حذر مسؤولو الأمن السيبراني في الولايات المتحدة وبريطانيا من أن اختراق عصابة روسية للابتزاز الإلكتروني لبرنامج نقل الملفات المشهور لدى الشركات قد يكون له تأثير عالمي واسع النطاق. من بين ضحايا سرقة البيانات الأولية بي بي سي والخطوط الجوية البريطانية وحكومة نوفا سكوشا.
قال بريت كالو ، المحلل في شركة الأمن السيبراني Emsisoft: “من المحتمل أن يكون هذا أحد أهم الانتهاكات التي حدثت في السنوات الأخيرة”. “سيكون لدينا فكرة أفضل عن مدى أهميتها مع ظهور المزيد من التفاصيل حول عدد ونوع المنظمات المتأثرة.”
أعلنت نقابة Cl0p ransomware على موقعها الإلكتروني المظلم في وقت متأخر من يوم الثلاثاء أن ضحاياها – الذين تشير إلى أن عددهم بالمئات – لديهم حتى 14 يونيو للتفاوض بشأن فدية أو المخاطرة بإلقاء بيانات حساسة مسروقة على الإنترنت.
يتم استخدام البرنامج المستغل ، MOVEit ، على نطاق واسع من قبل الشركات لمشاركة الملفات بأمان. قامت الشركة الأم لصانعها الأمريكي ، Progress Software ، بتنبيه العملاء إلى الانتهاك في 31 مايو وأصدرت تصحيحًا. لكن باحثين في مجال الأمن السيبراني يقولون إن العشرات ، إن لم يكن المئات من الشركات ، ربما بحلول ذلك الوقت كانت قد سُرقت بيانات حساسة بهدوء.
قالت كيتلين كوندون ، كبيرة مديري الأبحاث الأمنية في شركة الأمن السيبراني Rapid7 ، “هناك بلا شك منظمات لا تعرف حتى الآن أنها متأثرة” ، مشيرة إلى أن MOVEit تحظى بشعبية خاصة في أمريكا الشمالية.
قال كوندون عبر البريد الإلكتروني: “لقد رأينا مجموعة واسعة من المنظمات المتضررة من هذا الهجوم عبر الرعاية الصحية والخدمات المالية والتكنولوجيا والتصنيع والتأمين والحكومة والمزيد” ، مضيفًا أنه يمكن توقع المزيد من الشركات للكشف عن سرقة البيانات ، على وجه الخصوص “كمتطلبات إعداد التقارير التنظيمية تدخل حيز التنفيذ”.
عندما طُلب منه تأكيد هوية العديد من الضحايا المبلغ عنهم ، قال متحدث باسم Cl0p ردًا على استفسار عبر البريد الإلكتروني من وكالة Associated Press ، “لم نفحص ملفات الشركة بعد ، كما ترون على موقعنا ؛ لقد منحنا الفرصة للشركات لتقرير خصوصيتها قبل اتخاذ إجراءاتنا “.
كان Zellis ، المزود الرائد لخدمات كشوف المرتبات في المملكة المتحدة والذي يخدم الخطوط الجوية البريطانية و BBC ومئات آخرين ، من بين المستخدمين المتأثرين. قالت Zellis يوم الإثنين إن “عددًا صغيرًا” من عملائها تأثروا بما يسميه خبراء الأمن السيبراني خرقًا لسلسلة التوريد لأن حل وسط مزود برمجيات واحد يمكن أن يكون له مثل هذا التأثير العميق.
وقالت الخطوط الجوية البريطانية في بيان “أبلغنا الزملاء الذين تعرضت معلوماتهم الشخصية للاختراق لتقديم الدعم والمشورة”.
وقالت بي بي سي ، التي توظف حوالي 22 ألف شخص في جميع أنحاء العالم ، إنها تعمل مع زيليس في سعيها لتحديد مدى الاختراق. وقالت المذيع في رسالة بالبريد الإلكتروني تم إرسالها يوم الاثنين إلى جميع العاملين في المملكة المتحدة والمستقلين أنه تم الكشف عن البيانات بما في ذلك تواريخ الميلاد وأرقام التأمين الوطنية وعناوين المنازل. لكنها قالت إن تفاصيل الحساب المصرفي لم يتم اختراقها على ما يبدو ، ولم يكن هناك “دليل على استغلال البيانات”.
وقالت سلسلة الكيميائيات في المملكة المتحدة ، بووتس ، التي توظف أكثر من 50 ألف شخص ، إنها أبلغت الموظفين بالاختراق.
أكدت حكومة نوفا سكوشا يوم الأحد أنها كانت من بين الضحايا ، قائلة إن بعض بيانات السكان تم الكشف عنها. تستخدم هيئة الصحة في المقاطعة الكندية MOVEit لمشاركة معلومات حساسة وسرية.
أصدرت جامعة روتشستر بيانًا يوم الجمعة الماضي أشارت فيه إلى أنها كانت من بين الضحايا ، لكن المتحدثة باسمها ، سارة ميلر ، لم تؤكد أنها استخدمت MOVEit أو تناقش البيانات المسروقة.
“بيانات شديدة الحساسية”
قال جاريد سميث ، محلل التهديدات في شركة الأمن السيبراني SecurityScorecard: “ما يثير القلق بشأن MOVEit هو أنه يتم استخدامه بشكل حصري تقريبًا من قبل مؤسسات المؤسسات لمشاركة البيانات الحساسة للغاية مع بعضها البعض”. بشكل أساسي ، الشركات التي لا تثق في Dropbox أو Google Drive ستكون آمنة بما يكفي لأعمالها.
وهذا يعني تحديدًا نوع البيانات الحساسة التي “تضيف مزيدًا من الوقود إلى حريق النظام البيئي القائم بالفعل لسرقة الهوية” ، كما قال أليكس هيد ، كبير مسؤولي الأبحاث في Security Scorecard.
اكتشفت الشركة 2500 خادم MOVEit ضعيف في 790 مؤسسة ، بما في ذلك 200 وكالة حكومية. قال سميث إنه لم يكن من الممكن تقسيم هذه الوكالات حسب الدولة. لم يكن معروفًا عدد خوادم MOVEit المعرضة للاختراق.
قال سميث إن المتسللين كانوا يبحثون بنشاط عن الأهداف ، ويخترقونها ويسرقون البيانات على الأقل منذ 29 مارس.
Cl0p هي من بين أكثر نقابات الجرائم الإلكترونية انتشارًا في العالم ، وهذه ليست المرة الأولى التي تخترق فيها برنامج نقل الملفات للوصول إلى البيانات التي يمكن استخدامها بعد ذلك لابتزاز الشركات. تشمل الأمثلة الأخرى خوادم GoAnywhere في أوائل عام 2023 وأجهزة تطبيق Accellion File Transfer في عامي 2020 و 2021.
في تقرير استشاري مشترك صدر يوم الأربعاء ، قالت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية ومكتب التحقيقات الفيدرالي (FBI) أنه من المقدر أن Cl0p قد “تعرضت للخطر أكثر من 3000 منظمة مقرها الولايات المتحدة و 8000 منظمة عالمية”.
“بسبب السرعة والسهولة [with which it] لقد استغل هذا الضعف واستنادًا إلى حملتهما السابقة ، يتوقع مكتب التحقيقات الفيدرالي و CISA استغلالًا واسع النطاق لخدمات البرمجيات غير المصححة في كل من الشبكات الخاصة والعامة “.
تدعي Cl0p أنها لا تبتز الحكومات أو المدن أو وكالات الشرطة ، لكن خبراء الأمن السيبراني يقولون إن هذا على الأرجح تكتيك لمحاولة تجنب الصراع المباشر مع سلطات إنفاذ القانون وأنه لا يمكن الوثوق بالعصابة ذات الدوافع المالية للوفاء بوعدها بمحو البيانات المسروقة من تلك الأهداف.
