معلومات أثارت غضبا بالكونغرس.. اختراق سولارويندز تم عن طريق متدرب في الشركة

يلقي كبار المسؤولين التنفيذيين الحاليين والسابقين في شركة "سولارويندز" (Solarwinds) باللوم على متدرب في الشركة بسبب ثغرة خطرة في أمان كلمات المرور التي يبدو أنها لم تُشخص من سنوات.

وحذّر باحث أمني مستقل شركة سولارويندز عام 2019، بعد اكتشافه وجود كلمة مرور (solarwinds123)، من أن استخدامها قد يؤدي إلى تسريب ملفات خوادم الشركة.

وقد كانت هذه الحادثة مثار جدل يوم الجمعة لدى المشرعين الأميركيين، في جلسة استماع مشتركة من قبل لجنتي الرقابة والأمن الداخلي في مجلس النواب بخصوص حادثة اختراق شركة سولارويندز نهاية العام الماضي.

وقالت النائبة كاتي بورتر "لدي كلمة مرور أقوى من (solarwinds123) لمنع أطفالي من مشاهدة كثير من فيديوهات يوتيوب (YouTube) على أجهزتهم"، ووجهت النائبة كلامها إلى رئيس الشركة قائلة "كان من المفترض أن تمنع أنت وشركتك الروس من قراءة رسائل البريد الإلكتروني الخاصة بوزارة الدفاع".

وقال رئيس "مايكروسوفت" (Microsoft) براد سميث، الذي كان يدلي بشهادته في جلسة الجمعة، في وقت لاحق، إنه لا يوجد دليل على أن البنتاغون قد تأثر بالفعل بحملة التجسس الروسية. ومايكروسوفت من بين الشركات التي قادت التحقيق الجنائي في حملة القرصنة.

وقال سميث لبورتر "ليس هناك ما يشير، على حد علمي، إلى أن وزارة الدفاع تعرضت للهجوم"، وأخبرت مايكروسوفت المشرعين أن هناك "دليلًا جوهريًا" على أن روسيا كانت وراء الاختراق المدمر.

وأخبر ممثلو سولارويندز المشرعين يوم الجمعة أنه بمجرد الإبلاغ عن مشكلة كلمة المرور، صُحّحت في غضون أيام، لكنه لا يزال غير واضح حجم الدور الذي ربما تكون قد لعبته كلمة المرور المسرّبة في تمكين المتسللين الروس المشتبه بهم من التجسس على عدد من الوكالات والشركات الفدرالية، في واحدة من أخطر الانتهاكات الأمنية في تاريخ الولايات المتحدة.

وتعدّ بيانات الاعتماد المسروقة واحدة من 3 طرق محتملة للهجوم الذي تحقق فيه شركة سولارويندز وهي تحاول الكشف عن كيفية اختراقها لأول مرة من قبل المتسللين الذين استمروا في إخفاء التعليمات البرمجية الضارة في تحديثات البرامج التي باعتها سولارويندز لنحو 18 ألف عميل، بما في ذلك عدد من الوكالات الفدرالية.

وقال سوداكار راماكريشنا، الرئيس التنفيذي لشركة سولارويندز، إن النظريات الأخرى التي تستكشفها شركة سولارويندز، تشمل التخمين الصحيح لكلمات مرور الشركة، فضلًا عن احتمال دخول المتسللين عبر برامج الطرف الثالث المخترقة.

وفي مواجهة النائبة رشيدة طليب، قال الرئيس التنفيذي السابق لشركة سولارويندز، كيفن طومسون، إن مشكلة كلمة المرور كانت "خطأ ارتكبته متدربة".

وأضاف طومسون "لقد انتهكوا سياسات كلمات المرور الخاصة بنا ونشروا كلمة المرور هذه على حساب داخلي خاص بهم على غيتهب (Github)، وحالما تم التعرف عليه ولفت انتباه فريق الأمن الخاص بي، قاموا بإزالته".

لكن طومسون وراماكريشنا لم يشرحا للمشرعين سبب سماح تكنولوجيا الشركة بكلمات المرور هذه في المقام الأول، وذكر راماكريشنا لاحقًا أن كلمة المرور كانت قيد الاستخدام منذ عام 2017.

وقال راماكريشنا لبورتر "أعتقد أن هذه كانت كلمة مرور استخدمها متدرب على أحد خوادم غيتهب الخاصة به في عام 2017، وقد أُبلغ عنها فريق الأمن لدينا وأُزيلت على الفور".

أما الباحث الذي اكتشف كلمة المرور المسربة، فينوث كومار، فقد قال لشبكة "سي إن إن" (CNN) الأميركية سابقًا إنه قبل أن تصحح الشركة المشكلة في نوفمبر/تشرين الثاني 2019 كان الوصول إلى كلمة المرور متاحًا عبر الإنترنت منذ يونيو/حزيران 2018 على الأقل.

وأظهرت رسائل البريد الإلكتروني بين كومار وسولارويندز أن كلمة المرور المسربة سمحت لكومار بتسجيل الدخول وإيداع الملفات بنجاح على خادم الشركة. وباستخدام هذه الإستراتيجية، حذّر كومار الشركة من أن أي متسلل يمكنه تحميل برامج ضارة إلى سولارويندز.

وفي أثناء جلسة الاستماع، قال الرئيس التنفيذي لشركة "فاير آي" (FireEye)، كيفين مانديا، إنه قد يكون من المستحيل تحديد مقدار الضرر الذي تسبب فيه الاختراق الروسي المشتبه به.

وشهد مانديا قائلًا "المحصلة النهائية: قد لا نعرف أبدًا المدى الكامل ومقدار الضرر، وقد لا نعرف أبدًا النطاق الكامل والمدى الحقيقي لكيفية استفادة الخصم من المعلومات المسروقة".

ومن أجل إجراء تقييم للضرر، قال مانديا إن على المسؤولين ليس فقط فهرسة البيانات التي تم الوصول إليها، بل أيضًا تخيل جميع الطرق التي يمكن من خلالها استخدام البيانات وإساءة استخدامها من قبل الجهات الأجنبية، وهي مهمة ضخمة.