داستان ناگفته جسورانه ترین هک زنجیره تامین تا کنون

اما آنها تنها 24 ساعت در این کار بودند که مسیری را که دنبالش بودند پیدا کردند: یک فایل واحد که به نظر می‌رسید مسئول ترافیک سرکش است. Carmakal معتقد است که 11 دسامبر بود که آن را پیدا کردند.

این فایل یک کتابخانه .dll یا پیوند پویا بود — اجزای کدی بود که توسط برنامه های دیگر به اشتراک گذاشته شده بود. این .dll بزرگ بود و حاوی حدود 46000 خط کد بود که بیش از 4000 عمل قانونی را انجام می‌داد و – همانطور که آنها پس از یک ساعت تجزیه و تحلیل آن را دریافتند – یک کد نامشروع.

اصلی. وظیفه .dll این بود که به SolarWinds در مورد استفاده مشتری از Orion بگوید. اما هکرها کد مخربی را جاسازی کرده بودند که باعث می‌شد اطلاعات مربوط به شبکه قربانی را به سرور فرمان آنها منتقل کند. بالنتین کد سرکش را “Sunburst” نامگذاری کرد – یک نمایشنامه در SolarWinds. آنها از این کشف به وجد آمدند. اما اکنون آنها باید بفهمند که چگونه مزاحمان آن را به داخل Orion .dll برده اند.

این به دور از اهمیت بود. فایل Orion .dll با یک گواهی دیجیتال SolarWinds امضا شد، که قرار بر این بود تأیید کند که فایل کد شرکت قانونی است. یکی از احتمالات این بود که مهاجمان گواهی دیجیتال را دزدیده باشند، یک نسخه خراب از فایل Orion ایجاد کرده باشند، فایل را امضا کرده باشند تا معتبر به نظر برسد، سپس .dll خراب را روی سرور Mandiant نصب کرده باشند. یا، نگران‌کننده‌تر، ممکن است شبکه SolarWinds را نقض کرده و کد منبع قانونی Orion .dll را قبل از اینکه SolarWinds آن را جمع‌آوری کند – تبدیل کد به نرم‌افزار – و امضای آن را تغییر داده باشند. سناریوی دوم آنقدر دور از ذهن به نظر می رسید که خدمه Mandiant واقعاً آن را در نظر نمی گرفتند – تا اینکه یک محقق یک به روز رسانی نرم افزار Orion را از وب سایت SolarWinds دانلود کرد. درب پشتی در آن بود.

این مفهوم خیره کننده بود. مجموعه نرم افزاری Orion حدود 33000 مشتری داشت که برخی از آنها دریافت به روز رسانی نرم افزار هک شده را در ماه مارس آغاز کرده بودند. این بدان معناست که برخی از مشتریان ممکن است برای هشت ماه در معرض خطر قرار گرفته باشند. تیم Mandiant با نمونه کتاب درسی نرم افزار-supply-chain روبرو بود. حمله—تغییر شرورانه نرم افزار قابل اعتماد در منبع آن. در یک حرکت، مهاجمان می‌توانند هزاران، احتمالاً میلیون‌ها دستگاه را آلوده کنند.

در سال 2017 هکرها یک زنجیره تأمین نرم‌افزار را خراب کردند و بدافزار را با به خطر انداختن رایانه به بیش از 2 میلیون کاربر تحویل دادند. ابزار پاکسازی امنیتی CCleaner. در همان سال، روسیه کرم NotPetya مخرب را در به‌روزرسانی نرم‌افزاری برای معادل اوکراینی TurboTax که سپس در سراسر جهان پخش شد. مدتی بعد، هکرهای چینی نیز از یک به‌روزرسانی نرم‌افزاری استفاده کردند تا درپشتی را به هزاران مشتریان ایسوس. حتی در این مرحله اولیه تحقیقات، تیم Mandiant می‌توانست بگوید که هیچ یک از آن حملات دیگر با کمپین SolarWinds رقابت نمی‌کند.

SolarWinds به تعقیب می‌پیوندد

یک صبح روز شنبه، 12 دسامبر بود که ماندیا با تلفن همراه خود با رئیس و مدیرعامل SolarWinds تماس گرفت. کوین تامپسون، 14 ساله کهنه کار شرکت تگزاس، در پایان ماه از سمت مدیرعاملی کنار رفت. چیزی که او می خواست از ماندیا بشنود – اینکه اوریون آلوده شده است – راهی جهنمی برای به پایان رساندن دوران ریاستش بود. مندیا گفت: «ما در 24 ساعت آینده این موضوع را به صورت عمومی ارائه خواهیم کرد. او قول داد به SolarWinds فرصتی بدهد تا ابتدا یک اطلاعیه منتشر کند، اما جدول زمانی قابل مذاکره نبود. چیزی که ماندیا به آن اشاره نکرد این بود که خودش تحت فشار خارجی قرار داشت: خبرنگاری در مورد درب پشتی خبر داده بود و با شرکتش تماس گرفته بود تا آن را تایید کند. ماندیا انتظار داشت که این داستان عصر یکشنبه به پایان برسد، و او می‌خواست جلوتر از آن بگذرد.

تامپسون شروع به برقراری تماس کرد، یکی از اولین تماس‌ها با تیم براون، رئیس معماری امنیتی SolarWinds. براون و کارکنانش به سرعت وجود درپشتی Sunburst را در به‌روزرسانی‌های نرم‌افزار Orion تأیید کردند و با هشدار متوجه شدند که از بهار 2020 به 18000 مشتری تحویل داده شده است. (هر کاربر Orion آن را دانلود نکرده است.) تامپسون و دیگران بیشتر روز شنبه را با دیوانه‌واری تیم‌ها را برای نظارت بر چالش‌های فنی، قانونی و تبلیغاتی که با آن مواجه بودند، سپری کردند. آنها همچنین با وکیل حقوقی خارجی شرکت، DLA Piper، تماس گرفتند تا بر تحقیقات نقض نظارت کند. ران پلسکو، وکیل پایپر و دادستان سابق با تخصص پزشکی قانونی، در حوالی ساعت 10 شب هنگام تماس با دوستانش در حیاط خلوت خود بود.