الرئيسية / أمن المعلومات / معجم الهاكر.. ما هو هجوم سلسلة التوريد ؟

معجم الهاكر.. ما هو هجوم سلسلة التوريد ؟


لطالما تم وصف حقائق الأمن السيبراني بعبارات بسيطة من الثقة: إحذر من مرفقات البريد الإلكتروني من مصادر غير مألوفة ولا تسلم بيانات الإعتماد إلى موقع ويب إحتيالي. لكن المتسللين المحنكين بشكل متزايد يقوضون هذا الشعور الأساسي بالثقة ويثيرون سؤالاً يثير جنون العظمة: ماذا لو تم إختراق الأجهزة والبرامج الشرعية التي تشكل شبكتك من المصدر؟

يُعرف هذا الشكل الخبيث والشائع بشكل متزايد من القرصنة باسم "هجوم سلسلة التوريد" ، وهي تقنية يقوم فيها الخصم بإدخال شفرة ضارة أو حتى مكون ضار إلى جزء موثوق به من البرامج أو الأجهزة. من خلال المساومة على مورد واحد ، يمكن للجواسيس أو المخربين إختطاف أنظمة التوزيع الخاصة به لتحويل أي تطبيق يبيعونه ، وأي تحديث للبرامج يقومون بدفعه ، حتى المعدات المادية التي يشحنونها للعملاء ، إلى أحصنة طروادة. من خلال تدخل واحد في وضع جيد ، يمكنهم إنشاء نقطة إنطلاق لشبكات عملاء المورد - يصل عددهم أحياناً إلى مئات أو حتى الآلاف من الضحايا.

يقول Nick Weaver ، باحث أمني في معهد علوم الكمبيوتر الدولي بجامعة كاليفورنيا في بيركلي: "هجمات سلسلة التوريد مخيفة حقاً لأنه من الصعب حقاً التعامل معها ، ولأنها توضح أنك تثق في بيئة كاملة"

تم إثبات خطورة تهديد سلسلة التوريد على نطاق واسع في ديسمبر الماضي ، عندما تم الكشف عن أن المتسللين الروس - الذين تم تحديدهم لاحقاً على أنهم يعملون لصالح جهاز الإستخبارات الأجنبية للبلاد ، والمعروف باسم SVR - قد اخترقوا شركة البرمجيات SolarWinds وزرعوا كوداً ضاراً. في أداة إدارة تكنولوجيا المعلومات الخاصة بها Orion ، مما يسمح بالوصول إلى ما يصل إلى 18000 شبكة تستخدم هذا التطبيق حول العالم. استخدمت SVR موطئ القدم هذا للتوغل بعمق في شبكات تسع وكالات فيدرالية أمريكية على الأقل ، بما في ذلك وكالة ناسا ووزارة الخارجية ووزارة الدفاع ووزارة العدل.

ولكن بقدر ما كانت عملية التجسس صادمة ، لم تكن SolarWinds فريدة من نوعها. ضربت هجمات سلسلة التوريد الخطيرة الشركات في جميع أنحاء العالم لسنوات ، قبل حملة روسيا الجريئة وبعدها. في الشهر الماضي فقط ، تم الكشف عن اختراق متسللين لأداة تطوير برمجيات تبيعها شركة تدعى CodeCov والتي منحت المتسللين الوصول إلى مئات شبكات الضحايا. نفذت مجموعة قرصنة صينية معروفة باسم Barium من لا يقل عن ستة هجمات سلسلة التوريد على مدى السنوات الخمس الماضية، يختبئ الشيفرات الخبيثة في البرنامج من صانع الكمبيوتر ASUS وفي القرص الصلب تطبيق تنظيف كلنر . في عام 2017 عرف المتسللون الروس باسم Sandworm، وهي جزء من جهاز المخابرات العسكرية GRU في البلاد ، إختطفت تحديثات البرامج الخاصة ببرنامج المحاسبة الأوكراني MEDoc واستخدمته لدفع الشفرة المدمرة ذاتية الإنتشار والمعروفة باسم NotPetya ، والتي تسببت في نهاية المطاف في أضرار بقيمة 10 مليارات دولار في جميع أنحاء العالم - وهو الهجوم السيبراني الأكثر تكلفة في التاريخ .

في الواقع ، ظهرت هجمات سلسلة التوريد لأول مرة منذ حوالي أربعة عقود ، عندما أراد Ken Thompson ، أحد مبتكري نظام التشغيل Unix ، معرفة ما إذا كان بإمكانه إخفاء باب خلفي في وظيفة تسجيل الدخول إلى Unix. لم يقم طومسون بمجرد زرع قطعة من التعليمات البرمجية الخبيثة التي منحته القدرة على تسجيل الدخول إلى أي نظام. قام ببناء مترجم - أداة لتحويل كود المصدر المقروء إلى برنامج قابل للتنفيذ يمكن قراءته آلياً - وضع الباب الخلفي سراً في الوظيفة عندما تم تجميعه. ثم ذهب إلى أبعد من ذلك وأفسد المترجم الذي قام بتجميع المترجم بحيث لا تظهر أي علامات واضحة على التلاعب في الكود المصدري لمترجم المستخدم. كتب طومسون : "المعنويات واضحة" في محاضرة شرح فيها العرض الذي قدمه عام 1984. "لا يمكنك الوثوق في التعليمات البرمجية التي لم تصنعها بنفسك بالكامل. (خاصة الكود من الشركات التي توظف أشخاصاً مثلي)."

تلك الحيلة النظرية - نوع من هجوم سلسلة التوريد المزدوجة الذي يفسد ليس فقط قطعة برمجية مستخدمة على نطاق واسع ولكن الأدوات المستخدمة لإنشائها - أصبحت منذ ذلك الحين حقيقة واقعة أيضاً. في عام 2015 ، وزع المتسللون نسخة مزيفة من XCode ، وهي أداة تستخدم لبناء تطبيقات iOS ، والتي زرعت سراً رموزاً ضارة في العشرات من تطبيقات iPhone الصينية. وظهرت هذه التقنية مرة أخرى في عام 2019 ، عندما أتلف قراصنة الباريوم الصينيون إصداراً من مترجم Microsoft Visual Studio بحيث يسمح لهم بإخفاء البرامج الضارة في العديد من ألعاب الفيديو.

يجادل ويفر من بيركلي بأن الزيادة في هجمات سلسلة التوريد قد تكون راجعة جزئياً إلى تحسين الدفاعات ضد المزيد من الهجمات البدائية. كان على المتسللين البحث عن نقاط دخول أقل سهولة في الحماية. كما توفر هجمات سلسلة التوريد وفورات الحجم ؛ إخترق أحد موردي البرامج ويمكنك الوصول إلى مئات الشبكات. يقول ويفر: "ترغب جزئياً في الحصول على أموال مقابل أموالك ، وجزئياً أن هجمات سلسلة التوريد غير مباشرة. أهدافك الفعلية ليست من تهاجمه". "إذا كانت أهدافك الفعلية صعبة ، فقد تكون هذه هي النقطة الأضعف للسماح لك بالوصول إليها".

لن يكون منع هجمات سلسلة التوريد في المستقبل أمراً سهلاً ؛ لا توجد طريقة بسيطة للشركات لضمان عدم تلف البرامج والأجهزة التي تشتريها. قد يكون من الصعب بشكل خاص إكتشاف هجمات سلسلة توريد الأجهزة ، حيث يقوم الخصم مادياً بزرع تعليمات برمجية أو مكونات ضارة داخل قطعة من المعدات. بينما زعم تقرير قنبلة من Bloomberg في عام 2018 أن شرائح تجسس صغيرة كانت مخبأة داخل اللوحات الأم SuperMicro المستخدمة في الخوادم داخل مراكز بيانات Amazon و Apple ، أنكرت جميع الشركات المعنية القصة بشدة - كما فعلت وكالة الأمن القومي. لكن التسريبات السرية إدوارد سنودن كشفت أن وكالة الأمن القومي نفسها قد اختطفت شحنات من سيسكو المسارات و backdoored لهم لأغراض التجسس الخاصة بها .

يقول Beau Woods ، أحد كبار مستشاري وكالة الأمن السيبراني وأمن البنية التحتية ، إن الحل لهجمات سلسلة التوريد - على كل من البرامج والأجهزة - ربما لا يكون تقنياً بقدر ما هو تنظيمي. تحتاج الشركات والوكالات الحكومية إلى معرفة موردي البرامج والأجهزة ، وفحصهم ، وإلزامهم بمعايير معينة. يقارن هذا التحول بالطريقة التي تسعى بها شركات مثل Toyota إلى التحكم في سلاسل التوريد الخاصة بها والحد منها لضمان الموثوقية. نفس الشيء الآن يجب القيام به للأمن السيبراني. يقول وودز: "إنهم يتطلعون إلى تبسيط سلسلة التوريد: عدد أقل من الموردين وقطع غيار عالية الجودة من هؤلاء الموردين". "لقد كان تطوير البرمجيات وعمليات تكنولوجيا المعلومات في بعض النواحي يعيد تعلم مبادئ سلسلة التوريد هذه".

قد يساعد الأمر التنفيذي للأمن السيبراني الصادر عن البيت الأبيض لـ Biden في وقت سابق من هذا الشهر. يضع معايير أمان دنيا جديدة لأي شركة تريد بيع البرامج إلى الوكالات الفيدرالية. لكن نفس الفحص ضروري في جميع أنحاء القطاع الخاص. يقول وودز إن الشركات الخاصة - تماماً مثل الوكالات الفيدرالية - لا ينبغي أن تتوقع إنتهاء وباء تنازلات سلسلة التوريد في أي وقت قريب.

ربما كان Ken Thompson محقاً في عام 1984 عندما كتب أنه لا يمكنك الوثوق تماماً بأي رمز لم تكتبه بنفسك. لكن الثقة في التعليمات البرمجية من الموردين الذين تثق بهم.

DZ-Djamel-GSM

عن DZ-Djamel-GSM


مهتم بنشر الوعي التقني,كاتب مغرم بالمعلومة.

شاركنا رأيك حول : معجم الهاكر.. ما هو هجوم سلسلة التوريد ؟

شاهد أيضاً

أمن المعلومات: منحت شركة Microsoft لصائد مكافآت الأخطاء مبلغاَ قدره 50 ألف دولار لإفصاحه عن ثغرة أمنية