وفقًا لشركة FireEye للأمن السيبراني ، التي كشفت عن الاختراق ، فإن الوصول الذي حققه المتسللون قد سمح للممثل الخبيث بالانتقال إلى شبكات الكمبيوتر.
أخبر العديد من مسؤولي الأمن السيبراني الحكوميين السابقين C4ISRNET أن الحركة الجانبية التي تسمح للمتسللين الروس المشتبه بهم بالحفر بشكل أعمق تشكل أسوأ سيناريو مع عدد لا يحصى من النتائج المحتملة التي تتصاعد من هناك. التحدي هو أن شبكة أنظمة وزارة الدفاع تتضمن شبكات قديمة وحديثة تتصل بأنظمة الأسلحة وأنظمة التحكم.
قال الأدميرال المتقاعد دانيل باريت ، النائب السابق لرئيس قسم المعلومات في البحرية: "إذا دخل أحد الخصوم وتحرك بشكل جانبي ، فسيصبح من الصعب للغاية الدفاع عن جميع نقاط اتصال الشبكة - أي مكان لديك اتصالات بين الشبكات وعلاقات الثقة هذه". ومدير قسم الأمن السيبراني.
قال باريت: "أينما كانت لديك علاقات الثقة هذه ، عليك دائمًا توخي الحذر حقًا بشأن ما يجري ذهابًا وإيابًا عبر هذا النفق".
قال جان تيج ، القائد السابق للقيادة الإلكترونية للأسطول / الأسطول العاشر ونائب رئيس العمليات البحرية لحرب المعلومات ، إنه يحتمل أن يكون هناك بعدين من أسوأ الحالات لهذا الوضع.
أولاً ، يجب على صائدي التهديدات السيبرانية معرفة ما إذا كان الدخيل مستمرًا على الشبكة. وقال تيجي إن المهمة الأولى لفرق الاستجابة هي قطع أي وصول موجود قد يكون للمتعدين. إذا كان التطفل عبارة عن حملة تجسس ، فسيتعين على وزارة الدفاع إجراء تقييم للأضرار المتعلقة بالمعلومات المتأثرة.وقالت إنه إذا لم تكن الوكالة متأكدة من البيانات والاتصالات التي تم الوصول إليها ، فيجب على القادة وضع افتراضات حول ما قد يكون المتسللون قد وصلوا إليه.
السؤال الثاني الأكثر إثارة للقلق هو ما إذا كان المتسللون قد غيروا البيانات بأي شكل من الأشكال ، وهو ما قال Tighe إنه قد يكون أكثر إشكالية من تدمير البيانات.
"لديك بيانات ، لكنك لا تعرف ما إذا كانت هذه هي البيانات الصحيحة حقًا في شبكتك. واعتمادا على أي جانب من جوانب وزارة الدفاع الذي أنت فيه ، فقد يكون ذلك ضارا للغاية ".
بمجرد الدخول ، سيعتمد الوصول على النظام الذي ذهبت إليه الشفرة الضارة من خلال تحديثات برنامج SolarWinds. قال فرانك داونز ، المحلل السابق في وكالة الأمن القومي ومدير الخدمات الاستباقية في شركة الأمن السيبراني BlueVoyant ، على سبيل المثال ، قد يكون التحميل إلى أنظمة الإدارة المركزية للوكالة ضارًا ، مما يسمح بالوصول إلى المعلومات مثل سجلات المستخدم ومواقع النظام.
إذا دخل الممثل في شبكة مركزية من خلال ثغرة SolarWinds ووجد أمانًا ضعيفًا على الأنظمة المتصلة ، فقد يتسبب ذلك في مشاكل خطيرة للقسم.
وقال داونز: "كل هذا يتوقف على ما هو موجود على الشبكة والأذونات على الشبكة ، لكن يمكنهم الانتقال من عقدة إلى عقدة أخرى إلى عقدة أخرى". "إذا كان لديك أمان متعمق ، فستكون فرصك أقل بكثير من أن يتمكنوا من الحصول على وصول أكبر بكثير ، ولكن إذا كنت تجلس فقط على خط الأساس المحيطي ، فهذا لا يبدو جيدًا."
إذا كانت امتيازات مسؤول الأنظمة هذه ضعيفة ، قال الخبراء إنه يمكن التلاعب بالحسابات ورفع الامتيازات للسماح باستمرار بزيادة الوصول.
قال باريت: "إنهم يدخلون ويبنون كل أنواع الأبواب الخلفية التي لن تكون قادرًا على اكتشافها". "سيكونون قادرين على التلاعب بالحسابات والقيام بأشياء وإخفاء مساراتهم. لن تمسك بهم ، وربما لا يزالون هناك الآن ".
من المحتمل أن يتم قطع الاتصال أثناء إجراء مسح للضرر المحتمل للشبكة. على وجه التحديد ، لا ينبغي للمسؤولين إرسال واستقبال رسائل البريد الإلكتروني على الشبكة إذا كان المحققون يبحثون عن حلول وسط محتملة ، كما قال تيغي ، مشيرًا إلى أن أحد الأشياء الأولى التي فعلتها وكالة الأمن السيبراني وأمن البنية التحتية هو إخبار الوكالات بأن لديها طريقة مختلفة للتواصل كما هي. تنسيق الاستجابة.
هناك أيضًا مخاطر أكبر من خلال سلسلة توريد البرامج . قال جريج كونتي ، مؤسس شركة الأمن السيبراني Kopidion والرئيس السابق لـ معهد سايبر للجيش الأمريكي.
قال كونتي: "يمكن أن يكون لهذا تأثير من الدرجة الثانية أو الثالثة أو الرابعة لأنه ينتشر لن نعرفه أبدًا". "هذا الشيء يمكن أن يهاجم ، وينتشر إلى الخارج ، ويمكن للشركات أن تصحح ، وبعد ذلك يمكن أن يعود مرة أخرى من خلال منتج آخر تم اختراقه."
تعتقد السلطات أن المتسللين لديهم وصول واسع النطاق إلى بعض الشبكات الحكومية أو التجارية لمدة تصل إلى تسعة أشهر. مع ذلك الوقت ، هل كان بإمكان المتسللين اكتشاف كيفية تخطي الفجوة الهوائية التي تهدف إلى منع مستخدمي نظام الكمبيوتر من الوصول إلى الأنظمة السرية؟
قال كونتي: "إنني أتوقع ، لكن الناس قاموا بأشياء مذهلة حيث قاموا بتحويل ذاكرة الوصول العشوائي في جهاز كمبيوتر إلى جهاز إرسال لاسلكي [لربطها بشبكات ذات فجوات هوائية]". "هناك المئات من الأشياء المجنونة والمخالفة للبديهة التي قام بها الناس. هذا شيء ضخم ، وهناك فرصة غير معدومة أن يسحب المهاجمون أفضل قدراتهم فائقة السرية ".
وأشار تيغي إلى أن الوكالات قد تواجه مشكلة أخرى إذا استخدمت نفس بيانات الاعتماد للمستخدمين على أجزاء غير مصنفة ومصنفة من الشبكة ، مما يسمح للقراصنة بسرقة بيانات الاعتماد غير المصنفة والانتقال إلى المزيد من المناطق المحمية. بينما يعمل المسؤولون للحصول على بيانات اعتماد مختلفة لكل منهم ، فإن الحالات النادرة التي تكون فيها متشابهة تثير القلق.
في سيناريو آخر ، يمكن إدخال معالجات دقيقة وصعبة الكشف عن البيانات في برنامج نظام الأسلحة بحيث يتعطل.
ومع ذلك ، حذر جميل جعفر ، المؤسس والمدير التنفيذي لمعهد الأمن القومي في جامعة جورج ميسون ، من عدم وجود دليل على أن الروس قد اتخذوا هذه الخطوة ، ومن غير المحتمل بسبب رد الفعل القوي الذي قد يثيره. كما أشار إلى أنه إذا هدد الروس بمثل هذا العمل ، فإن ذلك سيثير مخاوف.
"لست متأكدًا من أنهم سيرغبون في القيام بذلك ، لأنني أعتقد أنهم يدركون أنه إذا اكتشفنا أنهم قد شاركوا في التلاعب بالبيانات أو تدميرها ، فسيكونون قد تجاوزوا الخط الأحمر الذي من شأنه أن يثير استجابة شديدة ، ولكن قد يحاولون تعريضنا للخطر ، وإذا فعلوا ذلك ، فهذه مشكلة كبيرة أيضًا وقد تجبرنا على أن نكون أكثر عدوانية في وقت أقرب ، "قال جعفر.
