سرقة بيانات أكثر من 2600 شركة ومؤسسة حكومية كبرى، وقرابة 90 مليون شخص، في أكثر من 30 دولة حول العالم، تلك الأرقام هي حصيلة أكبر اختراق إلكتروني حدث هذا العام. تُمثِّل المؤسسات الحكومية والشركات في الولايات المتحدة نحو 88% من ضحايا هذا الهجوم، ويليها الشركات والمؤسسات من كندا بنحو 6%، ثم ألمانيا بنسبة 1.6%، والمملكة المتحدة بنسبة 1% تقريبا، وفق آخر تحديث للبيانات في 20 ديسمبر/كانون الأول الحالي (1).

حدث هذا الاختراق بسبب ثغرة أمنية في برمجية نقل الملفات "MOVEit"، وهي منصة شهيرة تستخدمها الشركات والمؤسسات في نقل ملفاتها وبياناتها الداخلية الحساسة على الإنترنت، استغلتها مجموعة اختراق روسية بهدف الاستيلاء على تلك البيانات وطلب الفدية في المقابل (2). ورغم أن الاختراق وقع منذ أشهر، فإن توابعه لا تزال تتكشف تباعا حتى الآن، والسبب في ذلك أن بعض الشركات التي وقعت ضحية للهجوم تقدم خدمات للعديد من المؤسسات والشركات الأخرى، بالتالي فإن أرقام الضحايا والمخترقين تتزايد باطراد مع إبلاغ المزيد من الشركات عن سرقة بياناتها، أو عندما تعلن مجموعة الاختراق الروسية عن أسماء ضحايا جدد.

ثغرة أمنية

برمجية "MOVEit" هي منصة لنقل الملفات، من تطوير شركة "Progress Software"، تستخدمها الآلاف من المؤسسات والهيئات الحكومية والمؤسسات المالية، وغيرها من الشركات الخاصة، عالميا لإرسال واستقبال البيانات والمعلومات، التي غالبا ما تكون حساسة وبحاجة إلى وسيلة نقل آمنة، وهو ما كانت تقدمه المنصة فعلا.

في أواخر شهر مايو/أيار الماضي، بدأ نقل البيانات بمئات العمليات من منصة "MOVEit"، ولكنها لم تكن عمليات نقل ملفات عادية تطلبها إحدى الشركات المستخدمة للمنصة، إذ تعرضت المنصة للاختراق من مجموعة مخترقين روسية استغلت ثغرة أمنية فجائية تدعى "يوم الصفر" (Zero-Day) في البرمجية، وسرقت تلك البيانات بهجوم الفدية المعروف باسم "Cl0p".

بحلول 31 مايو/أيار، أصدرت شركة "Progress Software" تحذيرا وتصحيحا للثغرة الأمنية، وخصصت لها تصنيف خطورة بلغ 9.8 من أصل 10. كما ذكرت الشركة أن الثغرة الأمنية "قد تؤدي إلى منح المخترقين امتيازات متزايدة وإمكانية وصول غير مصرح به إلى المنصة" (4). بمعنى آخر، تلك الثغرة الأمنية أتاحت للمخترقين الوصول إلى قواعد البيانات الخاصة بعملاء "MOVEit" وتمكنوا من سرقة تلك البيانات، وهو الأمر الذي تبين لاحقا بحدوثه فعلا منذ يوم 27 من الشهر نفسه على أقل تقدير.

وفي 6 يونيو/حزيران، أكدت مجموعة المخترقين "Cl0p" الروسية مسؤوليتها عن الهجوم عبر منشور على موقعها على الويب المظلم "دارك ويب"، وهي مجموعة الاختراق التي اشتهرت خلال الفترة الماضية باسم "TA505". وخلال الشهر نفسه، بدأت قائمة الضحايا في الظهور أكثر؛ مؤسسات حكومية وفيدرالية في الولايات المتحدة، كانت أهمها وزارة الطاقة وجامعة جونز هوبكنز والحكومات الفيدرالية لولايات مينيسوتا وإلينوي والعديد من المؤسسات التعليمية الأخرى، بجانب مؤسسات وشركات في المملكة المتحدة كانت أهمها الخطوط الجوية البريطانية وإحدى أكبر صحف البلاد "بي بي سي"، بالإضافة إلى شركة النفط والغاز الأوروبية العملاقة "شل" وغيرها (5) (6).

ذكرت المجموعة أنها لا تهتم باستغلال أي بيانات مسروقة من المكاتب الحكومية أو مكاتب الشرطة وأنها حذفتها، لأنها تصب تركيزها على البيانات والمعلومات التجارية فقط، ولكن تلك البيانات الحكومية يمكن بيعها إلى جهات أخرى يمكنها الاستفادة منها. ويُعَدُّ اختراق "MOVEit" مثالا آخر على وقوع الوكالات الأميركية الحكومية ضحية للجرائم الإلكترونية المنظمة من مجموعات الاختراق الروسية، إذ انتشرت تلك الحملات لبرمجيات الفدية خلال السنوات القليلة الماضية، التي استهدفت غالبا مؤسسات وشركات في الغرب، وتسببت أحيانا في أضرار مختلفة للبنية التحتية المدنية الحيوية، بما فيها المستشفيات وأنظمة الطاقة وخدمات المدن المختلفة.

تستخدم المجموعة هجوم الفدية من نوع "Cl0p" في الهجمات الإلكترونية منذ عام 2019، وتنشر بيانات الضحايا على موقعها في الويب المظلم، ويكون الهدف الأساسي منها غالبا تشفير البيانات ثم طلب الفدية من الشركة أو المؤسسة المتضررة.

لكن بينما سبق للمجموعة استهداف الضحايا ببرمجيات الفدية التي تشفّر الملفات، ثم مراسلة المتضرر وطلب دفع الفدية بالعملة المشفرة "بتكوين" في مقابل كود فك التشفير، فإن المجموعة تحولت أكثر إلى إستراتيجية الاختراق والاستيلاء على البيانات فقط، معتمدة في هذا على التهديد بنشر تلك البيانات الحساسة المسروقة بوصفها وسيلة لابتزاز الضحايا.

يرجع هذا إلى إمكانية استغلال الثغرات الفجائية "يوم الصفر"، التي تُمكِّن المخترق من استخراج وسرقة أكبر قدر من البيانات، لأكثر عدد من المؤسسات والشركات التي تستخدم المنصة المتضررة وفي زمن قياسي، قبل أن تتمكن الشركة من تصحيح وغلق تلك الثغرة الأمنية التي يستغلها المخترق.

الأمر المعقد هنا أن بعض الشركات والمؤسسات تتأثر بالهجوم لأنها تتعامل مع مقاول ما، وهذا المقاول يستفيد من خدمات مقاول آخر، وهذا الأخير هو مَن يستخدم منصة "MOVEit" في الأساس. هذا ما حدث مثلا مع الخطوط الجوية البريطانية، التي تعرضت للاختراق بسبب منصة "Zellis"، التي تقدم لها خدمات تنظيم الرواتب، وهذه المنصة هي التي تستخدم برمجية "MOVEit" لنقل الملفات (7). ما يزيد الأمور تعقيدا هو حقيقة أن الهجمات التي تعتمد على ثغرات "يوم الصفر"، كما حدث مع هذا الهجوم، يصعب الدفاع أمامها للغاية، وهذا تحديدا ما يزيد من شهرتها وانتشارها حاليا!

ثغرة يوم الصفر!

عندما يكون هناك خطأ في الكود البرمجي لأحد الأنظمة، ويمكن للمخترق استغلاله، يطلق عليه ثغرة "يوم الصفر"؛ إذا لم يعلم مطور النظام بوجود هذا الخطأ البرمجي مسبقا، فلن يملك الوقت الكافي لإصلاح الثغرة وإيقاف هذا التهديد، أي سيكون أمامه عدد "صفر من الأيام"، ومن هنا جاء الاسم (8).

في معظم الحالات، يوجد هذا الخطأ في الكود البرمجي منذ البداية، لكنَّ المطور وفريق الأمن الإلكتروني والمستخدمين لم يكونوا على دراية به، ويمكن أن تظل هذه الثغرة غير مكتشفة لفترة زمنية تتراوح بين أيام أو شهور أو ربما لسنوات حتى يجدها شخص ما، مثلا يعتقد باحثون أمنيون من شركة "Kroll" الأميركية أن مجموعة الاختراق الروسية ربما كانت تستغل ثغرة منصة "MOVEit" منذ عام 2021 (9).

هنا يمكن للمخترق البحث والعثور على هذا الخطأ في الكود البرمجي والمشكلة الناتجة بسببه، حتى عندما لا يراها الآخرون، ثم يستغلها لمصلحته عبر تطوير برمجيات ضارة أو فيروسات يصعب اكتشافها، ومن ثمّ يشن هجوما فجائيا. هذا النوع من الهجمات يُشكِّل تهديدا خطيرا على الشركة أو المؤسسة وعلى بياناتها؛ عند تشغيل النظام المصاب، يمكن للبرمجية الضارة، التي زرعها المخترق مسبقا، أن تصيب التطبيق أو نظام التشغيل أو الذاكرة، مما يعرض بيانات ومهام أحد الأجهزة للخطر، أو ربما يعرض شبكة الأجهزة بأكملها للخطر.

أحيانا، يتولى بعض المخترقين تطوير تلك البرمجيات الخبيثة التي تستغل هذه الثغرة ويبيعونها على الويب المظلم "دارك ويب". بينما قد يشتريها البعض الآخر لكي يتمكنوا من شن هجماتهم الفجائية الخاصة، مثل هجمات الفدية المربحة، كما حدث في هجوم منصة "MOVEit" أو أي تهديدات أمنية متقدمة أخرى.

تُعَدُّ الشركات التي تقدم البرمجيات كخدمة (SaaS) ومقدمي خدمات نقل الملفات من ضمن الأهداف الشائعة لمثل هذه الهجمات، لأنها تشارك تحديثات برمجياتها مباشرة مع العديد من الشركات والمؤسسات الأخرى، وأي هجوم مفاجئ عليها قد ينتشر سريعا كما رأينا في هذا الهجوم.

في أفضل السيناريوهات، يعثر الباحثون في مجال الأمن الإلكتروني، أو مطور النظام، على تلك الثغرة قبل أن يعثر عليها المخترق. ولكن بغض النظر عمّن يعثر عليها أولا، فمجرد اكتشافها يعني أنها أصبحت معروفة للجميع. اكتشاف هذا النوع من الثغرات يُشعل سباقا محموما بين المتخصصين في الأمن السيبراني، الذين يعملون على إصلاح هذه الثغرة سريعا، وبين المخترقين الذين يعملون على تطوير برمجية لاستغلال هذه الثغرة ليستخدموها في اختراق النظام، وبمجرد أن يطوروا برمجية فعّالة لاستغلال الثغرة يستخدمونها لشن هجوم إلكتروني مفاجئ.

غالبا يتمكن المخترق من تطوير هذه البرمجيات الضارة أسرع مما يمكن لفرق الأمن السيبراني من تطوير وإطلاق تصحيح لها، وتشير بعض التقديرات إلى إتاحة تلك البرمجيات الضارة في غضون 14 يوما من اكتشاف الثغرة. لكن بمجرد بدء تلك الهجمات الفجائية، تتبعها تصحيحات لإصلاح الثغرة في غضون بضعة أيام فقط، لأن الشركة المطورة يمكنها الاستفادة من المعلومات التي تقدمها تلك الهجمات لتتمكن من تحديد المشكلة التي تحتاج إلى إصلاح. لذا، مع خطورة تلك الثغرات فإن المخترقين لا يمكنهم استغلالها لفترة طويلة. لكن هذا يجعلها أكثر قيمة خاصة عندما يكتشفها المخترق أولا!

وفقا لتقرير من منصة "TechCrunch"، عرضت شركة روسية نحو 20 مليون دولار لشراء سلسلة من الأخطاء البرمجية لاستغلال ثغرات "يوم الصفر"، لكي تسمح لعملائها، التي قالت الشركة إنهم "مؤسسات روسية حكومية وخاصة"، باختراق الهواتف الذكية عند بُعد. حتى في الأسواق الأخرى بخلاف روسيا، ارتفعت أسعار بيع تلك الأخطاء البرمجية لعدد من التطبيقات الشهيرة. مثلا، أظهرت بعض المستندات المسربة أنه بداية من عام 2021 قد تكلف ثغرة "يوم الصفر"، التي تسمح باختراق تطبيق "واتساب" على هاتف الضحية على نظام أندرويد، وقراءة محتوى الرسائل، ما بين 1.7-8 ملايين دولار (10).

عموما، لا يوجد أي شيء في الفراغ الآن، خاصة مع ترابط المشهد الرقمي في عصرنا الحالي، هذه الحادثة الأخيرة لمنصة "MOVEit" هي تذكير حي لنا بأن الأمن السيبراني يتشابك الآن مع نظام واسع من الشركاء والموردين وغيرهم. كما تسلط الضوء على التحديات التي تواجهها الشركات والمؤسسات في تأمين بياناتها وبيانات العاملين بها وبيانات المستخدمين؛ لم يعد الأمر مقتصرا على حماية أمنهم الإلكتروني فحسب، بل يجب أن يهتموا كذلك بأمن الخدمات التي يستخدمونها في كل الأوقات.

وفي النهاية، لا يمكن الجزم، بالإثبات أو النفي، حول ما سيحدث في المستقبل لبياناتنا وأمننا الإلكتروني، لكن ما يمكن تأكيده أن الشركات والمؤسسات والحكومات والأشخاص عليهم أن يولوا اهتماما كبيرا بفكرة حماية تلك البيانات في ظل تطور الهجمات الإلكترونية التي تصبح أكثر ضراوة وأكبر تكلفة وضررا يوما بعد يوم.

__________________________________________________________

المصادر:

• 1) MOVEit hack victim list
• 2) #StopRansomware: CL0P Ransomware Gang Exploits CVE-2023-34362 MOVEit Vulnerability
• 3) Sony confirms data breach impacting thousands in the U.S.
• 4) MOVEit Transfer Critical Vulnerability (May 2023)
• 5) TA505: A Brief History Of Their Time
• 6) Exclusive: US government agencies hit in global cyberattack
• 7) BA, Boots and BBC staff details targeted in Russia-linked cyber-attack
• 8) What is a zero-day exploit?
• 9) Clop Ransomware Likely Sitting on MOVEit Transfer Vulnerability (CVE-2023-34362) Since 2021
• 10) Zero-days for hacking WhatsApp are now worth millions of dollars