أفاد تقرير عن مركز Microsoft لمعلومات التهديدات (Microsoft’s Threat Intelligence Center أو MSTIC) يوم الثلاثاء أن منصة SolarWinds قد تعرضت لإختراق عن طريق إستغلال ثغرة Zero-Day، وأشار التقرير أن المخترقين هم مجموعة من القراصنة معروفين بإسم “DEV-0322”.
حيث قام المخترقون بمحاولة للحصول على بيانات العملاء من المنصة، وذلك لإرتباطهم بوزارة الدفاع الأمريكية.
وتم رصد الإختراق أولا في فحص روتيني لبرنامج Microsoft 365 Defender، حيث لاحظ البرنامج عملية شاذة غير متوقعة، فسرتها الشركة على أن المخترقين كانوا يحاولون الحصول على صلاحيات إدارية لإستغلال نظام Serv-U.
وكانت SolarWinds قد أبلغت عن الثغرة يوم الجمعة التاسع من تموز الجاري، موضحة أن جميع إصدارات Serv-U حتى تاريخ الخامس من آيار الماضي تحتوي على الثغرة، وأنها أصدرت تحديثاً عاجلاً لمعالجة المشكلة، وتم تصحيح الثغرة، ولكن صرحت Microsoft أنه إذا كان بروتوكول Secure Shell للمنظومة متصلا بالإنترنت، فيمكن للمخترقين تشغيل أي برامج ضارة كما يشاؤون.
عكس الإختراق السابق، الذي حصل في كانون الأول 2020 المرتبط بمجموعة قراصنة Cozy Bear الروس، صرحت شركة Microsoft أن هذا الإختراق الجديد قد تسبب به مجموعة DEV-0322 الصينية، حيث ذكرت الشركة أن المجموعة قد إعتادت على إستهداف الشركات المتعاقدة مع الحكومة الأمريكية، وأن أغلب هجماتهم تتم عن طريق إستغلال حلول VPN التجارية وأجهزة توجيه الإنترنت (Router).
