Ping Channel
🔴هشدار آژانس امنیت سایبری آمریکا در مورد محصولات SolarWinds ▪️آژانس امنیت سایبری آمریکا (CISA) در هشداری فوری به همه شرکتهای دولتی آمریکا در مورد آسیب پذیری محصولات SolarWinds Orion که توسط عده ای Exploit شده است هشدار جدی داد. این هشدار آنقدر مهم و فوری…
🔴 نگاهی به لیست مشتریان SolarWinds روشن می کند که چرا آژانس امنیت سایبری آمریکا نسبت آسیب پذیری اخیر کشف شده در SolarWinds واکنش کم سابقه ای داشته است!
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
⚫️ اذعان مدیرعامل SolarWinds به وجود آسیب پذیری در SolarWinds و تلاش برای شناسایی ابعاد آن در همکاری تنگاتنگ با FireEye
⚠️مراکز رسمی متولی امنیت سایبری در کشور تا این لحظه واکنشی نسبت به این آسیب پذیری بسیار مهم نداشته اند!
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
⚠️مراکز رسمی متولی امنیت سایبری در کشور تا این لحظه واکنشی نسبت به این آسیب پذیری بسیار مهم نداشته اند!
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
ابعاد فنی حمله به FireEye کم کم شفاف تر می شود.
🔴شرکت FireEye از کشف یک Malware بنام SUNBURST خبر داده که با بکارگیری چندین تکنیک پیشرفته و بهره گیری از Backdoor کشف شده روی SolarWinds در حال قربانی کردن شرکتهای خصوصی و دولتی است!
❗️توصیه مهم: اگر از SolarWinds استفاده می کنید فورا آنرا از شبکه قطع کنید!
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
🔴شرکت FireEye از کشف یک Malware بنام SUNBURST خبر داده که با بکارگیری چندین تکنیک پیشرفته و بهره گیری از Backdoor کشف شده روی SolarWinds در حال قربانی کردن شرکتهای خصوصی و دولتی است!
❗️توصیه مهم: اگر از SolarWinds استفاده می کنید فورا آنرا از شبکه قطع کنید!
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
Ping Channel
ابعاد فنی حمله به FireEye کم کم شفاف تر می شود. 🔴شرکت FireEye از کشف یک Malware بنام SUNBURST خبر داده که با بکارگیری چندین تکنیک پیشرفته و بهره گیری از Backdoor کشف شده روی SolarWinds در حال قربانی کردن شرکتهای خصوصی و دولتی است! ❗️توصیه مهم: اگر از SolarWinds…
🔴تکمیلی:
تحلیل فنی بدافزار پیچیده SUNBURST Backdoor توسط شرکت FireEye در اینجا منتشر شد.
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
تحلیل فنی بدافزار پیچیده SUNBURST Backdoor توسط شرکت FireEye در اینجا منتشر شد.
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
Google Cloud Blog
SolarWinds Supply Chain Attack Uses SUNBURST Backdoor | Google Cloud Blog
A highly evasive attacker leverages a supply chain attack trojanizing SolarWinds Orion business software updates in order to distribute SUNBURST malware.
🔴حوادث عجیب و غریب ادامه دارد...
▪️تعداد زیادی از سرویسهای Google در کل دنیا به مدت یک ساعت از دسترس خارج شدند!
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
▪️تعداد زیادی از سرویسهای Google در کل دنیا به مدت یک ساعت از دسترس خارج شدند!
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
Secure Configuration in the Orion Platform.pdf
175.7 KB
مستند پیکربندی امن SolarWinds
➖Secure Configuration for the SolarWinds
Orion Platform
اطلاعیه شرکت SolarWinds در مورد کشف Backdoor رو محصولات SolarWinds و توصیه های مرتبط را می توانید در این لینک مشاهده نمایید.
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
➖Secure Configuration for the SolarWinds
Orion Platform
اطلاعیه شرکت SolarWinds در مورد کشف Backdoor رو محصولات SolarWinds و توصیه های مرتبط را می توانید در این لینک مشاهده نمایید.
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
🔴کلاس درس هکرهای روسی برای هکرهای دنیا!
♨️پرده اول: هکرهای دولتی روسی تصمیم میگیرند به حساسترین وزارتخانه ها و سازمانهای آمریکا نفوذ کنند. راه نفوذ مستقیم بسته است!
♨️پرده دوم: آنها موفق میشوند بی سر و صدا به شبکه شرکت SolarWinds نفوذ کنند. این شرکت محصولات مانیتورینگ تولید میکند و در تمام دنیا مشتری دارد. این شرکت در وب سایتش لیست مشتریان مهمش را نوشته. حتی پنتاگون را!
♨️پرده سوم: هکرها موفق میشوند به سورس نرم افزارهای SolarWinds دسترسی پیدا کنند. یک Backdoor زیبا و بی نقص به سورس تزریق میکنند و منتظر می مانند!
♨️پرده چهارم: شرکت SolarWinds یک Update جدید منتشر میکند. غافل از اینکه کدهای جدید به Backdoor آلوده شده اند! این فرایند چندین ماه ادامه دارد.
♨️پرده پنجم: تمامی مشتریان SolarWinds ازجمله پنتاگون و وزارت امنیت داخلی آمریکا و حتی شرکت امنیتی FireEye با نصب Update جدید آلوده به Backdoor روسی میشوند!
♨️پرده ششم: روسی ها با استفاده از Backdoor موفق به سرقت ابزارهای محرمانه شرکت FireEye میشوند! حالا صدها اسلحه جدید بدست آورده اند که راه نفوذ را به میلیونها هدف هموارتر می کند.
🆔 @PingChannel
♨️پرده اول: هکرهای دولتی روسی تصمیم میگیرند به حساسترین وزارتخانه ها و سازمانهای آمریکا نفوذ کنند. راه نفوذ مستقیم بسته است!
♨️پرده دوم: آنها موفق میشوند بی سر و صدا به شبکه شرکت SolarWinds نفوذ کنند. این شرکت محصولات مانیتورینگ تولید میکند و در تمام دنیا مشتری دارد. این شرکت در وب سایتش لیست مشتریان مهمش را نوشته. حتی پنتاگون را!
♨️پرده سوم: هکرها موفق میشوند به سورس نرم افزارهای SolarWinds دسترسی پیدا کنند. یک Backdoor زیبا و بی نقص به سورس تزریق میکنند و منتظر می مانند!
♨️پرده چهارم: شرکت SolarWinds یک Update جدید منتشر میکند. غافل از اینکه کدهای جدید به Backdoor آلوده شده اند! این فرایند چندین ماه ادامه دارد.
♨️پرده پنجم: تمامی مشتریان SolarWinds ازجمله پنتاگون و وزارت امنیت داخلی آمریکا و حتی شرکت امنیتی FireEye با نصب Update جدید آلوده به Backdoor روسی میشوند!
♨️پرده ششم: روسی ها با استفاده از Backdoor موفق به سرقت ابزارهای محرمانه شرکت FireEye میشوند! حالا صدها اسلحه جدید بدست آورده اند که راه نفوذ را به میلیونها هدف هموارتر می کند.
🆔 @PingChannel
Ping Channel
تنها چند روز بعد از هک شدن شبکه FireEye و سرقت ابزارهای محرمانه این شرکت: 🔴حمله پیچیده هکرهای دولتی به وزارت خزانهداری آمریکا ▪️رویترز: وزارت خزانهداری آمریکا مورد حمله سایبری قرار گرفته و اطلاعات آن سرقت شده است. هکرهای پیچیدهای که مورد حمایت یک دولت…
🔴 پنتاگون و وزارتخارجه آمریکا هم هک شدند!
▪️همانگونه که قبلا پیش بینی میشد دامنه هک های اخیر بسیار گسترده بوده و خبرهای آن ادامه خواهد داشت!
▪️نیویورکتایمز اعلام کرده وزارتدفاع و خارجهآمریکا نیز در موج حملات سایبری چند روز اخیر هدف قرار گرفته و اطلاعات آنها نیز توسط هکرها به سرقت رفته است.
همچنین رسانه هاى آمريكا از كنسل شدن بخشى از سفرهاى خارجى رابرت اوبرايان بدلیل كشف حمله سايبرى گسترده عليه سازمان هاى دولتى اين كشور خبر ميدهند.
اوبرايان، مشاور امنيت ملى ترامپ در امور ايران و ونزوئلا، سه روز پيش به اسرائيل رفت و قرار بود به چند كشور اروپايى نيز سفر كند. اما اكنون هواپيماى او در راه بازگشت به آمريكا است.
▪️شرکت SolarWinds اعلام کرده حدود 18000 مشتری در دنیا Update های آلوده به Backdoor های روسی را نصب کرده اند و در ۶ الی ۹ ماه اخیر تحت نفوذ قرار داشته اند.
▪️در خوشبینانه ترین حالت حداقل 100 مورد آنها در ایران و در سازمانهای مهم کشور بوده است. با توجه به حساسیت بسیار زیاد این رخنه، واکنش جدی تر از سوی متولیان امنیت کشور بویژه در زیرساختهای حیاتی ضروری به نظر میرسد.
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
▪️همانگونه که قبلا پیش بینی میشد دامنه هک های اخیر بسیار گسترده بوده و خبرهای آن ادامه خواهد داشت!
▪️نیویورکتایمز اعلام کرده وزارتدفاع و خارجهآمریکا نیز در موج حملات سایبری چند روز اخیر هدف قرار گرفته و اطلاعات آنها نیز توسط هکرها به سرقت رفته است.
همچنین رسانه هاى آمريكا از كنسل شدن بخشى از سفرهاى خارجى رابرت اوبرايان بدلیل كشف حمله سايبرى گسترده عليه سازمان هاى دولتى اين كشور خبر ميدهند.
اوبرايان، مشاور امنيت ملى ترامپ در امور ايران و ونزوئلا، سه روز پيش به اسرائيل رفت و قرار بود به چند كشور اروپايى نيز سفر كند. اما اكنون هواپيماى او در راه بازگشت به آمريكا است.
▪️شرکت SolarWinds اعلام کرده حدود 18000 مشتری در دنیا Update های آلوده به Backdoor های روسی را نصب کرده اند و در ۶ الی ۹ ماه اخیر تحت نفوذ قرار داشته اند.
▪️در خوشبینانه ترین حالت حداقل 100 مورد آنها در ایران و در سازمانهای مهم کشور بوده است. با توجه به حساسیت بسیار زیاد این رخنه، واکنش جدی تر از سوی متولیان امنیت کشور بویژه در زیرساختهای حیاتی ضروری به نظر میرسد.
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
Ft
What do we know about the SolarWinds hack?
Security officials race to probe one of the most sophisticated cyber attacks of recent years
♨️شرکت SolarWinds بالاخره Patch ارائه کرد.
▪️ساعاتی پیش شرکت SolarWinds با ارائه Patch نسبت به رفع آسیب پذیری بحرانی اخیر اقدام کرد.
▪️اطلاعات بیشتر و دریافت Patch ها را در اینجا دنبال کنید.
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
▪️ساعاتی پیش شرکت SolarWinds با ارائه Patch نسبت به رفع آسیب پذیری بحرانی اخیر اقدام کرد.
▪️اطلاعات بیشتر و دریافت Patch ها را در اینجا دنبال کنید.
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
The Hacker News
SolarWinds Issues Second Hotfix for Orion Platform Supply Chain Attack
SolarWinds issues a second hotfix for Orion Platform that replaces the compromised component and provides several additional security enhancements.
⛔️ ۴۹ میلیون نفر تعداد کاربران ایرانی تلگرام در یکسال اخیر.
🙈 عرض تبریک به متولیان سانسور و فیلترینگ اینترنت بخاطر این دستاورد عظیم! 👏👏👏
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
🙈 عرض تبریک به متولیان سانسور و فیلترینگ اینترنت بخاطر این دستاورد عظیم! 👏👏👏
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
🔴نوبت اختلال تلگرام شد! اختلال گسترده تلگرام در اروپا و خاورمیانه
🔹از حدود ساعت ۱۶:۵۰ تلگرام دچار اختلال شده و متصل نمیشود. حتی سایت تلگرام هم از دسترس خارج شده است.
🔹تلگرام در توییتی اعلام کرد: برخی از کاربران ما در اروپا و خاورمیانه مشکل اتصال دارند. ما در حال تلاش برای حل مشکل هستیم. متاسفیم!
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
🔹از حدود ساعت ۱۶:۵۰ تلگرام دچار اختلال شده و متصل نمیشود. حتی سایت تلگرام هم از دسترس خارج شده است.
🔹تلگرام در توییتی اعلام کرد: برخی از کاربران ما در اروپا و خاورمیانه مشکل اتصال دارند. ما در حال تلاش برای حل مشکل هستیم. متاسفیم!
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
💢بیانیه جو بایدن در واکنش به حملات سایبری گسترده علیه دولت آمریکا
▪️رئیسجمهور منتخب آمریکا در بیانیهای اعلام کرد:
▪️دولت من از لحظهای که اداره امور را در دست میگیرد امنیت ساییری را در تمامی سطوح دولت در صدر اولویتهایش قرار خواهد داد.
▪️ما امنیت سایبری را در سراسر دولت ارتقا خواهیم داد، به تقویت همکاری با بخش خصوصی خواهیم پرداخت و سرمایهگذاری در زیرساختها و نیروی انسانی لازم برای دفاع در برابر این حملات مخرب را تقویت خواهیم کرد.
▪️دشمنان ما باید بدانند که من به عنوان رئيسجمهور آمریکا در برابر حملات سایبری به کشورمان بیکار نخواهم نشست.
▪️هزینههای مهمی به عاملان این حملات تحمیل خواهم کرد.
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
▪️رئیسجمهور منتخب آمریکا در بیانیهای اعلام کرد:
▪️دولت من از لحظهای که اداره امور را در دست میگیرد امنیت ساییری را در تمامی سطوح دولت در صدر اولویتهایش قرار خواهد داد.
▪️ما امنیت سایبری را در سراسر دولت ارتقا خواهیم داد، به تقویت همکاری با بخش خصوصی خواهیم پرداخت و سرمایهگذاری در زیرساختها و نیروی انسانی لازم برای دفاع در برابر این حملات مخرب را تقویت خواهیم کرد.
▪️دشمنان ما باید بدانند که من به عنوان رئيسجمهور آمریکا در برابر حملات سایبری به کشورمان بیکار نخواهم نشست.
▪️هزینههای مهمی به عاملان این حملات تحمیل خواهم کرد.
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
🔴🔴🔴 فوری/ در ادامه حملات دامنه دار اخیر، هکرها به سازمان ملی امنیت هستهای آمریکا هم نفوذ کردهاند!
▪️منابع آگاه میگویند وزارت انرژی و سازمان ملی امنیت هستهای آمریکا جزو نهادهای فدرال هستند که هکرها موفق به نفوذ به آنها شدهاند.
▪️سازمان امنیت ملی هستهای آمریکا یکی از سازمانهای فدرال آمریکا است که نظارت بر زرادخانههای تسلیحات هستهای ایالات متحده را بر عهده دارد.
▪️این دو نهاد آمریکایی بدون اشاره به جزئیات بیشتر گفتهاند فعالیتهای مشکوکی را در شبکههای متعلق به «کمیسیون فدرال تنظیم مقررات انرژی»، آزمایشگاههای هستهای «سندیا» و «لسآموس» و چند نهاد دیگر شناسایی کردهاند./فارس
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
▪️منابع آگاه میگویند وزارت انرژی و سازمان ملی امنیت هستهای آمریکا جزو نهادهای فدرال هستند که هکرها موفق به نفوذ به آنها شدهاند.
▪️سازمان امنیت ملی هستهای آمریکا یکی از سازمانهای فدرال آمریکا است که نظارت بر زرادخانههای تسلیحات هستهای ایالات متحده را بر عهده دارد.
▪️این دو نهاد آمریکایی بدون اشاره به جزئیات بیشتر گفتهاند فعالیتهای مشکوکی را در شبکههای متعلق به «کمیسیون فدرال تنظیم مقررات انرژی»، آزمایشگاههای هستهای «سندیا» و «لسآموس» و چند نهاد دیگر شناسایی کردهاند./فارس
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
Ping Channel
🔴🔴🔴 فوری/ در ادامه حملات دامنه دار اخیر، هکرها به سازمان ملی امنیت هستهای آمریکا هم نفوذ کردهاند! ▪️منابع آگاه میگویند وزارت انرژی و سازمان ملی امنیت هستهای آمریکا جزو نهادهای فدرال هستند که هکرها موفق به نفوذ به آنها شدهاند. ▪️سازمان امنیت ملی هستهای…
✍️ تحلیلی شخصی از حملات یک هفته اخیر.
▪️همانطور که پیش بینی میشد و چند روز قبل در اینجا هم اشاره کرده بودیم دامنه حملات اخیر ادامه خواهد داشت. نفوذ روسی ها به پنتاگون و سازمان ملی امنیت هسته ای آمریکا شرایط را بسیار پیچیده کرده و آمریکا ضربه سختی دریافت کرده است.
▪️تصور کنید هکرهای دولتی روسی در یک مدت 9 ماهه در شبکه های حساس و فوق محرمانه دولت آمریکا جا خوش کرده بودند و به همه چیز دسترسی داشته اند و هر سند و مدرکی را که میخواسته اند از عمق Serverهای محرمانه دولت آمریکا استخراج کرده اند!
▪️آمریکا و روسیه هر دو در دکترین دفاع سایبری خود، انجام حملات سایبری را به نوعی اعلام جنگ می پندارند و برای خود این حق را قائل هستند که پاسخ حملات سایبری دولتی را با حملات نظامی بدهند. (سال گذشته در ایران هم قانون مشابهی تصویب شد.) پوتین دیروز هرگونه ارتباط این حملات با دولت روسیه را رد کرد. اما اگر آمریکا مدرکی بدست بیاورد که اثبات کند دولت روسیه پشت پرده این حملات بوده شرایط سیاسی و امنیتی جهان بسیار نگران کننده تر خواهد شد. کسی چه میداند!؟ شاید این حملات سایبری مقدمه یک نزاع ویرانگر بین المللی باشد! در نگاهی افراطی تر برخی عقیده دارند که این حمله می تواند آغازگر جنگ جهانی سوم باشد!
▪️به عنوان یک تحلیلگر خبرهای امنیتی و یک نظاره گر حملات سایبری اخیر، شک ندارم که آمریکا تنها کشوری نیست که گرفتار این حملات شده است. آمریکا موفق شده زودتر از بقیه کشورها این حملات را کشف کند. در ایران هم محصولات SolarWinds به وفور در بسیاری از سازمانها استفاده می شود. قطعا تعدادی از شرکتها و سازمانهای ایرانی هم درگیر این Backdoor روسی شده اند. فقط امیدواریم برادران روسی حداقل این بار بر خلاف رویه پیشین تاریخی خود عمل کرده باشند و از پشت به شریک سیاسی و استراتژیک خود خنجر نزده باشند!
⚫️ نکته مغفول مانده از دید اکثر کارشناسان:
▪️شرکت SolarWinds نرم افزارهای Monitoring تولید می کند. نرم افزار Monitoring برای کارکرد درست باید در نقطه ای نصب شود که بتواند به Probeها و Agentها و تجهیزات در Zoneهای مختلف دسترسی داشته باشد. این دسترسی ها هم معمولا از نوع سطح بالا است. چون سیستم های مانیتورینگ باید بتوانند فاکتورهای مهم را در سطح سیستم عامل نظارت کنند. حتی در مواردی که المانهای مانیتورینگ از طریق SNMP خوانده می شود ممکن است دسترسی ها از نوع Write تعریف شده باشد. در برخی نقاط بنا به ضرورت ممکن است سرویسهایی با دسترسی Administrator توسط نرم افزار مانیتورینگ اجرا شود.
به طور خلاصه نرم افزار مانیتورینگ دارای سطح دسترسی نسبتا بالایی در شبکه است و از طرفی در نقطه ای نصب می شود که به Zone های زیادی بصورت مستقیم یا غیرمستقیم دسترسی دارد. این باعث می شود که Inject کردن یک Backdoor داخل آن قدرت بسیار زیادی به هکر بدهد! توجه کنید که لازم نیست سرور SolarWinds روی اینترنت Publish شده باشد. حتی نیاز نیست به اینترنت متصل شده باشد. Backdoor به زیبایی کار خودش انجام می دهد و راه ارتباط با اینترنت را از طریق Agentها و Probeها پیدا می کند! این باعث میشود که ریسک این Backdoor به شدت زیاد باشد.
⚫️ سردرگمی جدید
▪️به عقیده من این هک و نفوذ با این روش خارق العاده، یک Next Generation Hack بود و ما را در این ابهام بزرگ فرو برد که از این پس Security Updateهای بقیه نرم افزارها را نصب کنیم یا خیر؟ اگر نصب کنیم ممکن است به این روش قربانی شویم و اگر نصب نکنیم هم به هزاران روش دیگر قربانی می شویم! سردرگمی عجیبی است!
علی کیائی فر
28 آذر 99
▪️همانطور که پیش بینی میشد و چند روز قبل در اینجا هم اشاره کرده بودیم دامنه حملات اخیر ادامه خواهد داشت. نفوذ روسی ها به پنتاگون و سازمان ملی امنیت هسته ای آمریکا شرایط را بسیار پیچیده کرده و آمریکا ضربه سختی دریافت کرده است.
▪️تصور کنید هکرهای دولتی روسی در یک مدت 9 ماهه در شبکه های حساس و فوق محرمانه دولت آمریکا جا خوش کرده بودند و به همه چیز دسترسی داشته اند و هر سند و مدرکی را که میخواسته اند از عمق Serverهای محرمانه دولت آمریکا استخراج کرده اند!
▪️آمریکا و روسیه هر دو در دکترین دفاع سایبری خود، انجام حملات سایبری را به نوعی اعلام جنگ می پندارند و برای خود این حق را قائل هستند که پاسخ حملات سایبری دولتی را با حملات نظامی بدهند. (سال گذشته در ایران هم قانون مشابهی تصویب شد.) پوتین دیروز هرگونه ارتباط این حملات با دولت روسیه را رد کرد. اما اگر آمریکا مدرکی بدست بیاورد که اثبات کند دولت روسیه پشت پرده این حملات بوده شرایط سیاسی و امنیتی جهان بسیار نگران کننده تر خواهد شد. کسی چه میداند!؟ شاید این حملات سایبری مقدمه یک نزاع ویرانگر بین المللی باشد! در نگاهی افراطی تر برخی عقیده دارند که این حمله می تواند آغازگر جنگ جهانی سوم باشد!
▪️به عنوان یک تحلیلگر خبرهای امنیتی و یک نظاره گر حملات سایبری اخیر، شک ندارم که آمریکا تنها کشوری نیست که گرفتار این حملات شده است. آمریکا موفق شده زودتر از بقیه کشورها این حملات را کشف کند. در ایران هم محصولات SolarWinds به وفور در بسیاری از سازمانها استفاده می شود. قطعا تعدادی از شرکتها و سازمانهای ایرانی هم درگیر این Backdoor روسی شده اند. فقط امیدواریم برادران روسی حداقل این بار بر خلاف رویه پیشین تاریخی خود عمل کرده باشند و از پشت به شریک سیاسی و استراتژیک خود خنجر نزده باشند!
⚫️ نکته مغفول مانده از دید اکثر کارشناسان:
▪️شرکت SolarWinds نرم افزارهای Monitoring تولید می کند. نرم افزار Monitoring برای کارکرد درست باید در نقطه ای نصب شود که بتواند به Probeها و Agentها و تجهیزات در Zoneهای مختلف دسترسی داشته باشد. این دسترسی ها هم معمولا از نوع سطح بالا است. چون سیستم های مانیتورینگ باید بتوانند فاکتورهای مهم را در سطح سیستم عامل نظارت کنند. حتی در مواردی که المانهای مانیتورینگ از طریق SNMP خوانده می شود ممکن است دسترسی ها از نوع Write تعریف شده باشد. در برخی نقاط بنا به ضرورت ممکن است سرویسهایی با دسترسی Administrator توسط نرم افزار مانیتورینگ اجرا شود.
به طور خلاصه نرم افزار مانیتورینگ دارای سطح دسترسی نسبتا بالایی در شبکه است و از طرفی در نقطه ای نصب می شود که به Zone های زیادی بصورت مستقیم یا غیرمستقیم دسترسی دارد. این باعث می شود که Inject کردن یک Backdoor داخل آن قدرت بسیار زیادی به هکر بدهد! توجه کنید که لازم نیست سرور SolarWinds روی اینترنت Publish شده باشد. حتی نیاز نیست به اینترنت متصل شده باشد. Backdoor به زیبایی کار خودش انجام می دهد و راه ارتباط با اینترنت را از طریق Agentها و Probeها پیدا می کند! این باعث میشود که ریسک این Backdoor به شدت زیاد باشد.
⚫️ سردرگمی جدید
▪️به عقیده من این هک و نفوذ با این روش خارق العاده، یک Next Generation Hack بود و ما را در این ابهام بزرگ فرو برد که از این پس Security Updateهای بقیه نرم افزارها را نصب کنیم یا خیر؟ اگر نصب کنیم ممکن است به این روش قربانی شویم و اگر نصب نکنیم هم به هزاران روش دیگر قربانی می شویم! سردرگمی عجیبی است!
علی کیائی فر
28 آذر 99
🔴مایکروسافت هم!
▪️مایکروسافت هم اعتراف کرد که مانند بسیاری از مشتریان SolarWinds فایلهای آلوده به Backdoor را در شبکه خودش مشاهده کرده! البته گفته این بخش از بخشهای عملیاتی ایزوله بوده. مایکروسافت این را هم اضافه کرده که بیش از ۴۰ مورد از حمله به مشتریانش را کشف کرده که ۸۰ درصد آنها در آمریکا بوده اند. بقیه هم در کانادا و مکزیک و بلژیک و اسپانیا و انگلیس و اسرائیل و امارات!
▪️خبرهای غافلگیر کننده ادامه دارد....
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
▪️مایکروسافت هم اعتراف کرد که مانند بسیاری از مشتریان SolarWinds فایلهای آلوده به Backdoor را در شبکه خودش مشاهده کرده! البته گفته این بخش از بخشهای عملیاتی ایزوله بوده. مایکروسافت این را هم اضافه کرده که بیش از ۴۰ مورد از حمله به مشتریانش را کشف کرده که ۸۰ درصد آنها در آمریکا بوده اند. بقیه هم در کانادا و مکزیک و بلژیک و اسپانیا و انگلیس و اسرائیل و امارات!
▪️خبرهای غافلگیر کننده ادامه دارد....
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
🔴ایران هم طعمه Backdoor روسی شده!
▪️مایکروسافت نقشه ای منتشر کرده که نحوه و میزان انتشار Backdoor روسی را در سطح دنیا نشان میدهد.
▪️همانگونه که پیش بینی شده بود در ایران هم این Backdoor مشاهده شده است. روسیه عاری از انتشار امضای بدافزار است.
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
▪️مایکروسافت نقشه ای منتشر کرده که نحوه و میزان انتشار Backdoor روسی را در سطح دنیا نشان میدهد.
▪️همانگونه که پیش بینی شده بود در ایران هم این Backdoor مشاهده شده است. روسیه عاری از انتشار امضای بدافزار است.
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
⚠️کم توجهی مراکز امنیتی کشور به حملات اخیر
▪️از نحوه و سطح واکنش مراکز متولی امنیت سایبری کشور به حملات سایبری اخیر چنین برمی آید که به عمق فاجعه توجه چندانی نشده است!
▪️خطر این حمله بسیار جدی و بی سابقه است و در ایران هم قطعا قربانیانی را دامن گرفته است. نوشدارو بعد از مرگ سهراب هم بکار نخواهد آمد.
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
▪️از نحوه و سطح واکنش مراکز متولی امنیت سایبری کشور به حملات سایبری اخیر چنین برمی آید که به عمق فاجعه توجه چندانی نشده است!
▪️خطر این حمله بسیار جدی و بی سابقه است و در ایران هم قطعا قربانیانی را دامن گرفته است. نوشدارو بعد از مرگ سهراب هم بکار نخواهد آمد.
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
Ping Channel
🔴مایکروسافت هم! ▪️مایکروسافت هم اعتراف کرد که مانند بسیاری از مشتریان SolarWinds فایلهای آلوده به Backdoor را در شبکه خودش مشاهده کرده! البته گفته این بخش از بخشهای عملیاتی ایزوله بوده. مایکروسافت این را هم اضافه کرده که بیش از ۴۰ مورد از حمله به مشتریانش…
🔷 مایکروسافت تصریح کرد که شبکه اش هک نشده!
▪️امروز بسیاری از کانالها و تعدادی از خبرگزاریها گزارش کردند که مایکروسافت یکی از قربانیان حملات سایبری اخیر بوده. علت بروز این شایعات هم خبری بود که رویترز منتشر کرد و البته مایکروسافت هم بلافاصله آنرا تکذیب کرد. مایکروسافت توضیح داده که: مانند بقیه مشتریان SolarWinds ما به دنبال شاخصهایی درباره عامل این حملات بودیم و میتوانیم این موضوع را تایید کنیم که باینریهای مخرب SolarWinds را در محیط مایکروسافت پیدا کردهایم. اما ما هیچ شواهدی مبنی بر دسترسی هکرها به محصولات، سرویسها و یا اطلاعات مشتریان خود پیدا نکردهایم. تحقیقات ما در حال حاضر در جریان است و ما هیچ شاخصی را پیدا نکردیم که تایید کند سیستمهای ما برای حمله به دیگران استفاده شدهاند.
▪️نقشه ای که مایکروسافت منتشر کرده نشان می دهد بیش از 40 مشتری از مشتریان مایکروسافت در این حمله قربانی شده اند حاصل استخراج اطلاعات آنتی ویروس مایکروسافت دیفندر است که در تمام دنیا استفاده می شود و این به معنی هک شدن مایکروسافت نیست.
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
▪️امروز بسیاری از کانالها و تعدادی از خبرگزاریها گزارش کردند که مایکروسافت یکی از قربانیان حملات سایبری اخیر بوده. علت بروز این شایعات هم خبری بود که رویترز منتشر کرد و البته مایکروسافت هم بلافاصله آنرا تکذیب کرد. مایکروسافت توضیح داده که: مانند بقیه مشتریان SolarWinds ما به دنبال شاخصهایی درباره عامل این حملات بودیم و میتوانیم این موضوع را تایید کنیم که باینریهای مخرب SolarWinds را در محیط مایکروسافت پیدا کردهایم. اما ما هیچ شواهدی مبنی بر دسترسی هکرها به محصولات، سرویسها و یا اطلاعات مشتریان خود پیدا نکردهایم. تحقیقات ما در حال حاضر در جریان است و ما هیچ شاخصی را پیدا نکردیم که تایید کند سیستمهای ما برای حمله به دیگران استفاده شدهاند.
▪️نقشه ای که مایکروسافت منتشر کرده نشان می دهد بیش از 40 مشتری از مشتریان مایکروسافت در این حمله قربانی شده اند حاصل استخراج اطلاعات آنتی ویروس مایکروسافت دیفندر است که در تمام دنیا استفاده می شود و این به معنی هک شدن مایکروسافت نیست.
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
ZDNET
Microsoft confirms it was also breached in recent SolarWinds supply chain hack
Microsoft denies that hackers pivoted to production systems and abused its software to attack customers.
⚠️یک درس بزرگ از حملات سایبری اخیر
▪️شرکت SolarWinds در وب سایت خود بخشی داشت که لیست مشتریانش را برای عموم به نمایش گذاشته بود. در این لیست بیش از 425 شرکت از لیست مشهور 500 شرکت برتر دنیا به انتخاب نشریه Fortune قرار داشتند. علاوه بر این، اسم سازمانهای نظامی (ازجمله پنتاگون) و دستگاه های دولتی آمریکا هم در لیست مشتریان این شرکت دیده میشد. همین موضوع باعث شده بود تا هکرها سرنخهای خوبی بدست آوردند و مطمئن شوند که طعمه را به درستی انتخاب کرده اند! SolarWinds بعد از رسوایی اخیر این لیست را از وب سایتش حذف کرد.
▪️انتشار لیست مشتریان در وب سایت تولیدکنندگان و فروشندگان محصولات و نرم افزارها می تواند امنیت آنها را خدشه دار کند.
▪️شایسته است مرکز افتا، همه شرکتهایی را که از این مرکز مجوز فعالیت گرفته اند از انتشار عمومی لیست مشتریان منع کند. کارفرماها نیز می توانند در قراردادهای خود با پیمانکاران بر عدم انتشار نام کارفرما در لیست مشتریان تاکید کنند.
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
▪️شرکت SolarWinds در وب سایت خود بخشی داشت که لیست مشتریانش را برای عموم به نمایش گذاشته بود. در این لیست بیش از 425 شرکت از لیست مشهور 500 شرکت برتر دنیا به انتخاب نشریه Fortune قرار داشتند. علاوه بر این، اسم سازمانهای نظامی (ازجمله پنتاگون) و دستگاه های دولتی آمریکا هم در لیست مشتریان این شرکت دیده میشد. همین موضوع باعث شده بود تا هکرها سرنخهای خوبی بدست آوردند و مطمئن شوند که طعمه را به درستی انتخاب کرده اند! SolarWinds بعد از رسوایی اخیر این لیست را از وب سایتش حذف کرد.
▪️انتشار لیست مشتریان در وب سایت تولیدکنندگان و فروشندگان محصولات و نرم افزارها می تواند امنیت آنها را خدشه دار کند.
▪️شایسته است مرکز افتا، همه شرکتهایی را که از این مرکز مجوز فعالیت گرفته اند از انتشار عمومی لیست مشتریان منع کند. کارفرماها نیز می توانند در قراردادهای خود با پیمانکاران بر عدم انتشار نام کارفرما در لیست مشتریان تاکید کنند.
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
Ping Channel
⚠️کم توجهی مراکز امنیتی کشور به حملات اخیر ▪️از نحوه و سطح واکنش مراکز متولی امنیت سایبری کشور به حملات سایبری اخیر چنین برمی آید که به عمق فاجعه توجه چندانی نشده است! ▪️خطر این حمله بسیار جدی و بی سابقه است و در ایران هم قطعا قربانیانی را دامن گرفته است.…
⚠️توصیه های مرکز افتا در خصوص حملات اخیر
▪️مرکز افتا در اطلاعیه ای که روز سه شنبه منتشر شده توصیه هایی را به کارشناسان زیرساخت کشور ارائه کرده است. در بخشی از این اطلاعیه آمده است:
«کارشناسان معاونت بررسی مرکز مدیریت راهبردی افتا، توصیه می کنند تا کارشناسان IT دستگاههای زیرساخت در کوتاهترین زمان ممکن، با استفاده از محصولات ضدویروس و ابزارهای امنیتی، وجود هر گونه نشانه آلودگی را بررسی کنند.
دستگاههای زیرساخت همچنین، باید با انجام بررسی دقیق، فراگیر و جامع امنیتی، زیرساختهای فیزیکی و ابری را بازبینی و مقاومسازی کنند.
متخصصان IT زیرساختهای کشور، باید در اسرع وقت نسبت به جدا کردن هر سیستمی که بر روی آن Version ۲۰۱۹,۴ HF ۵ تا Version ۲۰۲۰.۲.۱ محصول SolarWinds Orion Platform نصب است اقدام کنند. این نسخ در فاصله مارس ۲۰۲۰ تا ژوئن ۲۰۲۰ عرضه شده بودند.
کارشناسان معاونت بررسی مرکز افتا از متخصصان IT در زیرساختها خواستهاند تا در نخستین فرصت، SolarWinds Orion Platform را به Version ۲۰۲۰,۲.۲.۱HF۱ ارتقا داده و پس از اطمینان از عدم وجود هر گونه آلودگی، سیستمها را به حالت قبل بازگردانند. »
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
▪️مرکز افتا در اطلاعیه ای که روز سه شنبه منتشر شده توصیه هایی را به کارشناسان زیرساخت کشور ارائه کرده است. در بخشی از این اطلاعیه آمده است:
«کارشناسان معاونت بررسی مرکز مدیریت راهبردی افتا، توصیه می کنند تا کارشناسان IT دستگاههای زیرساخت در کوتاهترین زمان ممکن، با استفاده از محصولات ضدویروس و ابزارهای امنیتی، وجود هر گونه نشانه آلودگی را بررسی کنند.
دستگاههای زیرساخت همچنین، باید با انجام بررسی دقیق، فراگیر و جامع امنیتی، زیرساختهای فیزیکی و ابری را بازبینی و مقاومسازی کنند.
متخصصان IT زیرساختهای کشور، باید در اسرع وقت نسبت به جدا کردن هر سیستمی که بر روی آن Version ۲۰۱۹,۴ HF ۵ تا Version ۲۰۲۰.۲.۱ محصول SolarWinds Orion Platform نصب است اقدام کنند. این نسخ در فاصله مارس ۲۰۲۰ تا ژوئن ۲۰۲۰ عرضه شده بودند.
کارشناسان معاونت بررسی مرکز افتا از متخصصان IT در زیرساختها خواستهاند تا در نخستین فرصت، SolarWinds Orion Platform را به Version ۲۰۲۰,۲.۲.۱HF۱ ارتقا داده و پس از اطمینان از عدم وجود هر گونه آلودگی، سیستمها را به حالت قبل بازگردانند. »
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
www.afta.gov.ir
پورتال-مرکز مدیریت راهبردی افتای ریاست جمهوری -افتا/ماجرای یکی از کمنظیرترین حملات سایبری تاریخ
پورتال--/
☑️مایکروسافت گزارش تحلیلی خود را از Backdoor تزریق شده به محصولات SolarWinds منتشر کرد.
▪️این گزارش بسیار خواندنی و مفصل را که لحظاتی پیش منتشر شد در اینجا بخوانید.
▪️ازجمله نکات قابل توجه این است که این Backdoor چند فاز دارد. در فاز اول یک سری شرایط را بررسی می کند. اگر شرایط مهیا نبود Backdoor اصلا اجرا نمیشود. این شرایط عبارتند از:
➖It verifies that the process hosting the malicious DLL is named solarwinds.businesslayerhost.exe
➖It checks that the last write-time of the malicious DLL is at least 12 to 14 days earlier
➖It delays execution by random amounts of time
➖It verifies that the domain name of the current device meets the following conditions:
▫️The domain must not contain certain strings; the check for these strings is implemented via hashes, so at this time the domain names that are block-listed are unknown
▫️The domain must not contain “solarwinds”
▫️The domain must not match the regular expression (?i)([^a-z]|^)(test)([^a-z]|$), or in simpler terms, it must not look like a test domain
➖It checks that there are no running processes related to security-related software (e.g., Windbg, Autoruns, Wireshark)
➖It checks that there are no drivers loaded from security-related software (e.g., groundling32.sys)
➖It checks that the status of certain services belonging to security-related software meets certain conditions (e.g., windefend, sense, cavp)
➖It checks that the host “api.solarwinds.com” resolves to an expected IP address
▪️هرکدام از شرایط بالا فراهم نبود Backdoor اجرا نخواهد شد. اوج هوشمندی هکرها در تعریف این شرط ها قابل تشخیص است. در ادامه این تحلیل، فرمانهایی که از C2 دریافت می کند و اجرا می کند شرح داده شده است که فرصت ترجمه نیست. از اینجا مطالعه کنید.
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
▪️این گزارش بسیار خواندنی و مفصل را که لحظاتی پیش منتشر شد در اینجا بخوانید.
▪️ازجمله نکات قابل توجه این است که این Backdoor چند فاز دارد. در فاز اول یک سری شرایط را بررسی می کند. اگر شرایط مهیا نبود Backdoor اصلا اجرا نمیشود. این شرایط عبارتند از:
➖It verifies that the process hosting the malicious DLL is named solarwinds.businesslayerhost.exe
➖It checks that the last write-time of the malicious DLL is at least 12 to 14 days earlier
➖It delays execution by random amounts of time
➖It verifies that the domain name of the current device meets the following conditions:
▫️The domain must not contain certain strings; the check for these strings is implemented via hashes, so at this time the domain names that are block-listed are unknown
▫️The domain must not contain “solarwinds”
▫️The domain must not match the regular expression (?i)([^a-z]|^)(test)([^a-z]|$), or in simpler terms, it must not look like a test domain
➖It checks that there are no running processes related to security-related software (e.g., Windbg, Autoruns, Wireshark)
➖It checks that there are no drivers loaded from security-related software (e.g., groundling32.sys)
➖It checks that the status of certain services belonging to security-related software meets certain conditions (e.g., windefend, sense, cavp)
➖It checks that the host “api.solarwinds.com” resolves to an expected IP address
▪️هرکدام از شرایط بالا فراهم نبود Backdoor اجرا نخواهد شد. اوج هوشمندی هکرها در تعریف این شرط ها قابل تشخیص است. در ادامه این تحلیل، فرمانهایی که از C2 دریافت می کند و اجرا می کند شرح داده شده است که فرصت ترجمه نیست. از اینجا مطالعه کنید.
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
Microsoft News
Analyzing Solorigate, the compromised DLL file that started a sophisticated cyberattack, and how Microsoft Defender helps protect…
We, along with the security industry and our partners, continue to investigate the extent of the Solorigate attack. While investigations are underway, we want to provide the defender community with intel to understand the scope and impact, remediation guidance…