- بواسطة x32x01 ||
في شهر سبتمبر 2019 حصلت عملية اختراق على شركة كبيرة اسمها SolarWinds الشركة دي متخصصة في بناء برامج بتراقب الـ Network والـ Servers والـ Performance وحاجات من هذا القبيل, المخترقين قعدوا جوه الشركة دي حوالي 6 شهور لحد شهر مارس 2020 بدون ما حد يحس بيهم خالص !
كل الفترة دي كانوا قاعدين بيحاولوا يضيفوا Malicious Code جوه برنامج مشهور عند الشركة دي اسمه Orion, برنامج Orion ده هو المسؤول عن مراقبة السيرفرات والشبكة الداخلية للشركات, وبسبب كده كان ليه صلاحية انه يـ Access عدد كبير من السيرفرات جوه الشركات عشان يقدر يجمع المعلومات دي, وبسبب ان البرنامج ده ليه شعبية كبيرة جدا في العالم وليه صلاحيات عالية جدا جوه الشركات فكان هو الهدف المثالي للمخترقين وكل ده طبعا كان متجهز ومتخطط ليه من قبل بداية الـ Attack اصلا.
المهم المخترقين دول قعدوا 6 شهور جوه شركة SolarWinds بيجربوا ازاي يقدروا يضيفوا الكود ده جوه برنامج Orion بشكل محدش خالص في العالم يكتشفه او يحس بيه, وبالفعل قدروا يعملوا كده بطريقة من اذكى وامهر طرق التخفي والاختراق على مستوى العالم.
في شهر مارس 2020 شركة SolarWinds قررت انها تعمل التحديث الدوري الـ هي بتعمله للـ Software بتاعها عادي جدا ولكن الكارثة هنا ان التحديث ده كان بيحتوي على الكود الخبيث الـ ذكرناه فوق الـ تمت اضافته بواسطة المخترقين والكود ده اطلقوا عليه اسم Sunburst.
التحديث ده وصل لحوالي 18,000 شركة على مستوى العالم من ضمنها هيئات حكومية ومؤسسات جيش وشركات اتصالات وشركات خاصة كبيرة جدا, حاجات زي Microsoft و Cisco و Intel و FireEye وشركات كتيرة جدا في نفس مستوى ضخامتهم, ده غير اماكن حساسة جدا في الحكومة الامريكية, تخيل 18,000 شركة على مستوى العالم وصل ليهم التحديث ده !
ومن شهر مارس 2020 لحد شهر ديسمبر 2020 يعني حوالي 9 شهور, المخترقين دول جوه الـ 18,000 شركة, وطبعا مفيش لا وقت ولا طاقة بشرية تقدر تتحكم في العدد الرهيب ده من الشركات فكانوا بيختاروا الشركات المهمة فقط من العدد ده كله, حاجات حكومية حساسة مؤسسات جيش شركات اتصالات شركات خاصة كبيرة حاجات زي كده, بس تخيل لمدة 9 شهور المخترقين موجودين جوه كل الشركات دي !
ابعاد الموضوع ده ملهاش نهاية, يعني كان في معلومة بتقول انهم بعد ما دخلوا شركة ميكروسوفت استخدموها في انهم يوصلوا لعدد كبير جدا من عملائها ولكن شركة ميكروسوفت طلعت نفت الموضوع ده ولكن ده شيء وارد الحدوث جدا, تخيل انت ان كل شركة من الـ 18,000 دول ليها عملاء خاصين بيها, فا تخيل ابعاد حاجة زي كده, يعني مثلا لو حد قدر يعدل على نظام تشغيل ويندوز والتحديث ده وصل لملايين الناس !!!
في شهر ديسمبر 2020 شركة كبيرة اسمها FireEye اكتشفت سلوك غريب جوه النتورك بتاعها بعد اكتر من 14 شهر من بداية الاختراق الفعلي, وبدأت تحقق في السلوك ده واكتشفت انه جي من برنامج Orion الخاص بشركة SolarWinds فا هوب بلغت العالم كله واكتشفوا الكارثة الـ شغاله بقالها اكتر من سنة تقريبا ومحدش حاسس بيها ولا عارف اي حاجة عنها !
ودي كانت واحده من اكبر واخطر عمليات الاختراق الـ حصلت في العالم الرقمي بعد تقريبا كارثة Stuxnet, الـ Attack دي بتتصنف تحت مسمى Supply Chain Attack بمعنى انك بتشوف برنامج مستخدم عند كبير من الشركات حول العالم وتخترق الـ Software ده وبالتالي لما التحديث ده يوصل للمستخدمين فا انت قدرت تخترق كل المستخدمين دول.
مين الـ عمل الـ Attack دي ؟
عدد كبير من الشواهد بتقول انها جهة حكومية من دولة روسيا ولكن طبعا كالعادة روسيا طلعت نفت الموضوع ده, مهو اكيد مش حتقول انا الـ عملت الـ Attack حتى لو هي الـ عملته!
السؤال الاهم هنا هم ازاي فضلو طول الفترة دي محدش اكتشفهم ؟
قعدوا حوالين 6 شهور جوه شركة SolarWinds ومحدش حس بيهم!
والكارثة الاكبر قعدوا حوالي 9 شهور جوه تقريبا كل شركات العالم ومحدش برده حس بيهم انت متخيل انك تخترق شركة بضخامة مثلا Microsoft وتقعد جواها 9 شهور محدش يحس بيك, دي كارثة حرفيا!
وده دليل على ان الـ عملوا الـ Attack دي كانوا في غاية المهارة والدقة وليسوا مخترقين عاديين!
على مستوى تاريخ العالم الرقمي حتى اللحظة دي لم يأتي اخطر من هجمتين Stuxnet و SolarWinds Hack.
كل الفترة دي كانوا قاعدين بيحاولوا يضيفوا Malicious Code جوه برنامج مشهور عند الشركة دي اسمه Orion, برنامج Orion ده هو المسؤول عن مراقبة السيرفرات والشبكة الداخلية للشركات, وبسبب كده كان ليه صلاحية انه يـ Access عدد كبير من السيرفرات جوه الشركات عشان يقدر يجمع المعلومات دي, وبسبب ان البرنامج ده ليه شعبية كبيرة جدا في العالم وليه صلاحيات عالية جدا جوه الشركات فكان هو الهدف المثالي للمخترقين وكل ده طبعا كان متجهز ومتخطط ليه من قبل بداية الـ Attack اصلا.
المهم المخترقين دول قعدوا 6 شهور جوه شركة SolarWinds بيجربوا ازاي يقدروا يضيفوا الكود ده جوه برنامج Orion بشكل محدش خالص في العالم يكتشفه او يحس بيه, وبالفعل قدروا يعملوا كده بطريقة من اذكى وامهر طرق التخفي والاختراق على مستوى العالم.
في شهر مارس 2020 شركة SolarWinds قررت انها تعمل التحديث الدوري الـ هي بتعمله للـ Software بتاعها عادي جدا ولكن الكارثة هنا ان التحديث ده كان بيحتوي على الكود الخبيث الـ ذكرناه فوق الـ تمت اضافته بواسطة المخترقين والكود ده اطلقوا عليه اسم Sunburst.
التحديث ده وصل لحوالي 18,000 شركة على مستوى العالم من ضمنها هيئات حكومية ومؤسسات جيش وشركات اتصالات وشركات خاصة كبيرة جدا, حاجات زي Microsoft و Cisco و Intel و FireEye وشركات كتيرة جدا في نفس مستوى ضخامتهم, ده غير اماكن حساسة جدا في الحكومة الامريكية, تخيل 18,000 شركة على مستوى العالم وصل ليهم التحديث ده !
ومن شهر مارس 2020 لحد شهر ديسمبر 2020 يعني حوالي 9 شهور, المخترقين دول جوه الـ 18,000 شركة, وطبعا مفيش لا وقت ولا طاقة بشرية تقدر تتحكم في العدد الرهيب ده من الشركات فكانوا بيختاروا الشركات المهمة فقط من العدد ده كله, حاجات حكومية حساسة مؤسسات جيش شركات اتصالات شركات خاصة كبيرة حاجات زي كده, بس تخيل لمدة 9 شهور المخترقين موجودين جوه كل الشركات دي !
ابعاد الموضوع ده ملهاش نهاية, يعني كان في معلومة بتقول انهم بعد ما دخلوا شركة ميكروسوفت استخدموها في انهم يوصلوا لعدد كبير جدا من عملائها ولكن شركة ميكروسوفت طلعت نفت الموضوع ده ولكن ده شيء وارد الحدوث جدا, تخيل انت ان كل شركة من الـ 18,000 دول ليها عملاء خاصين بيها, فا تخيل ابعاد حاجة زي كده, يعني مثلا لو حد قدر يعدل على نظام تشغيل ويندوز والتحديث ده وصل لملايين الناس !!!
في شهر ديسمبر 2020 شركة كبيرة اسمها FireEye اكتشفت سلوك غريب جوه النتورك بتاعها بعد اكتر من 14 شهر من بداية الاختراق الفعلي, وبدأت تحقق في السلوك ده واكتشفت انه جي من برنامج Orion الخاص بشركة SolarWinds فا هوب بلغت العالم كله واكتشفوا الكارثة الـ شغاله بقالها اكتر من سنة تقريبا ومحدش حاسس بيها ولا عارف اي حاجة عنها !
ودي كانت واحده من اكبر واخطر عمليات الاختراق الـ حصلت في العالم الرقمي بعد تقريبا كارثة Stuxnet, الـ Attack دي بتتصنف تحت مسمى Supply Chain Attack بمعنى انك بتشوف برنامج مستخدم عند كبير من الشركات حول العالم وتخترق الـ Software ده وبالتالي لما التحديث ده يوصل للمستخدمين فا انت قدرت تخترق كل المستخدمين دول.
مين الـ عمل الـ Attack دي ؟
عدد كبير من الشواهد بتقول انها جهة حكومية من دولة روسيا ولكن طبعا كالعادة روسيا طلعت نفت الموضوع ده, مهو اكيد مش حتقول انا الـ عملت الـ Attack حتى لو هي الـ عملته!
السؤال الاهم هنا هم ازاي فضلو طول الفترة دي محدش اكتشفهم ؟
قعدوا حوالين 6 شهور جوه شركة SolarWinds ومحدش حس بيهم!
والكارثة الاكبر قعدوا حوالي 9 شهور جوه تقريبا كل شركات العالم ومحدش برده حس بيهم انت متخيل انك تخترق شركة بضخامة مثلا Microsoft وتقعد جواها 9 شهور محدش يحس بيك, دي كارثة حرفيا!
وده دليل على ان الـ عملوا الـ Attack دي كانوا في غاية المهارة والدقة وليسوا مخترقين عاديين!
على مستوى تاريخ العالم الرقمي حتى اللحظة دي لم يأتي اخطر من هجمتين Stuxnet و SolarWinds Hack.