قال محققون إن القراصنة الروس وراء الهجوم الإلكتروني الأسوأ ضد أمريكا منذ سنوات إستفادوا من وصول البائعين إلى خدمات شركة مايكروسوفت لإختراق الأهداف التي لا تمتلك منصة Orion المخترقة من شركة سولار ويندز (SolarWinds).
وكانت التحديثات الخاصة بمنصة Orion، وهي منصة مراقبة للبنى التحتية لتكنولوجيا المعلومات، نقطة الإختراق الوحيدة المعروفة في السابق، لكن من الواضح أن المجموعة حاولت إختراق إحدى الشركة الأمنية الكبرى الأخرى.
تقول شركة كراود سترايك (CrowdStrike) للأمان السيبراني إنه تم إستهدافها أيضاً، وحدثت المحاولة خلال فترة 17 ساعة قبل عدة أشهر، عندما حاول المتسللون الوصول إلى البريد الإلكتروني للشركة، لكن المحاولة لم تنجح.
وأوضحت الشركة أن المتسللين قد حصلوا على حق الوصول إلى البائع الذي باعها تراخيص حزمة Office وإستخدموا ذلك لمحاولة قراءة البريد الإلكتروني الخاص بها.
ويتم بيع العديد من تراخيص برامج مايكروسوفت من خلال الجهات الخارجية، ويمكن لهذه الشركات أن تتمتع بوصول شبه دائم إلى أنظمة العملاء. وذكرت وكالة رويترز قبل أسبوع أن منتجات مايكروسوفت إستخدمت في الهجمات، حيث قالت شركة مايكروسوفت “إن هؤلاء العملاء بحاجة إلى توخي الحذر”.
وقال جيف جونز من شركة مايكروسوفت، ان “التحقيقات كشفت حوادث تنطوي على إساءة إستخدام البيانات، ولم نحدد أي ثغرات أمنية أو إختراق لمنتجات مايكروسوفت أو الخدمات السحابية”.
ويثير إستخدام القراصنة الروس لأحد موزعي شركة مايكروسوفت لمحاولة إقتحام شركة كراود سترايك أسئلة جديدة حول عدد السبل المتاحة للمتسللين.
ولكن إكتشاف البائعين الذين ما زالوا يتمتعون بحقوق الوصول في أي وقت هو أمر صعب للغاية لدرجة أن كراود سترايك أصدرت أداة تدقيق للقيام بذلك. وأصدرت شركة سولار ويندز تحديثاً جديداً لإصلاح الثغرات الأمنية في منصتها بعد إكتشاف مجموعة ثانية من المتسللين الذين إستهدفوا منتجات الشركة.
وجاء ذلك في أعقاب تدوينة من مايكروسوفت تقول “إن منصة سولار ويندز قد اُستهدفت من مجموعة ثانية من المتسللين بالإضافة إلى القراصنة الروس”. ولا تزال هوية المجموعة الثانية من المتسللين غير واضحة، ونفت روسيا أي دور لها في القرصنة.