الكشف عن كيفية اختراق فريق "لابسوس" لموظفي مايكروسوفت

time reading iconدقائق القراءة - 5
أحد المشاركين في مؤتمر Def Con للاختراق الإلكتروني في لاس فيجاس بالولايات المتحدة- 29 يوليو 2017 - REUTERS
أحد المشاركين في مؤتمر Def Con للاختراق الإلكتروني في لاس فيجاس بالولايات المتحدة- 29 يوليو 2017 - REUTERS
القاهرة-الشرق

كشف عدد من الباحثين تفاصيل الهجمات الإلكترونية التي شنّها فريق المخترقين $LAPSUS ضد شركات تقنية مثل مايكروسوفت وسامسونج ونيفيديا و"أوكتا".

ومن التفاصيل التي تم كشفها أن فريق "لابسوس" تمكن من تخطي بعض إجراءات المصادقة المتعددة Multi-Factor Authentication التي يستخدمها موظفو بعض الشركات "الضحايا"، مما تسبب في اختراق أنظمة الشركات الداخلية.

تضارب الحقائق

ووفقاً لتقرير نشره باحث أمني مستقل، يُدعى بيل ديمبركابي، فإن "لابسوس" تمكن من مهاجمة الأنظمة الداخلية لشركة Sitel، أحد عملاء شركة "أوكتا"، عبر العثور على قائمة تتضمن مجموعة من كلمات مرور الخاصة بحسابات لإدارة الأنظمة الداخلية لـ"سايتل".

وقام المخترقون بإنشاء حساب جديد ومنحوه أعلى صلاحيات ممكنة، إذ نجحوا في إضافة الحساب الجديد إلى مجموعة تواصل داخلي تسمح له بإنشاء باب خلفي في أنظمة الشركة، يسهل على المخترقين النفاذ إلى داخل الأنظمة، في حال تم اكتشاف أمر الحساب المزيف الجديد وقام متخصصو الشركة بحذفه.

وبالتزامن مع ذلك، كان مهاجمو "لابسوس" يقومون باختراق أنظمة "أوكتا" الداخلية، عبر نفاذهم إلى أنظمة شركة "سايتل".

وكانت تلك التفاصيل قد أظهرها تقرير نشرته شركة "مانديانت" المتخصصة في الأمن المعلوماتي، والتي اعتمدت عليها "سايتل" للتحقيق في واقعة الاختراق، والخروج بتقرير شامل يوضح حقيقة ما حدث، وهو ما نشر ديمبركابي نسخة منه عبر حسابه على تويتر.

وكشف التقرير أن بداية هجوم "لابسوس" ضد "سايتل" ونجاحهم في النفاذ إلى أنظمتها بشكل كامل استغرق 5 أيام، بدءً من 16 يناير حتى 21 يناير، إلّا أن تقرير تقصي الحقائق وتتبع الهجوم الذي نشرته "أوكتا" تناول الهجوم بداية من 20 يناير، في إغفال واضح لما جرى قبل ذلك.

كذلك، وجّه "ديمبركابي" انتقادات لاذعة في تغريداته إلى "أوكتا"، بسبب تراخيها في اتخاذ إجراءات فورية صارمة لتقلل من تأثير الهجوم الإلكتروني على مئات من عملائها، والذين تبلغ نسبتهم 2.5% من إجمالي عملائها البالغ عددهم 15000 عميل.

وقال الباحث الأمني: "بحسب تقرير أوكتا فإنها علمت بوقوع الهجوم وتأكدت في 17 مارس الجاري بعد وصول تقرير مانديانت إليها من جانب سايتل، إلا أنها أهملت الأمر ولم تعلق عليه أو تتخذ إجراءات، إلّا بعد نشر فريق الهاكرز تفاصيل عنه في 24 مارس، أي بعد أسبوع من علمها بالهجوم".

تخطّي إجراءات الحماية

كما كشف فريق "لابسوس"، عبر قناتهم الرسمية على تليجرام، عن نجاحهم في تخطي إجراءات الحماية القوية التي يستخدمها بعض موظفي الشركات الكبرى، وعلى رأسهم المصادقة متعددة الخطوات Multi-Factor Authentication، واختصاراً يشار إليها بـMFA.

أوضح بعض أعضاء "لابسوس" أنهم يستخدمون عادة أسلوب "تفجير المصادقة المتعددة MFA Bombing"، من خلال تسجيل الدخول إلى حساب أحد الموظفين في الشركة المستهدفة، باستخدام كلمة المرور، وعندما يظهر أمامهم الطبقة الثانية من الحماية، الخاصة بإدخال الكود المتغير المرسل إلى هاتف المستخدم في صورة رسالة نصية أو إشعار لضغط زر "موافق" عليه، أو الإجابة على مكالمة هاتفية، ولتأكيد هوية من يحاول تسجيل الدخول، تبدأ عملية "تفجير المصادقة".

ويجرى هذا الأسلوب من خلال إرسال عدد ضخم من الإشعارات التي تطلب موافقة المستخدم لإثبات هويته، أو توجيه عدد كبير من المكالمات الهاتفية في توقيت متأخر لدى الموظف، بحيث يقوم بالضغط لا إرادياً على شاشة هاتفه لإسكات الإشعار أو المكالمة الهاتفية، بحيث في النهاية يحصل المخترق على الموافقة المرغوبة، وحينها يبدأ الهجوم.

وقال أحد أعضاء الفريق، على مجموعة المحادثة الجماعية على "تليجرام"، أنهم قاموا باستهداف أحد موظفي مايكروسوفت بحوالي 100 مكالمة هاتفية في الساعة الواحدة صباحاً بتوقيته المحلي، وعندها نجح الهجوم.

بمجرد أن قام موظف مايكروسوفت بالرد على المكالمة الهاتفية عبر هاتفه المحمول، تمكن مخترقو "لابسوس" من النفاذ إلى منصة التحكم في اختيارات المصادقة متعددة الخطوات، وعند ذلك قاموا بإضافة هاتف جديد إلى عملية المصادقة، ويكون هذا الهاتف أو الجهاز المضاف بحوزتهم، ويصبح بذلك الحساب تحت سيطرتهم.