انتشار ابزاری برای شناسایی فعالیت هکرهای سولارویندز

به گزارش کارگروه امنیت سایبربان؛ آژانس امنیت سایبری و امنیت زیرساخت آمریکا یا CISA خط فرمان جدیدی را منتشر کرده است که می تواند سیستم های درون سازمانی را با هدف یافتن ردی از فعالیت هکرهای سولارویندز در آن سیستم ها، اسکن کند.
CISA نام این ابزار را CHIRP نامیده است. CHIRP مخفف شده ی برنامه شناسایی و شکار رویداد های سایبری می باشد.
این ابزار محیط سیستم ها را با هدف یافتن نشانه هایی از گروه های هکری، اسکن می کند.
این ابزار در جهت یافتن نشانه هایی مرتبط با نرم افزار اوریون سولارویندز طراحی و ساخته شده است. نرم افزار اوریون توسط هکرها مورد هدف قرار گرفت و این اجازه را به هکرها داد تا در پشتی sunburst را در سیستم ۱۸هزلر مشتری سولارویندز وارد کنند.
مایکروسافت این بازیگران مخرب را Nobelium، و فایر آی آن ها را UNNC2452 نامید.
این ابزار جدید CISA بی ارتباط با ابزار Sparrow این آژانس نمی باشد. Sparrow پیش از این در جهت شناسایی فعالیت های هکری بر روی حساب ها و برنامه های در معرض خطر موجود محیط مایکروسافت ۳۶۵ و Azure مورد استفاده قرار می گرفته است.
CISA به مدافعان سیستم ها توصیه می کند تا با استفاده از ابزار CHIRP، پایگاه تنظیم ویندوز و... مورد بررسی قرار دهند و با استفاده از قوانین YARA ( YARA ابزاری است برای ایجاد توصیف‌هایی (description) که هر کدام در یک فایل به دنبال ویژگی خاصی هستند. YARA با استفاده از این توصیف‌ها بدافزار را تشخیص می‌دهد. هرکدام از این توصیف‌ها می‌تواند یک متن یا الگوی باینری باشد. به این توصیف‌ها «قانون» یا «Rule» می‌گویند، و این قوانین الگوهایی از عبارت‌های باقاعده (Regular Expression) را مشخص می‌کنند. YARA با استفاده از این قوانین می‌تواند الگوهای خاصی را تشخیص دهد که ممکن است نشانه‌ای از مخرب‌بودن فایل باشند.) بدافزار ها و در پشتی ها را شناسایی کنند.
طبق گفته CISA ابزار CHIRP هم اکنون موارد زیر را مورد بررسی قرار می دهد:

• وجود بدافزارهای TEARDROP و RAINDROP
• امکان سرقت اطلاعات مربوط به حساب ها
• تهدیدات سایبری
• Enumeration در مایکروسافت 365 ( فرآیند استخراج نام یوزرها، نام سیستم ها، منابع شبکه، Share ها و سرویس ها از یک سیستم را Enumeration گویند.)