صحتها ، ثم استخدام تلك المفاتيح التي تم التحقق منها ذاتيًا للوصول إلى خدمات التخزين السحابية وخوادم البريد الإلكتروني.

من خلال القدرة على إنشاء رموز SAML غير مشروعة ، يمكن للمهاجمين الوصول إلى البيانات الحساسة دون الحاجة إلى أن تنشأ من جهاز مخترق أو يقتصرون على المثابرة في أماكن العمل. من خلال إساءة استخدام الوصول إلى واجهة برمجة التطبيقات عبر تطبيقات OAuth الحالية أو مبادئ الخدمة ، يمكنهم محاولة الاندماج في النمط العادي للنشاط ، وعلى الأخص التطبيقات أو مبادئ الخدمة.

وكالة الأمن القومي توافق على إساءة استخدام المصادقة

في وقت سابق من ديسمبر 2020 ، أفرج جهاز الأمن القومي عن مسؤول استشارات الأمن السيبراني [PDF] بعنوان “كشف إساءة استخدام آليات التوثيق”. يؤيد الاستشارة بشدة تحليل Microsoft بأن المهاجمين أرادوا سرقة رموز SAML لإنشاء مفتاح توقيع جديد.

تستفيد الجهات الفاعلة من الوصول المميز في البيئة المحلية لتخريب الآليات التي تستخدمها المنظمة لمنح الوصول إلى الموارد السحابية والمحلية و / أو اختراق بيانات اعتماد المسؤول مع القدرة على إدارة موارد السحابة.

تحتوي كل من مدونة Microsoft Security و NSA Cybersecurity Advisory على معلومات حول تعزيز أمان الشبكة للحماية من الهجوم ، وكذلك كيف يمكن لمسؤولي الشبكة اكتشاف أي علامات تسلل.

شعار Microsoft Windows
ما هو نظام التشغيل Windows Core OS؟

نظام التشغيل Windows Core هو نسخة مجردة من نظام التشغيل Windows ، ولكن هل سيحل محل WIndows 10؟


عن المؤلف

تم النشر في
مصنف كـ Uncategorized

اترك تعليقًا

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *