جهات تهديد تخترق شركات عالمية عبر بيانات سحابية مسربة من إصابات برامج سرقة المعلومات

كشفت تقارير أمنية حديثة عن اختراق عشرات الشركات العالمية الكبرى عبر وسيلة هجوم بسيطة ولكنها مدمرة، تتمثل في سرقة بيانات الاعتماد الخاصة بالموظفين.

ويستغل جهات فاعلة في سرقة بيانات الاعتماد، تعمل تحت أسماء مستعارة مثل “Zestix” و “Sentap”، الوصول إلى منصات التخزين السحابي الخاصة بحوالي 50 منظمة دولية، بما في ذلك ShareFile و Nextcloud و OwnCloud.

امتدت هذه الانتهاكات لتشمل قطاعات حيوية مثل الطيران، والدفاع الروبوتي، والرعاية الصحية، والتمويل، والبنية التحتية الحكومية، مما أدى إلى تسريب تيرابايتات من البيانات الحساسة.

تُظهر سلسلة الهجمات هذه واقعًا مقلقًا في مجال الأمن السيبراني الحديث. فالموظفون يقومون، عن غير قصد، بتنزيل ملفات خبيثة تقوم بتشغيل برامج سرقة المعلومات (infostealers) مثل RedLine و Lumma و Vidar.

تقوم هذه البرامج الخبيثة بجمع بيانات الاعتماد المحفوظة وسجل التصفح من الأجهزة المصابة بهدوء. وبعد استخراجها، يتم تجميع هذه السجلات في قواعد بيانات ضخمة على الويب المظلم.

ثم يقوم “Zestix”، وغيره من الجهات الفاعلة، بالبحث في هذه المستودعات عن عناوين URL الخاصة بالشركات والبنية التحتية السحابية، مستخدمين بيانات الاعتماد المسروقة للوصول غير المصرح به إلى أنظمة المؤسسات.

آلية سرقة بيانات الاعتماد وطرق التحايل

يشير محللو وخبراء سرقة المعلومات إلى أن الثغرة الأمنية الأكثر خطورة التي مكّنت هذه الانتهاكات لم تكن استغلالًا معقدًا أو ثغرة يوم صفر (zero-day)، بل كان غياب المصادقة متعددة العوامل (MFA) بشكل أساسي.

فشلت المؤسسات في تطبيق هذا الإجراء الأمني القياسي، مما سمح للمهاجمين بالدخول بسهولة باستخدام اسم مستخدم وكلمة مرور صحيحين فقط. ومن المثير للقلق أن بعض بيانات الاعتماد ظلت موجودة في سجلات البرامج الخبيثة لسنوات، مما خلق فرصة لم تتمكن المؤسسات من اغتنامها.

تبدأ دورة العدوى بخمس مراحل يجب على متخصصي الأمن السيبراني فهمها. أولاً، يتلقى الموظف ملفًا يبدو شرعيًا عبر البريد الإلكتروني أو يقوم بتنزيل ما يبدو أنه برنامج قياسي.

ثانيًا، يتم تشغيل برنامج سرقة المعلومات في الذاكرة، وغالبًا ما يتجنب الكشف من قبل أدوات الأمان لأنه يعمل ضمن عمليات مشروعة. ثالثًا، يقوم البرنامج الخبيث بفحص مساحات تخزين المتصفح، ومديري كلمات المرور، وبيانات الاعتماد المخزنة مؤقتًا من تطبيقات مثل Outlook و Teams.

رابعًا، يتم تشفير جميع البيانات المسروقة ونقلها إلى خوادم القيادة والتحكم. وأخيرًا، يقوم الجهات الفاعلة بتحليل آلاف قواعد بيانات بيانات الاعتماد المسروقة، مع التركيز تحديدًا على البنية التحتية للشركات مثل مشاركات الملفات السحابية وأنظمة تخطيط موارد المؤسسات (ERP).

ما يجعل هذا النهج خطيرًا بشكل خاص هو حجمه وتكلفته المنخفضة. يعمل “Zestix” كوسيط للوصول الأولي (Initial Access Broker)، حيث يبيع بيانات الاعتماد للوصول إلى الشركات مقابل عملة البيتكوين أو المونيرو (Monero) على المنتديات السرية.

لقد فشلت المؤسسات ليس لأنها تفتقر إلى برامج الوعي الأمني، بل لأنها لم تفرض المصادقة متعددة العوامل الإلزامية على جميع الأنظمة الحيوية. الحل بسيط: النشر الفوري للمصادقة متعددة العوامل، جنبًا إلى جنب مع مراقبة بيانات الاعتماد المخترقة في سجلات برامج سرقة المعلومات قبل أن يستغلها المهاجمون.