مايكروسوفت و"أوكتا" تؤكدان اختراقهما على يد قراصنة "لابسوس"

بعد تحقيقات موسعة، اعترفت شركتا مايكروسوفت و"أوكتا" بتعرض أنظمتهما للاختراق على يد قراصنة $LAPSUS، في حين أشارت الشركتان إلى أنه لا توجد بيانات تتعلق بمستخدمين أو خدمات أو عملاء تعرضت لأي تسريب أو انتهاك للخصوصية.

وأشار شركة البرمجيات الأميركية العملاقة إلى أن فرقها المختصة بالأمن المعلوماتي رصدت تحركات "لابسوس" على مدى الأسابيع الماضية ضد عدد من الشركات الكبرى مثل نيفيديا وسامسونج ويوبيسوفت، ومؤخراً تم استهداف مايكروسوفت نفسها.

وأوضحت مايكروسوفت، في بيان، أن فريق القراصنة تمكّن من اختراق حساب واحد فقط لأحد الموظفين، ومن خلاله تمكّن من الوصول إلى بعض الأكواد المصدرية الخاصة بعدد من الخدمات، إلا أن فرق الأمن المعلوماتي لديها تمكنت من تعطيل الهجوم خلال إجرائه، ما أسهم في تقليل تأثيره.

وشددت الشركة على أن بيانات مستخدميها والأكواد البرمجية المتعلقة بها لم يتم المساس بها خلال الهجوم، مشيرة إلى أنها ستعمل على متابعة ورصد تحركات "لابسوس" خلال الفترة المقبلة، لتقديم أعلى مستويات الحماية لعملائها.

هجوم يناير

ولكن الوضع كان مختلفاً بعض الشيء مع شركة "أوكتا"، التي نشرت بياناً على موقعها أوضحت خلاله أن لقطات الشاشة التي نشرها فريق المخترقين الأيام الماضية، بعد أن حصل عليها من خلال هجوم تعرض له أحد المهندسين بشركة Sitel، وهي شركة طرف ثالث تقدم خدمات الدعم الفني لقطاع الأعمال.

وأشار ديفيد برابوري، رئيس الأمن المعلوماتي بأوكتا، إلى أنه في 20 يناير الماضي لُوحظت محاولة عبر جهاز حاسوبي غريب للدخول إلى حساب أحد مهندسي "سايتل" على منصة تابعة لـ"أوكتا"، وتم متابعة الأمر بشكل مباشر مع "سايتل" لحين التصدي للجهاز الذي تمت المحاولة من خلاله إلى منصة الشركة.

وبعد الاستعانة بشركة تقصي حقائق خارجية، جاء تقرير التحقيق بشأن الواقعة ليثبت أنه بالفعل قد تمكنت بعض العناصر الخارجية من الحصول على صلاحية الوصول إلى منصة "أوكتا" خلال الفترة بين 16 إلى 21 يناير.

وتلك الصلاحية مكّنت المخترقين من التحكم عن بعد في الحاسوب المصاب والتقاط عدة لقطات للشاشة، وهو ما تم تسريبها فيما بعد بواسطة "لابسوس".

اعتذر برابوري عن طول المدة التي استغرقها الأمر للتحقيق في الواقعة، حيث إن شركة تقصي الحقائق استغرقت الفترة بين 21 يناير و10 مارس لتقديم تقريرها النهائي، ومن ثم استغرقت "سايتل" 11 يوماً أخرى لرفع تقريرها الكامل حول الواقعة إلى "أوكتا".

وكانت الشركة قد راجعت بيانها، لتوضح أن بيانات 2.5% من إجمالي عملائها، والذين يبلغ عددهم 1500 شركة، قد تم تسريبها، أي حوالي 400 شركة.

وأشارت الشركة إلى أن الموظفين بشركات الطرف الثالث الخارجية لا يكون لديهم صلاحية الوصول إلى بيانات المستخدمين أو الأكواد المصدرية لخدماتها عبر منصات "أوكتا"، وإنما يتم إعطاؤهم حسابات تحمل أقل صلاحية ممكنة على منصاتها الإلكترونية، بما يساعدهم على إنجاز مهامهم وعملهم المنوطين به فقط.

يُذكر أن شركة "أوكتا" تعتبر من أهم الشركات المقدمة لخدمات التأمين وتوثيق الهوية والمصادقة متعددة المستويات لقطاع الأعمال والأفراد، ما يجعل اختراق أحد منصاتها ضربة أمنية قوية قد تؤثر على سلاسل التوريد في قطاعات متعددة.

السرقة والتخريب والابتزاز

وكشف تقرير فريق مايكروسوفت لتقصي التهديدات الإلكترونية MSTIC وفريق الرصد والرد السريع DART أن فريق "لابسوس"، والذي أشار إليه التقرير باسم DEV-0537، لا يستهدف حالياً الاختراق من أجل الحصول على فدية مالية، وإنما هدفه في المقام الأول هو سرقة البيانات والتخريب وابتزاز الضحايا.

كما أوضح التقرير أن الأساليب المستخدمة لشن هجمات "لابسوس" غير تقليدية في الهجمات ضد المؤسسات والشركات الكبرى، فاعتماد فريق الهاكرز الرئيسي يكون على أدوات مثل الهندسة الاجتماعية بواسطة مكالمات هاتفية وعمليات سحب خطوط الهاتف عبر شرائح الاتصالات SIM-swapping، ما يسهل الاستحواذ على عناوين البريد الإلكتروني والحسابات الاجتماعية للموظفين.

كذلك تضمنت الأساليب المفضلة لدى "لابسوس" تجنيد موظفين داخل الشركات المستهدفة لتسهيل نفاذهم إلى داخل الأنظمة الإلكترونية للضحايا، وكذلك ضمان تخطي عمليات المصادقة متعددة العوامل Multi-Factor Authentication.

اقرأ أيضاً: