استجواب مايكروسوفت وSolarWinds بمجلس الشيوخ الأمريكى بسبب الهجوم الروسى

دافع كبار المسؤولين التنفيذيين في شركة البرمجيات SolarWinds Corp ومقرها تكساس، وشركة Microsoft Corp، وشركات الأمن الإلكتروني FireEye Inc و CrowdStrike Holdings Inc، عن سلوكهم في الانتهاكات التي ألقي باللوم فيها على المتسللين الروس، وسعى إلى نقل المسؤولية إلى مكان آخر في شهادة أمام لجنة بمجلس الشيوخ الأمريكي. كان لواحد من أسوأ الاختراقات التي تم اكتشافها حتى الآن تأثير على الأربعة شركات، حيث تم استخدام برامج SolarWinds و Microsoft لمهاجمة الآخرين وضرب الاختراق حوالي 100 شركة أمريكية وتسع وكالات فيدرالية وفقا لما نقلته رويترز. وبدأ المشرعون جلسة الاستماع بانتقاد ممثلي أمازون، لرفضهم حضور الجلسة بعد استدعائهم للإدلاء بشهادتهم حيث تم استخدام خوادمهم لشن الهجوم الإلكتروني. وقالت السناتور الجمهوري سوزان كولينز: "أعتقد أن لديهم التزامًا بالتعاون مع هذا التحقيق وآمل أن يفعلوا ذلك طواعية". "إذا لم يفعلوا ذلك أعتقد أننا يجب أن ننظر في الخطوات التالية." وجادل المسؤولون التنفيذيون بمزيد من الشفافية وتبادل المعلومات حول الانتهاكات مع حماية المسؤولية على غرار تحقيقات الكوارث الجوية. وأخبر رئيس مايكروسوفت براد سميث وآخرون اللجنة المختارة للاستخبارات التابعة لمجلس الشيوخ الأمريكي أن النطاق الحقيقي للتدخلات الأخيرة لا يزال غير معروف، لأن معظم الضحايا غير مطالبين قانونًا بالكشف عن الهجمات ما لم تتضمن معلومات حساسة عن الأفراد. كما أدلى بشهادته كيفين مانديا، الرئيس التنفيذي لشركة FireEye، الذي كانت شركته هي أول من اكتشف المتسللين، والرئيس التنفيذي لشركة SolarWinds Sudhakar Ramakrishna، الذي تم اختطاف برامج شركته من قبل الجواسيس لاقتحام مجموعة من المنظمات الأخرى، والرئيس التنفيذي لشركة CrowdStrike جورج كورتز، التي تساعد شركتها SolarWinds على التعافي من الاختراق. قال سميث: "من الضروري بالنسبة للأمة أن نشجع وأحيانًا تتطلب مشاركة أفضل للمعلومات حول الهجمات الإلكترونية". قال سميث إن العديد من التقنيات التي استخدمها المتسللون لم تظهر وأن "المهاجم ربما استخدم ما يصل إلى اثنتي عشرة وسيلة مختلفة للوصول إلى شبكات الضحايا خلال العام الماضي". وكشفت Microsoft الأسبوع الماضي أن المتسللين تمكنوا من قراءة كود المصدر الخاص بالشركة والذي يخضع لحراسة مشددة لمعرفة كيفية مصادقة برامجها على المستخدمين. وتلاعب المتسللون بهذه البرامج لدى العديد من الضحايا للوصول إلى مناطق جديدة داخل أهدافهم. وشدد سميث على أن مثل هذه الحركة لم تكن بسبب أخطاء برمجية من جانب Microsoft ولكن بسبب التكوينات السيئة وعناصر التحكم الأخرى من جانب العميل. وفي حالة CrowdStrike، استخدم المتسللون بائعًا لبرامج Microsoft تابعًا لجهة خارجية والذي كان له حق الوصول إلى أنظمة CrowdStrike، وحاول الوصول إلى البريد الإلكتروني للشركة ولكنه فشل. ألقى كورتز من CrowdStrike باللوم على Microsoft بسبب هندستها المعمارية المعقدة والتي وصفها بأنها "عتيقة". وقال بيان Kurtz المُعد: "استفاد ممثل التهديد من نقاط الضعف النظامية في بنية مصادقة Windows، مما سمح له بالتحرك جانبياً داخل الشبكة" والوصول إلى بيئة السحابة مع تجاوز المصادقة متعددة العوامل. وعندما ناشد سميث الحكومة المساعدة في توفير إرشادات علاجية لمستخدمي السحابة، قال كيرتس إن مايكروسوفت يجب أن تنظر إلى منزلها الخاص وتصلح المشاكل مع Active Directory و Azure المستخدم على نطاق واسع. وقال كورتز: "في حالة معالجة Microsoft لقيود هندسة المصادقة حول Active Directory و Azure Active Directory أو التحول إلى منهجية مختلفة تمامًا، فسيتم التخلص تمامًا من متجه تهديد كبير من أحد منصات المصادقة الأكثر استخدامًا في العالم". واتفق أليكس ستاموس، رئيس الأمن السابق على Facebook و Yahoo الذي يستشير الآن لشركة SolarWinds مع Microsoft على أن العملاء الذين يقسمون مواردهم بين أماكن عملهم الخاصة وسحابة Microsoft معرضون للخطر بشكل خاص، حيث يمكن للمتسللين المهرة التحرك ذهابًا وإيابًا، ويجب عليهم الانتقال بالكامل الغيمة. لكنه أضاف في مقابلة: "من الصعب أيضًا تشغيل (برنامج السحابة) معرّف Azure بشكل آمن، كما أن تعقيد المنتج يخلق العديد من الفرص للمهاجمين لتصعيد الامتيازات أو إخفاء الوصول."