تنسب Microsoft هجوم SolarWinds الجديد إلى مجموعة قراصنة صينية

تنسب Microsoft هجوم SolarWinds الجديد إلى مجموعة قراصنة صينية

أفاد مركز معلومات التهديدات (MSTIC) التابع لشركة Microsoft يوم الثلاثاء أن برنامج SolarWinds قد تعرض للهجوم باستغلال يوم الصفر من قبل مجموعة من المتسللين يطلق عليهم “DEV-0322”. ركز المتسللون على برنامج Serv-U FTP الخاص بـ SolarWinds ، بهدف مفترض يتمثل في الوصول إلى عملاء الشركة في صناعة الدفاع الأمريكية.

تم رصد هجوم اليوم صفر لأول مرة في فحص روتيني لبرنامج Microsoft 365 Defender. لاحظ البرنامج “عملية خبيثة شاذة” تشرحها Microsoft بمزيد من التفصيل في مدونتها ، ولكن يبدو أن المتسللين كانوا يحاولون جعل أنفسهم مديري Serv-U ، من بين أنشطة أخرى مشبوهة.

أبلغت SolarWinds عن ثغرة يوم الصفر يوم الجمعة 9 يوليو ، موضحة أن جميع إصدارات Serv-U من الخامس من مايو وما قبلها تحتوي على الثغرة الأمنية. أصدرت الشركة إصلاحًا عاجلاً لمعالجة المشكلة وتم تصحيح الاستغلال منذ ذلك الحين ، لكن مايكروسوفت تكتب أنه إذا كان بروتوكول Secure Shell (SSH) الخاص بـ Serv-U متصلاً بالإنترنت ، فيمكن للمتسللين “تشغيل تعليمات برمجية عشوائية عن بعد بامتيازات ، مما يسمح لهم تنفيذ إجراءات مثل تثبيت حمولات ضارة وتشغيلها ، أو عرض البيانات وتغييرها “. يتم تشجيع أي شخص يقوم بتشغيل برنامج Serv-U أقدم على تحديثه في أقرب وقت ممكن.

كشف الاختراق الأول الذي دفع SolarWinds إلى دائرة الضوء في ديسمبر 2020 ، مئات الوكالات الحكومية والشركات. على عكس الاختراق السابق ، المرتبط الآن على نطاق واسع بمجموعة قراصنة تابعة للدولة الروسية تسمى Cozy Bear ، تقول Microsoft إن هجوم يوم الصفر نشأ في الصين. لقد اعتاد DEV-0322 على مهاجمة “الكيانات في قطاع القاعدة الصناعية الدفاعية الأمريكية” ، كما كتبت Microsoft ، وهي معروفة “باستخدام حلول VPN التجارية وأجهزة توجيه المستهلك المخترقة في البنية التحتية للمهاجمين.”