- بواسطة x32x01 ||
واحدة من أكبر عمليات الاختراق اللي حصلت في التاريخ الرقمي كانت هجمة SolarWinds اللي انطلقت في سنة 2019 واكتُشِفت فعليًا في شهر ديسمبر 2020. الهجوم ده كان مختلف ومخيف لإنه استهدف سلسلة التوريد (supply chain) بتاعة برامج مراقبة بتستخدمها آلاف الشركات حول العالم، وده خلا أثره واسع ومتوغل جدًا.
إيه هي شركة SolarWinds وOrion؟
SolarWinds شركة متخصصة في برامج إدارة ومراقبة الشبكات والسيرفرات وأداء الأنظمة. من أشهر منتجاتها برنامج اسمه Orion، واللي الشركات بتستخدمه عشان تراقب عدد كبير من الخوادم والخدمات داخليًا. بسبب شهرة البرنامج وصلاحياته العالية جوا الأنظمة كان هدف مثالي للمهاجمين.
إزاي حصل الاختراق ده باختصار؟
المهاجمين دخلوا جوه SolarWinds وفضّلوا موجودين هناك لفترة طويلة - حوالي 6 شهور - من سبتمبر 2019 لحد مارس 2020، يدرسوا النظام ويجهزوا طريقة يدخلوا كود خبيث جوه تحديث رسمي لبرنامج Orion. الكود ده اتسَّمَى Sunburst، واتضمنوه في تحديث البرنامج اللي الشركة وزَّعته بشكل طبيعي كجزء من الصيانة العادية. التحديث وصل لحوالي 18,000 شركة من بينها مؤسسات حكومية وشركات كبيرة جدًا زي Microsoft, Cisco, Intel, FireEye وغيرهم.
ليه العملية دي كانت خطيرة جدًا؟
لأسباب كتير منها:
مين ورا الهجوم؟ مين اللي عمله؟
في دلائل وتحليلات كتير بتشير إن الجهة اللي نفذت الهجوم دولة ذات قدرات متطورة جداً - تقارير كتير رجّحت وجود صلة بجهات روسية، لكن ما فيش اعتراف رسمي بالطبع. الجهات اللي بتنفذ هجمات معقدة من النوع ده نادرًا ما تعلن عن نفسها.
ليه محدش اكتشفهم بدري؟
سؤال مهم جدًا - إزاي المخترقين يقعدوا ست شهور داخل SolarWinds وكمان تقريبًا 9 شهور داخل شركات تانية ومحدش يحس بيهم؟ الأسباب بتتلخّص في:
ليه الهجوم ده أكبر من اختراق عادي؟
الهجمة دي مصنفة كـ Supply Chain Attack - يعني بدل ما تخترق شركة بعينها تهاجم المورد/المنتج اللي الشركات كلها معتمدة عليه. النتيجة إن تأثير الهجوم بيكون مضاعف: مش بس خرق شركة واحدة، لكن اختراق آلاف العملاء اللي معتمدين على نفس البرمجية.
اكتشاف الحادثة وإزاي افتُضح الموضوع
في ديسمبر 2020 شركة FireEye لاحظت سلوك غريب في شبكتها، وبدأت تحقيقات داخلية لغاية ما اكتشفوا إن السلوك ده مصدره تحديث Orion. لما تم الابلاغ اتجمعت التحليلات واتضح نطاق الكارثة الكبيرة دي، وبدأت شركات وحكومات تراجع أنظمتها وتتخذ إجراءات طوارئ.
أثر الهجمة وإزاي اتعاملت المؤسسات معاها
الدروس اللي اتعلمناها من SolarWinds
خاتمة - حدث تاريخي ومؤلم لكن مهم نتعلم منه
هجمة SolarWinds واحدة من أخطر الهجمات في التاريخ الرقمي بعد Stuxnet، لأنها كشفت قد إيه البنية التحتية الرقمية هشة قدام هجمات سلسلة التوريد. المهم دلوقتي إن المؤسسات تبني دفاعات أقوى، وتركز على الفحص من المصدر للعميل، وتطبيق ممارسات أمنية أعمق ومستمرة.
إيه هي شركة SolarWinds وOrion؟ 
SolarWinds شركة متخصصة في برامج إدارة ومراقبة الشبكات والسيرفرات وأداء الأنظمة. من أشهر منتجاتها برنامج اسمه Orion، واللي الشركات بتستخدمه عشان تراقب عدد كبير من الخوادم والخدمات داخليًا. بسبب شهرة البرنامج وصلاحياته العالية جوا الأنظمة كان هدف مثالي للمهاجمين.إزاي حصل الاختراق ده باختصار؟ 
المهاجمين دخلوا جوه SolarWinds وفضّلوا موجودين هناك لفترة طويلة - حوالي 6 شهور - من سبتمبر 2019 لحد مارس 2020، يدرسوا النظام ويجهزوا طريقة يدخلوا كود خبيث جوه تحديث رسمي لبرنامج Orion. الكود ده اتسَّمَى Sunburst، واتضمنوه في تحديث البرنامج اللي الشركة وزَّعته بشكل طبيعي كجزء من الصيانة العادية. التحديث وصل لحوالي 18,000 شركة من بينها مؤسسات حكومية وشركات كبيرة جدًا زي Microsoft, Cisco, Intel, FireEye وغيرهم.ليه العملية دي كانت خطيرة جدًا؟ 
لأسباب كتير منها:- Orion كان ليه صلاحيات كبيرة داخل الشبكات فبالتالي الكود الخبيث قدر يوصل لأنظمة حساسة.
- التحديث كان رسمي وجاي من مصدر موثوق (SolarWinds) فالمؤسسات ما اشتبهتش في الأول.
- المهاجمين كانوا شغالين بشكل متخفي وذكي جدًا، ففضلوا في الشبكات لمدة 9 شهور (مارس - ديسمبر 2020) داخل الـ18,000 شركة، لكنهم اختاروا يركزوا على أهداف مهمة بس (جهات حكومية، شركات اتصالات، مؤسسات كبيرة).
- نتيجة كدة: مساحة التأثير كانت هائلة وممكن توصل لعملاء الشركات الضخمة ده غير إن أى تغيير على برامج مركزية ممكن يؤثر على ملايين مستخدمين لو حصل.
مين ورا الهجوم؟ مين اللي عمله؟ 
في دلائل وتحليلات كتير بتشير إن الجهة اللي نفذت الهجوم دولة ذات قدرات متطورة جداً - تقارير كتير رجّحت وجود صلة بجهات روسية، لكن ما فيش اعتراف رسمي بالطبع. الجهات اللي بتنفذ هجمات معقدة من النوع ده نادرًا ما تعلن عن نفسها.ليه محدش اكتشفهم بدري؟ 
سؤال مهم جدًا - إزاي المخترقين يقعدوا ست شهور داخل SolarWinds وكمان تقريبًا 9 شهور داخل شركات تانية ومحدش يحس بيهم؟ الأسباب بتتلخّص في:- استخدام تقنيات متقدمة للتخفي (stealth techniques) والاختباء داخل تحديث رسمي.
- استهداف سلسلة التوريد بدل استهداف كل شركة لوحدها - لما تسيطر على مصدر تحديث أساسي تقدر توصل لعدد هائل من الضحايا بسهولة.
- التركيز على أهداف مختارة أكتر من النزعة العشوائية - يعني كانوا بيشتغلوا زي فرق استخباراتية، يمسحوا الشبكات ويقرروا أهداف عالية القيمة بس.
- نقص رصد وتحليل متقدّم في بعض أنظمة المراقبة وقتها خلاهم يمرّوا مرور الكرام لمدة طويلة.
ليه الهجوم ده أكبر من اختراق عادي؟ 
الهجمة دي مصنفة كـ Supply Chain Attack - يعني بدل ما تخترق شركة بعينها تهاجم المورد/المنتج اللي الشركات كلها معتمدة عليه. النتيجة إن تأثير الهجوم بيكون مضاعف: مش بس خرق شركة واحدة، لكن اختراق آلاف العملاء اللي معتمدين على نفس البرمجية.اكتشاف الحادثة وإزاي افتُضح الموضوع 
في ديسمبر 2020 شركة FireEye لاحظت سلوك غريب في شبكتها، وبدأت تحقيقات داخلية لغاية ما اكتشفوا إن السلوك ده مصدره تحديث Orion. لما تم الابلاغ اتجمعت التحليلات واتضح نطاق الكارثة الكبيرة دي، وبدأت شركات وحكومات تراجع أنظمتها وتتخذ إجراءات طوارئ.أثر الهجمة وإزاي اتعاملت المؤسسات معاها 
- أعمال تحقيق واستجابة طوارئ على مستويات كبيرة في شركات زي Microsoft و Cisco و Intel وغيرهم.
- مراجعات أمنية شاملة وتحديث استراتيجيات إدارة سلسلة التوريد.
- تغييرات في ممارسات التفتيش على التحديثات الرقمية ورفع الوعي بضرورة التحقق من سلامة الـsoftware من المصدر للعميل.
الدروس اللي اتعلمناها من SolarWinds 
- أمن سلسلة التوريد بقى أولوية قصوى: لازم نفكر مش بس في أنظمتنا الداخلية لكن كمان في مزودي البرمجيات اللي بنتعامل معاهم.
- لازم يكون فيه رصد وكشف متقدم للسلوك الشاذ داخل الشبكات حتى لو التحديث جاي من مصدر موثوق.
- المهاجمين المتقدمين بيشتغلوا طويل ومدروس - يبقى لازم نعمل اختبارات وتحليلات دورية وما نعتمدش على الفرضيات.
- التعاون بين القطاع العام والخاص والباحثين الأمنيين مهم علشان نكشف ونواجه الهجمات دي بسرعة.
خاتمة - حدث تاريخي ومؤلم لكن مهم نتعلم منه 
هجمة SolarWinds واحدة من أخطر الهجمات في التاريخ الرقمي بعد Stuxnet، لأنها كشفت قد إيه البنية التحتية الرقمية هشة قدام هجمات سلسلة التوريد. المهم دلوقتي إن المؤسسات تبني دفاعات أقوى، وتركز على الفحص من المصدر للعميل، وتطبيق ممارسات أمنية أعمق ومستمرة. التعديل الأخير: