القاهرة -
كشف باحثون عن اختراق سيبراني ضخم، استهدف أجهزة حماية Fortinet، مَنَح مهاجمين ناطقين بالروسية وصولاً "شبه مطلق" لشبكات مؤسسات عالمية كبرى، من أبرزها أوراكل، وشيفرون، ولينوفو، وفيديكس، وسامسونج، وسبوتيفاي، ومتعاقد دفاعي مع حلف شمال الأطلسي (الناتو)، بالإضافة إلى شركة "فورتي نت" نفسها.
وأوضح بوب دياتشينكو، رئيس أبحاث الأمن السيبراني، والمؤسس المشارك لـ"SecurityDiscovery.com"، عبر تدوينة على "لينكد إن"، أن البيانات تكشف تعرض نحو 74 ألف جهاز "فورتي نت" للاختراق، موزعة على أكثر من 21 ألف عنوان IP في 194 دولة، مع تسريب بيانات الاعتماد الخاصة بها بصيغتها الأصلية غير المشفرة عبر الإنترنت.
وقال إنه عثر على هذه البيانات بعد تمكنه من الوصول إلى خادم القيادة والتحكم والبنية التحتية التي استخدمها المهاجمون لإدارة عملياتهم.
ولم تقتصر المعلومات المسربة على أسماء المستخدمين وكلمات المرور، بل تضمنت أيضاً تفاصيل عن المؤسسات المتضررة، بما في ذلك القطاع الذي تنتمي إليه، وإيراداتها السنوية، وعدد موظفيها.
ويشير حجم هذه البيانات إلى أن المهاجمين لم يكونوا يستهدفون مؤسسات بعينها، بل كانوا يجمعون معلومات على نطاق عالمي؛ بهدف بناء قاعدة بيانات ضخمة، يمكن استخدامها لاحقاً في عمليات اختراق أوسع وأكثر تعقيداً.
بيانات حقيقية
قال الباحث الأمني المستقل كيفن بومونت إن "معظم" الأجهزة التي ظهرت في سجلات المهاجمين كانت لا تزال متصلة بالإنترنت حتى صباح الأربعاء، ما يعني أن عدداً كبيراً من الأنظمة المتضررة لم يكن قد اتخذ إجراءات لمعالجة الاختراق.
وأضاف بومونت أنه تواصل مع عدد من المؤسسات التي وردت في السجلات المسربة، وتمكن من التحقق من أن بيانات الاعتماد المدرجة حقيقية وحديثة، وليست بيانات قديمة، أو غير فعالة.
وأشار إلى أن المهاجمين لم يكتفوا بالوصول إلى أجهزة الحماية نفسها، بل تمكنوا في كثير من الحالات من اختراق أنظمة المصادقة المركزية داخل المؤسسات، بما في ذلك خوادم راديوس (Radius)، وخدمات مايكروسوفت أكتيف دايركتوري (Microsoft Active Directory).
وبحسب تقديرات الباحثين، فإن عدد الأجهزة المتضررة يمثل نحو نصف جميع جدران الحماية التابعة لشركة Fortinet المتصلة مباشرة بالإنترنت، استناداً إلى بيانات الرصد المتاحة عبر منصة Shodan المتخصصة في فهرسة الأجهزة المتصلة بالشبكة العالمية.
شبكات حساسة للغاية
وصفت شركة هدسون روك (Hudson Rock) المتخصصة في الأمن السيبراني حجم العملية بأنه استثنائي، مؤكدة أن تداعياتها تمتد إلى مختلف قطاعات الاقتصاد العالمي تقريباً دون استثناء.
وقالت الشركة إن الجهات المسؤولة عن الهجوم نجحت في إنشاء قاعدة بيانات موثقة، تضم بيانات دخول سرية فعالة، وقابلة للاستخدام تخص بعض أكبر المؤسسات على مستوى العالم، وهو ما يمنح المهاجمين، أو أي جهات أخرى تصل إلى هذه البيانات فرصة للوصول إلى شبكات حساسة للغاية.
ودعا دياتشينكو، وبومونت، وباحثو هدسون روك جميع مستخدمي أجهزة فورتي نت إلى البدء فوراً في فحص الشبكات، والأنظمة بحثاً عن أي مؤشرات تدل على التعرض للاختراق، أو إساءة استخدام بيانات الاعتماد.
كيف بدأ الاختراق؟
تشير تحقيقات الأمن السيبراني إلى أن المهاجمين بدأوا حملتهم من خلال تنفيذ عمليات مسح واسعة النطاق للإنترنت، بحثاً عن نقاط تسجيل الدخول البعيدة الخاصة بأجهزة فورتي جيت (FortiGate).
وبعد تحديد الأهداف المحتملة، استخدمت المجموعة برنامجاً مخصصاً، يعمل عبر 25 ألف مسار معالجة متزامن، لتنفيذ هجمات تخمين جماعية على نطاق واسع ضد مئات الآلاف من نقاط الدخول المختلفة.
واعتمدت العملية على تجربة آلاف التركيبات المحتملة، من أسماء المستخدمين، وكلمات المرور بصورة آلية، حتى يتم العثور على بيانات صحيحة تسمح بتسجيل الدخول.
وبمجرد نجاح أي محاولة، كان المهاجمون يحصلون على ما وصفه الباحثون بأنه "نقطة تنصت داخل المؤسسة"، تمنحهم رؤية مباشرة للشبكة الداخلية، وتوفر أساساً للانتقال إلى مراحل أكثر تقدماً من الاختراق.
"عنقود" حوسبة فائقة
أوضحت "هدسون روك" أن المهاجمين انتقلوا بعد ذلك إلى مرحلة أكثر تطوراً، تمثلت في اعتراض تجزئات المصادقة الخاصة بخدمة SSL VPN، ثم العمل على كسرها باستخدام بنية حوسبية ضخمة، تضم 45 وحدة معالجة رسومية مخصصة لهذا الغرض.
وكانت هذه البنية تُدار بواسطة منصة هاشتوبوليس (Hashtopolis)، وهي منصة تستخدم لتنسيق عمليات كسر كلمات المرور، وإدارة موارد الحوسبة المخصصة لها.
وتعتمد هذه العملية على تجربة أعداد هائلة من كلمات المرور المحتملة حتى العثور على الكلمة المطابقة للتجزئة المشفرة. وبعد النجاح في استخراج كلمات المرور الصحيحة، استخدمها المهاجمون للتنقل داخل الشبكات المخترقة، والوصول إلى بيئات، وأنظمة المصادقة المركزية الأخرى والسيطرة عليها.
اليابان والعراق وتركيا
قالت "هدسون روك" إن هذه المنهجية الهجومية أدت إلى نتائج فعلية وخطيرة على أرض الواقع، مشيرة إلى أن أبحاث دياتشينكو أكدت وقوع اختراقات كاملة لشبكات عدد من المؤسسات في اليابان، وتايوان، وفيتنام، والعراق، وتركيا.
وأضافت الشركة أن أخطر الحالات التي تم التحقق منها تتعلق بمتعهد دفاعي تركي يعمل مع حلف "الناتو"، حيث نجحت المجموعة في استخراج وثائق دفاعية سرية من شبكاته.
وفي تعليقه على الحادثة، قال دياتشينكو إن "حجم العملية هو مصدر تعقيدها الحقيقي"، في إشارة إلى أن اتساع نطاق الهجوم كان عاملاً أساسياً في نجاحه، إلى جانب الأدوات التقنية المستخدمة.
نظام اختراق يتطور ذاتياً
لم تقتصر العملية على استخدام قدرات حوسبية ضخمة فحسب، بل كشفت التحقيقات عن تطوير المهاجمين نظاماً متقدماً، وصف بأنه "نظام تكراري متعدد المستويات قائم على التغذية الراجعة"، ويتكون من 12 طبقة متداخلة.
ويعني ذلك أن المهاجمين لم يعتمدوا على قاموس ثابت لكلمات المرور، بل استخدموا قواميس مخصصة تحتوي أحياناً على عبارات تصل إلى 8 كلمات كاملة، إضافة إلى أنماط الكتابة الشائعة على لوحات المفاتيح، وقواعد متقدمة لتوليد كلمات مرور جديدة.
وكانت كل كلمة مرور يتم اكتشافها بنجاح تُعاد إلى النظام، باعتبارها نقطة انطلاق لإنتاج احتمالات إضافية، ما جعل عملية التخمين تتحسن باستمرار مع كل عملية تخمين ناجحة.
أخطاء هواة
أوضح دياتشينكو أن المهاجمين أظهروا مستوى لافتاً من الابتكار في هذا الجانب، مؤكداً أن آليات كسر كلمات المرور كانت تتطور ذاتياً أثناء تنفيذ الحملة.
رغم التعقيد التقني الذي أظهرته العملية، فإن الباحثين أشاروا إلى أن المجموعة ارتكبت أخطاء أساسية في مجال الأمن التشغيلي؛ فقد ترك المهاجمون آثاراً وبيانات حساسة على الخوادم التي استخدموها لإدارة عملياتهم، وهو ما سمح للباحثين بالوصول إلى معلومات واسعة بشأن نشاطهم، والبنية التحتية المستخدمة في الهجوم.
ووفقاً للباحثين، فإن مثل هذه الأخطاء تُعد في أوساط القراصنة "مؤشراً على ضعف ممارسات الأمن التشغيلي"، وغالباً ما توصف بأنها أخطاء يرتكبها هواة رغم القدرات التقنية المتقدمة التي أظهرتها المجموعة.
الدول الأكثر تضرراً
أظهرت بيانات "هدسون روك" أن الدول التي سجلت أكبر أعداد من الأجهزة المخترقة كانت الهند، والولايات المتحدة، وتايوان، والمكسيك، وتركيا، وتايلندا.
وأوضحت التحليلات أن أكثر القطاعات تضرراً شملت خدمات تقنية المعلومات، ومواد البناء، والاتصالات والإنشاءات، والهندسة، والمعدات الصناعية، والخدمات المالية.
وكشفت قاعدة البيانات أيضاً عن وجود معلومات تخص عدد من الشركات العالمية البارزة، منها فوكسكون، وسامسونج، وكومكاست، وسيمنز، وبي دبليو سي، وأكسنتشر.
وأضافت "هدسون روك" أن السجلات تضم كذلك بيانات تخص آلاف المؤسسات الأخرى، بما في ذلك جهات حكومية رئيسية، ومشغلو بنى تحتية حيوية.
نصائح خبراء الأمن السيبراني
يؤكد خبراء الأمن السيبراني أن جدران الحماية ظلت لسنوات طويلة من أكثر نقاط الدخول المفضلة للمهاجمين الإلكترونيين؛ لأنها تستقبل الاتصالات القادمة مباشرة من الإنترنت، وتقع على الحدود الخارجية للشبكات المؤسسية، وفي الوقت نفسه تمتلك إمكانية الوصول إلى أنظمة وموارد داخلية عالية القيمة.
ويحذر الباحثون من أن خطورة هذه الحادثة لا ترتبط فقط بالمجموعة التي نفذت الاختراق، بل تمتد إلى احتمال وصول جهات تهديد أخرى إلى البيانات نفسها؛ فمع توافر قاعدة البيانات على الإنترنت، قد يتمكن مجرمون إلكترونيون آخرون من استغلالها لتنفيذ عمليات اختراق إضافية ضد المؤسسات المتضررة.
ولهذا السبب، يشدد الخبراء على ضرورة أن تبادر المؤسسات التي تستخدم حلول "فورتي نت" إلى مراجعة سجلاتها الأمنية بصورة عاجلة، والتحقق من سلامة أنظمة المصادقة المركزية، وتغيير بيانات الاعتماد الحساسة، والبحث عن أي مؤشرات تدل على وجود نشاط غير مصرح به داخل الشبكات.
تصنيفات
