شكلت القرصنة الروسية الأخيرة والتي هاجمت العديد من الوكالات الحكومية الأمريكية تهديداً كبيراً من خلال استخدامها لهجوم سلسلة التوريد “Supply Chain Attack”وذلك لكسب عشرات الآلاف من خدمات شركة تكنولوجيا المعلومات SolarWinds ، و هذه لم تكن الميزة الوحيدة اللافتة للنظر لهذا الهجوم فقد تمكن المهاجمين أيضاً من التغلغل بشكل أعمق في شبكات ضحاياهم من خلال استخدام استراتيجيات بسيطة وذكية.
وهذا ما مكنهم من التسلل إلى خدمات البريد الالكتروني Microsoft365 لضحاياهم والبنية التحتية ل Microsoft AZURE Cloud واللذان يعتبران كنزاً دفيناً من البيانات الحساسة والقيمة. يكمن التحدي في منع هذه الأنواع من الاختراقات في أنها لا تعتمد على ثغرات أمنية محددة يمكن أن تُصحح ببساطة. عوضا عن ذلك استخدم المتسللون هجوما أولياً يمكنهم من التلاعب ب Microsoft365 و Microsoft AZURE بطريقةٍ تبدو مشروعة مع التنويه أن لمثل هذا النوع من الهجوم الكثير من التأثيرات.
وبعض أهم التصريحات التي جاءت حول هذا الموضوع تصريح ماثيو ماكويرت المدير في Mandiant Fireeye : “الآن هنالك جهات معنية أخرى ستتبنى هذه التقنيات بوضوح لأنهم مهتمين بكل ما هو ناجح على هذا الصعيد”.
وتصريح آخر ضمن هذا السياق ل شاكيد راينر : ” أنا متأكد من أن المهاجمين الآخرين سيغتنمون ما حدث لاستخدامه أكثر وأكثر من الآن فصاعداً ” .
في الآونة الأخيرة اخترق المتسللون منتج Orion و Solar Winds
واعتمدوا على توزيع تحديثات ضارة تمكنهم من اختراق شبكة كل عميل Solar Winds قام بتنزيل التحديث الضار. وهذا الأمر أعطاهم العديد من الامتيازات على أنظمة الضحية فقد أصبح بإمكانهم التحكم في الشهادات والمفاتيح المستخدمة لإنشاء رموز مصادقة النظام والمعروفة باسم رموز SAML ل Microsoft365 و Microsoft AZURE ، وبمجرد حصول المهاجم على امتيازات الشبكة للتعامل مع نظام المصادقة هذا يمكنه إنشاء رموز مميزة شرعية للوصول إلى أي من حسابات Microsoft365 و Microsoft AZURE الخاصة بالمؤسسة ، دون الحاجة إلى كلمات مرور أو مصادقة متعددة العوامل .
ومن الامتيازات العالية التي حصل عليها المهاجمون إمكانية التجول بحرية دون رفع الأعلام الحمراء التي تنذر بوجود اختراق.
وفي تصريح لشركة مايكروسوفت التي ربطت هذه التقنيات بقراصنة Solar Winds أكدت على أهمية أن تكون الحكومات والقطاع الخاص أكثر شفافية بما يخص نشاط الدولة القومية حتى يتمكن الجميع من مواصلة الحوار على الصعيد العالمي لحماية الانترنت وأكدت على أهمية زيادة الوعي بين المؤسسات والأفراد حول الخطوات التي يمكن اتخاذها لحماية أنفسهم.
ومما جاء على لسان وكالة الأمن القومي : ” من المهم عند تشغيل المنتجات التي تقوم بالمصادقة أن يتم تكوين الخادم وجميع الخدمات التي تعتمد عليه بشكل صحيح للتشغيل والتكامل الآمنين لأنه بخلاف ذلك يمكن تزوير SAM مما يمنح الوصول إلى موارد عديدة”.
بعد هذا الهجوم قامت مايكروسوفت بتوسيع أدوات المراقبة الخاصة بها في AZURE Sentinel كما قامت ال Mandiant أيضاً بإصدار أداة تسهل على المجموعات تقييم ما إذا كان شخص ما يتعامل مع إنشاء رمز المصادقة الخاص بهم ل AZURE و Microsoft465 ، مثل عرض المعلومات على الشهادات والحسابات الجديدة. الآن بعد أن تم الكشف على التقنيات علناً تزايد عدد المنظمات التي أصبحت على اطلاع على مثل هذا النشاط الضار. إن التلاعب برمز SAML يمثل خطراً على جميع المستخدمين وليس فقط على ال AZURE.
في عام 2017 نشر شاكيد راينر الباحث في شركة الدفاع المؤسسي CyberArk نتائج حول هذه التقنية أطلق عليها اسم GoldenSAML حتى أنه صمم دليلاً على أداة المفهوم التي يمكن لممارسي الأمن استخدامها لاختبار ما إذا كان عملاؤهم عرضة للتلاعب المحتمل برمز SAML.
يعتقد راينر أن المهاجمين لم يستخدموا تقنيات GoldenSAML كثيراً في السنوات القليلة الماضية لمجرد أنها تتطلب مثل هذا المستوى العالي من الوصول للانسحاب ومع ذلك يقول أنه رأى دائماً زيادة النشر على أنها حتمية نظراً لفعالية التقنية كما أنه صرح بأنه تم الاعتماد على هجوم معروف آخر عام2014 يسمى Golden ticket. ويقول راينر أيضاً:
” لقد شعرنا بالتحقق من صحتها عندما رأينا أن مهاجمي ال Solar Winds قد استخدموا هذه التقنية لكننا لم نتفاجأ حقاً، فعلى الرغم من أنه أسلوب صعب الأداء إلّا أنه لا يزال يمنح المهاجم الكثير من المزايا الحاسمة التي يحتاج إليها. وبعد استخدامها من قبل مهاجمي ال Solar Winds بنجاح كبير فأنا متأكد من أن المهاجمين الآخرين سيلاحظون ذلك ويستخدمونها أكثر فأكثر من الآن فصاعداً”.
وكنوع من اتخاذ الإجراءات تعمل كل من Microsoft و Mandiant و CyberArk على مساعدة عملائهم في اتخاذ الاحتياطات اللازمة للقبض على الهجمات من نوع Golden SAML عاجلاً أو الاستجابة بشكل أسرع إذا وجدوا أن مثل هذا الاختراق قيد التنفيذ بالفعل.
وقد صرح Mandiant’s McWhirt بقول : ” لقد رأينا سابقاً جهات فاعلة أخرى تستخدم هذه الأساليب ولكن لم تصل أبداً إلى مستوى UNC2452 لذا ما أردنا القيام به هو وضع نوع من دليل موجز لكيفية قيام المؤسسات بالتحقيق في هذا ومعالجته “.
بالنسبة للمبتدئين يجب على المؤسسات التأكد من أن ” خدمات موفر الهوية مثل الخادم الذي يجمل شهادات توقيع الرمز المميز قد تم تكوينها بشكل صحيح وأن مديري الشبكة لديهم رؤية كافية لما تفعله هذه الأنظمة ويطلب منهم القيام به. من المهم أيضاً تأمين الوصول إلى أنظمة المصادقة بحيث لا يكون لدى العديد من حسابات المستخدمين امتيازات للتفاعل معها وتعديلها. أخيراً من المهم مراقبة كيفية استخدام الرموز المميزة فب الواقع للقبض على النشاط الشاذ. على سبيل المثال ، قد تراقب الرموز المميزة التي تم إصدارها منذ شهور أو سنوات ولكنها نشأت فقط وبدأ استخدامها لمصادقة النشاط قبل بضعة أسابيع.
وأضاف راينر أنه نظراً لاستمرار المؤسسات بنقل المزيد والمزيد من أنظمتها إلى Cloud فإن SAML هي آلية المصادقة الفعلية المستخدمة في تلك البيئات لذلك من الطبيعي أن يكون لديك ناقل الهجوم هذا لذلك يجب أن تكون المنظمات على تأهب تام وعلى أتم الجاهزية لأن هذه ليست ثغرة أمنية حقاً بل هو جزء متأصل من البروتوكول لذلك ستظل تواجه هذه المشكلة في المستقبل…..!
وهنا يتركنا راينر مع تساؤل متى سيتم إيقاف مثل هذه الهجمات بشكل نهائي وما الحل الجذري الواجب اتباعه.
