در دسامبر ۲۰۲۰ حملاتی به چندین شرکت و سازمان دولتی در ایالات متحده صورت پذیرفت که آمریکا را تکان داد. در ابتدا گفته شد این حملات که به نام Sunburst معروف شده است، توسط یک دولت پشتیبانی میشده است و سپس نام دولت روسیه به میان آمد.
حملات Sunburst، دولت آمریکا و چند شرکت فناوری را هدف قرار داد.
این سری از حملات از طریق قراردادن backdoor در بروزرسانی نرم افزار SolarWinds انجام شده است. شرکت SolarWinds یکی از بزرگترین تولید کنندگان نرم افزارهای مدیریتی در حوزه فناوری اطلاعات است. این شرکت که در سال ۱۹۹۹ تاسیس شده است دارای ۹۳ هزار مشتری در بیش از ۱۷۰ کشور جهان است.
نرم افزار اصلی که نفوذ از طریق آن شروع شده Solarwinds Orion نام دارد و ظاهراً نسخههای این نرم افزار از مارچ تا جون ۲۰۲۰ آلوده به این تروجان بوده است. این تروجان به هکر امکان میداده سیستم را کامل تحت کنترل خود بگیرد و دستورات مختلفی را از راه دور اجرا کند. اولین بخش نفوذ، اکتبر ۲۰۱۹ شروع شده، هکرها یک کلاس خالی را به یک فایل DLL اضافه کردهاند. بعدها این فایل محل اضافه شدن کد اصلی بوده است.
بیشتر بدانید:
بعد از موفقیت در نفوذ به فرآیند تست و build، هکرها شروع به بازنویسی یک سری توابع موجود و اضافه کردن کدهای جدید کردند. این کدها به شکل ماهرانهای شبیه سایر کدهای نرم افزار بوده تا کسی متوجه این تغییرات جدید نشود.
اولین نسخه آلوده به بدافزار در مارچ ۲۰۲۰ تمام شده و درحدود ۴۰۰۰ خط کد جدید داخل فایل dll تزریق شده است. این فایل به همراه نرم افزار اصلی پروسه تست و build را طی کرده و بصورت الکترونیک امضا شده، بدون اینکه کسی به آن شک کند.
این هکرها افرادی بسیار حرفهای و باحوصله بوده اند و تمام تلاش خود را برای ناشناس ماندن کدهای مخرب، کردهاند. کد تروجان با کلیه قابلیتها فقط ۱۳ زیرکلاس و ۱۶ تابع است.
فایل نهایی نهایتاً بصورت رسمی منتشر شده و بیش از ۱۸ هزار مشتری آن را دانلود و نصب کردهاند. این مشتریها شامل شرکتهای بزرگ دولتی و فناوری در آمریکا، اروپا، آسیا و حتی خاورمیانه نیز بوده است.
بعد از اولین اجرا، ویروس پروسه چک و فعال سازی را شروع کرده است. در صورتی که نتیجه همه تستها مثبت باشد، فرآیند اصلی که اتصال به یک سرور و دریافت و اجرای دستورات جدید است، انجام می شود.
تعداد ۱۸ دستور اصلی شناسایی شده که به هکرها اجازه دستکاری در رجیستری، ایجاد پروسه جدید، کار با فایلها و غیره است را می دهد. به عبارت ساده، کنترل کامل سیستم.
برای ارتباط با سرورها، تروجان از یک سری الگوریتم پیچیده برای ایجاد دامین استفاده کرده است. این دامنه ها بین ماشینهای آلوده یکسان نبوده و در هر کدام از یک نام دامنه استفاده شده است. از سیستمهای ابری آمازون و مایکروسافت و چند شرکت دیگر برای ارسال دستورات استفاده شده است. آی پی هر سرور دستور دهنده نیز در همان کشوری بوده که ماشین، آلوده شده بوده است.
برای ارتباط با سرور از پروتکل های واقعی نرم افزار Solarwinds استفاده شده است. اطلاعات دریافتی هم داخل ساختار پلاگین خود نرم افزار اصلی ذخیره شده تا کسی به آن شک نکند.
آنچه تاکنون به دست آمده این است که این یک هک استثنایی است که دامنه و اثرات کامل آن طی هفتهها و حتی ماهها مشخص نخواهد شد.
