سرقة بيانات أكثر من 2600 شركة ومؤسسة حكومية كبرى، وقرابة 90 مليون شخص، في أكثر من 30 دولة حول العالم، تلك الأرقام هي حصيلة أكبر اختراق إلكتروني حدث هذا العام. تُمثِّل المؤسسات الحكومية والشركات في الولايات المتحدة نحو 88% من ضحايا هذا الهجوم، ويليها الشركات والمؤسسات من كندا بنحو 6%، ثم ألمانيا بنسبة 1.

6%، والمملكة المتحدة بنسبة 1% تقريبا، وفق آخر تحديث للبيانات في 20 ديسمبر/كانون الأول الحالي (1).

حدث هذا الاختراق بسبب ثغرة أمنية في برمجية نقل الملفات "MOVEit"، وهي منصة شهيرة تستخدمها الشركات والمؤسسات في نقل ملفاتها وبياناتها الداخلية الحساسة على الإنترنت، استغلتها مجموعة اختراق روسية بهدف الاستيلاء على تلك البيانات وطلب الفدية في المقابل (2). ورغم أن الاختراق وقع منذ أشهر، فإن توابعه لا تزال تتكشف تباعا حتى الآن، والسبب في ذلك أن بعض الشركات التي وقعت ضحية للهجوم تقدم خدمات للعديد من المؤسسات والشركات الأخرى، بالتالي فإن أرقام الضحايا والمخترقين تتزايد باطراد مع إبلاغ المزيد من الشركات عن سرقة بياناتها، أو عندما تعلن مجموعة الاختراق الروسية عن أسماء ضحايا جدد.

ثغرة أمنية

برمجية "MOVEit" هي منصة لنقل الملفات، من تطوير شركة "Progress Software"، تستخدمها الآلاف من المؤسسات والهيئات الحكومية والمؤسسات المالية، وغيرها من الشركات الخاصة، عالميا لإرسال واستقبال البيانات والمعلومات، التي غالبا ما تكون حساسة وبحاجة إلى وسيلة نقل آمنة، وهو ما كانت تقدمه المنصة فعلا.

تعرضت منصة "MOVEit" للاختراق من مجموعة مخترقين روسية استغلت ثغرة أمنية فجائية تدعى "يوم الصفر" (Zero-Day) وسرقت البيانات (شترستوك)

في أواخر شهر مايو/أيار الماضي، بدأ نقل البيانات بمئات العمليات من منصة "MOVEit"، ولكنها لم تكن عمليات نقل ملفات عادية تطلبها إحدى الشركات المستخدمة للمنصة، إذ تعرضت المنصة للاختراق من مجموعة مخترقين روسية استغلت ثغرة أمنية فجائية تدعى "يوم الصفر" (Zero-Day) في البرمجية، وسرقت تلك البيانات بهجوم الفدية المعروف باسم "Cl0p".

بحلول 31 مايو/أيار، أصدرت شركة "Progress Software" تحذيرا وتصحيحا للثغرة الأمنية، وخصصت لها تصنيف خطورة بلغ 9.8 من أصل 10. كما ذكرت الشركة أن الثغرة الأمنية "قد تؤدي إلى منح المخترقين امتيازات متزايدة وإمكانية وصول غير مصرح به إلى المنصة" (4). بمعنى آخر، تلك الثغرة الأمنية أتاحت للمخترقين الوصول إلى قواعد البيانات الخاصة بعملاء "MOVEit" وتمكنوا من سرقة تلك البيانات، وهو الأمر الذي تبين لاحقا بحدوثه فعلا منذ يوم 27 من الشهر نفسه على أقل تقدير.

وفي 6 يونيو/حزيران، أكدت مجموعة المخترقين "Cl0p" الروسية مسؤوليتها عن الهجوم عبر منشور على موقعها على الويب المظلم "دارك ويب"، وهي مجموعة الاختراق التي اشتهرت خلال الفترة الماضية باسم "TA505". وخلال الشهر نفسه، بدأت قائمة الضحايا في الظهور أكثر؛ مؤسسات حكومية وفيدرالية في الولايات المتحدة، كانت أهمها وزارة الطاقة وجامعة جونز هوبكنز والحكومات الفيدرالية لولايات مينيسوتا وإلينوي والعديد من المؤسسات التعليمية الأخرى، بجانب مؤسسات وشركات في المملكة المتحدة كانت أهمها الخطوط الجوية البريطانية وإحدى أكبر صحف البلاد "بي بي سي"، بالإضافة إلى شركة النفط والغاز الأوروبية العملاقة "شل" وغيرها (5) (6).

ذكرت المجموعة أنها لا تهتم باستغلال أي بيانات مسروقة من المكاتب الحكومية أو مكاتب الشرطة وأنها حذفتها، لأنها تصب تركيزها على البيانات والمعلومات التجارية فقط، ولكن تلك البيانات الحكومية يمكن بيعها إلى جهات أخرى يمكنها الاستفادة منها. ويُعَدُّ اختراق "MOVEit" مثالا آخر على وقوع الوكالات الأميركية الحكومية ضحية للجرائم الإلكترونية المنظمة من مجموعات الاختراق الروسية، إذ انتشرت تلك الحملات لبرمجيات الفدية خلال السنوات القليلة الماضية، التي استهدفت غالبا مؤسسات وشركات في الغرب، وتسببت أحيانا في أضرار مختلفة للبنية التحتية المدنية الحيوية، بما فيها المستشفيات وأنظمة الطاقة وخدمات المدن المختلفة.

الخطوط الجوية البريطانية تعرضت للاختراق بسبب منصة "Zellis" التي تستخدم برمجية "MOVEit" لنقل الملفات (شترستوك)

تستخدم المجموعة هجوم الفدية من نوع "Cl0p" في الهجمات الإلكترونية منذ عام 2019، وتنشر بيانات الضحايا على موقعها في الويب المظلم، ويكون الهدف الأساسي منها غالبا تشفير البيانات ثم طلب الفدية من الشركة أو المؤسسة المتضررة.

لكن بينما سبق للمجموعة استهداف الضحايا ببرمجيات الفدية التي تشفّر الملفات، ثم مراسلة المتضرر وطلب دفع الفدية بالعملة المشفرة "بتكوين" في مقابل كود فك التشفير، فإن المجموعة تحولت أكثر إلى إستراتيجية الاختراق والاستيلاء على البيانات فقط، معتمدة في هذا على التهديد بنشر تلك البيانات الحساسة المسروقة بوصفها وسيلة لابتزاز الضحايا.

يرجع هذا إلى إمكانية استغلال الثغرات الفجائية "يوم الصفر"، التي تُمكِّن المخترق من استخراج وسرقة أكبر قدر من البيانات، لأكثر عدد من المؤسسات والشركات التي تستخدم المنصة المتضررة وفي زمن قياسي، قبل أن تتمكن الشركة من تصحيح وغلق تلك الثغرة الأمنية التي يستغلها المخترق.

الأمر المعقد هنا أن بعض الشركات والمؤسسات تتأثر بالهجوم لأنها تتعامل مع مقاول ما، وهذا المقاول يستفيد من خدمات مقاول آخر، وهذا الأخير هو مَن يستخدم منصة "MOVEit" في الأساس. هذا ما حدث مثلا مع الخطوط الجوية البريطانية، التي تعرضت للاختراق بسبب منصة "Zellis"، التي تقدم لها خدمات تنظيم الرواتب، وهذه المنصة هي التي تستخدم برمجية "MOVEit" لنقل الملفات (7). ما يزيد الأمور تعقيدا هو حقيقة أن الهجمات التي تعتمد على ثغرات "يوم الصفر"، كما حدث مع هذا الهجوم، يصعب الدفاع أمامها للغاية، وهذا تحديدا ما يزيد من شهرتها وانتشارها حاليا!

ثغرة يوم الصفر! يمكن أن تظل هذه الثغرة غير مكتشفة لفترة زمنية تتراوح بين أيام أو شهور أو ربما لسنوات حتى يجدها شخص ما (شترستوك)

عندما يكون هناك خطأ في الكود البرمجي لأحد الأنظمة، ويمكن للمخترق استغلاله، يطلق عليه ثغرة "يوم الصفر"؛ إذا لم يعلم مطور النظام بوجود هذا الخطأ البرمجي مسبقا، فلن يملك الوقت الكافي لإصلاح الثغرة وإيقاف هذا التهديد، أي سيكون أمامه عدد "صفر من الأيام"، ومن هنا جاء الاسم (8).

في معظم الحالات، يوجد هذا الخطأ في الكود البرمجي منذ البداية، لكنَّ المطور وفريق الأمن الإلكتروني والمستخدمين لم يكونوا على دراية به، ويمكن أن تظل هذه الثغرة غير مكتشفة لفترة زمنية تتراوح بين أيام أو شهور أو ربما لسنوات حتى يجدها شخص ما، مثلا يعتقد باحثون أمنيون من شركة "Kroll" الأميركية أن مجموعة الاختراق الروسية ربما كانت تستغل ثغرة منصة "MOVEit" منذ عام 2021 (9).

هنا يمكن للمخترق البحث والعثور على هذا الخطأ في الكود البرمجي والمشكلة الناتجة بسببه، حتى عندما لا يراها الآخرون، ثم يستغلها لمصلحته عبر تطوير برمجيات ضارة أو فيروسات يصعب اكتشافها، ومن ثمّ يشن هجوما فجائيا. هذا النوع من الهجمات يُشكِّل تهديدا خطيرا على الشركة أو المؤسسة وعلى بياناتها؛ عند تشغيل النظام المصاب، يمكن للبرمجية الضارة، التي زرعها المخترق مسبقا، أن تصيب التطبيق أو نظام التشغيل أو الذاكرة، مما يعرض بيانات ومهام أحد الأجهزة للخطر، أو ربما يعرض شبكة الأجهزة بأكملها للخطر.

تُعَدُّ الشركات التي تقدم البرمجيات كخدمة (SaaS) ومقدمي خدمات نقل الملفات من ضمن الأهداف الشائعة للهجمات الإلكترونية التي تعتمد على ثغرة اليوم صفر وهجمات الفدية (شترستوك)

أحيانا، يتولى بعض المخترقين تطوير تلك البرمجيات الخبيثة التي تستغل هذه الثغرة ويبيعونها على الويب المظلم "دارك ويب". بينما قد يشتريها البعض الآخر لكي يتمكنوا من شن هجماتهم الفجائية الخاصة، مثل هجمات الفدية المربحة، كما حدث في هجوم منصة "MOVEit" أو أي تهديدات أمنية متقدمة أخرى.

تُعَدُّ الشركات التي تقدم البرمجيات كخدمة (SaaS) ومقدمي خدمات نقل الملفات من ضمن الأهداف الشائعة لمثل هذه الهجمات، لأنها تشارك تحديثات برمجياتها مباشرة مع العديد من الشركات والمؤسسات الأخرى، وأي هجوم مفاجئ عليها قد ينتشر سريعا كما رأينا في هذا الهجوم.

في أفضل السيناريوهات، يعثر الباحثون في مجال الأمن الإلكتروني، أو مطور النظام، على تلك الثغرة قبل أن يعثر عليها المخترق. ولكن بغض النظر عمّن يعثر عليها أولا، فمجرد اكتشافها يعني أنها أصبحت معروفة للجميع. اكتشاف هذا النوع من الثغرات يُشعل سباقا محموما بين المتخصصين في الأمن السيبراني، الذين يعملون على إصلاح هذه الثغرة سريعا، وبين المخترقين الذين يعملون على تطوير برمجية لاستغلال هذه الثغرة ليستخدموها في اختراق النظام، وبمجرد أن يطوروا برمجية فعّالة لاستغلال الثغرة يستخدمونها لشن هجوم إلكتروني مفاجئ.

غالبا يتمكن المخترق من تطوير هذه البرمجيات الضارة أسرع مما يمكن لفرق الأمن السيبراني من تطوير وإطلاق تصحيح لها، وتشير بعض التقديرات إلى إتاحة تلك البرمجيات الضارة في غضون 14 يوما من اكتشاف الثغرة. لكن بمجرد بدء تلك الهجمات الفجائية، تتبعها تصحيحات لإصلاح الثغرة في غضون بضعة أيام فقط، لأن الشركة المطورة يمكنها الاستفادة من المعلومات التي تقدمها تلك الهجمات لتتمكن من تحديد المشكلة التي تحتاج إلى إصلاح. لذا، مع خطورة تلك الثغرات فإن المخترقين لا يمكنهم استغلالها لفترة طويلة. لكن هذا يجعلها أكثر قيمة خاصة عندما يكتشفها المخترق أولا!

أظهرت بعض المستندات المسربة أنه بداية من عام 2021 قد تكلف ثغرة "يوم الصفر"، التي تسمح باختراق تطبيق "واتساب" على هاتف الضحية على نظام أندرويد. (شترستوك)

وفقا لتقرير من منصة "TechCrunch"، عرضت شركة روسية نحو 20 مليون دولار لشراء سلسلة من الأخطاء البرمجية لاستغلال ثغرات "يوم الصفر"، لكي تسمح لعملائها، التي قالت الشركة إنهم "مؤسسات روسية حكومية وخاصة"، باختراق الهواتف الذكية عند بُعد. حتى في الأسواق الأخرى بخلاف روسيا، ارتفعت أسعار بيع تلك الأخطاء البرمجية لعدد من التطبيقات الشهيرة. مثلا، أظهرت بعض المستندات المسربة أنه بداية من عام 2021 قد تكلف ثغرة "يوم الصفر"، التي تسمح باختراق تطبيق "واتساب" على هاتف الضحية على نظام أندرويد، وقراءة محتوى الرسائل، ما بين 1.7-8 ملايين دولار (10).

عموما، لا يوجد أي شيء في الفراغ الآن، خاصة مع ترابط المشهد الرقمي في عصرنا الحالي، هذه الحادثة الأخيرة لمنصة "MOVEit" هي تذكير حي لنا بأن الأمن السيبراني يتشابك الآن مع نظام واسع من الشركاء والموردين وغيرهم. كما تسلط الضوء على التحديات التي تواجهها الشركات والمؤسسات في تأمين بياناتها وبيانات العاملين بها وبيانات المستخدمين؛ لم يعد الأمر مقتصرا على حماية أمنهم الإلكتروني فحسب، بل يجب أن يهتموا كذلك بأمن الخدمات التي يستخدمونها في كل الأوقات.

وفي النهاية، لا يمكن الجزم، بالإثبات أو النفي، حول ما سيحدث في المستقبل لبياناتنا وأمننا الإلكتروني، لكن ما يمكن تأكيده أن الشركات والمؤسسات والحكومات والأشخاص عليهم أن يولوا اهتماما كبيرا بفكرة حماية تلك البيانات في ظل تطور الهجمات الإلكترونية التي تصبح أكثر ضراوة وأكبر تكلفة وضررا يوما بعد يوم.

__________________________________________________________

المصادر:

1) MOVEit hack victim list 2) #StopRansomware: CL0P Ransomware Gang Exploits CVE-2023-34362 MOVEit Vulnerability 3) Sony confirms data breach impacting thousands in the U.S. 4) MOVEit Transfer Critical Vulnerability (May 2023) 5) TA505: A Brief History Of Their Time 6) Exclusive: US government agencies hit in global cyberattack 7) BA, Boots and BBC staff details targeted in Russia-linked cyber-attack 8) What is a zero-day exploit? 9) Clop Ransomware Likely Sitting on MOVEit Transfer Vulnerability (CVE-2023-34362) Since 2021 10) Zero-days for hacking WhatsApp are now worth millions of dollars

المصدر: الجزيرة

كلمات دلالية: الشرکات والمؤسسات تلک البیانات الشرکات التی من المؤسسات ثغرة أمنیة هذه الثغرة التی تقدم یوم الصفر التی ت

إقرأ أيضاً:

قرض بقيمة 197 مليون يورو لتوسيع مجمع ميناء طنجة المتوسط

أعلنت مؤسسة التمويل الدولية والوكالة الدولية لضمان الاستثمار التابعة للبنك الدولي يوم الاثنين عن شراكة مع مجمع طنجة المتوسط للموانئ. وتهدف هذه الشراكة إلى توسيع محطة الشاحنات والمسافرين التابعة للمجمع الاستراتيجي، حسب بيان صادر عن مؤسسة التمويل الدولية. تتضمن الصفقة التمويلية مع ميناء طنجة المتوسط قرضا بقيمة 197 مليون يورو (بما في ذلك 47 مليون يورو مقدمة في إطار برنامج محفظة الإقراض المشترك المدارة التابع لمؤسسة التمويل الدولية). وأضافت مؤسسة التمويل الدولية أن هذا سيكون “أول قرض مرتبط بالاستدامة في المغرب، والأول بقطاع الموانئ في الأسواق الناشئة عالميا”. بالإضافة إلى مؤسسة التمويل الدولية، يتم دعم المشروع أيضا من قبل مجموعة من البنوك الدولية، بما في ذلك JP Morgan بقرض تجاري يصل إلى 203 مليون يورو. ” سيغطي الضمان غير التكريمي من الوكالة الدولية لضمان الاستثمار المقرضين في تسهيل القروض التجارية لمدة تصل إلى 15 عاما” حسب المصدر ذاته. سيساعد الدعم المالي على زيادة سعة الشاحنات في الميناء إلى أكثر من 1 مليون وحدة. في عام 2023، تعامل مجمع طنجة المتوسط مع 477000 شاحنة. من المتوقع أن يخلق المشروع فرص عمل مباشرة، ويحفز النمو الاقتصادي، ويعزز ثقة المستثمرين في قطاع البنية التحتية في المغرب.

مقالات مشابهة

  • قرار قضائي بشأن المتهم بسرقة خزينة من إحدى الشركات
  • قرض بقيمة 197 مليون يورو لتوسيع مجمع ميناء طنجة المتوسط
  • مسروقات بـ 30 مليون جنيه.. تفاصيل جديدة في سرقة شقة مؤرخ الأسرة الملكية بالعجوزة
  • دبي تشهد أكبر صفقة عقارية هذا العام بأكثر من 137 مليون دولار
  • «أمنية» تفتتح «سوق الأمنيات»
  • مدبولي يشهد توقيع عقد لإنشاء مركز بيانات في «اقتصادية القناة» باستثمارات 450 مليون دولار
  • الاتحاد الأوروبي يؤشر ثغرة بقانون التقاعد والضمان الاجتماعي العراقي يقصي مستفيدين
  • اللقطة التي تسببت بإصابة نيمار .. فيديو
  • صادرات أميركا من الإيثان ومشتقاته ترتفع 135%.. والصين أكبر المستوردين
  • مؤسسة النفط: مؤشرات زيادة الإنتاج تقترب من 1.5 مليون برميل يومياً