أفادت تقارير بأن مجموعة قراصنة تُعرف باسم “إفرست” (Everest) ادعت اختراقاً كبيراً لأنظمة شركة نيسان موتور المحدودة، مما يثير مخاوف جديدة بشأن أمن البيانات لدى كبرى شركات صناعة السيارات.
ووفقاً للمعلومات الأولية، ذكرت المجموعة السيبرانية أنها تمكنت من استخلاص ما يقرب من 900 جيجابايت من البيانات الحساسة من شركة صناعة السيارات اليابانية، وهو حجم يشير إلى وصول واسع إلى الأنظمة والمستودعات الداخلية.
و تسلط هذه الحادثة، رغم أن نطاق الاختراق الكامل لا يزال غير واضح، الضوء على استمرار استهداف برامج الفدية وعصابات سرقة البيانات لسلاسل التوريد العالمية وبيانات الصناعات القيمة.
ظهرت مؤشرات أولية على وقوع الاختراق عبر منتديات تحت الأرض، حيث يُزعم أن المجموعة شاركت عينات من دليل الاختراق لدعم مزاعمها.
قد تتضمن هذه العينات مستندات داخلية، أو ملفات هندسية، أو سجلات تتعلق بالعملاء، إلا أن هذا لم يتم تأكيده بعد.
ويشير المحللون إلى أن مثل هذه التسريبات غالباً ما تُستخدم كأوراق ضغط في مخططات الابتزاز المزدوج، حيث يقوم المهاجمون بتشفير البيانات ويهددون بنشرها في آن واحد.
عمليات مجموعة إفرست الاختراقية
حدد محللو “هاكمانك” (Hackmanac) الاختراق المزعوم وأصدروا تنبيهاً مبكراً بشأن الهجوم السيبراني، مشيرين إلى عمليات التصنيع لشركة نيسان في اليابان كهدف أساسي، وحذروا من أن الحادث لا يزال قيد التحقق.
من حيث نواقل الهجوم، يبدو النشاط متماشياً مع الأساليب الشائعة التي تستخدمها المجموعات التي تركز على سرقة البيانات، والتي تسعى للحصول على الوصول الأولي عبر الخدمات عن بعد المكشوفة، أو بيانات اعتماد الشبكة الافتراضية (VPN) المسروقة، أو حملات التصيد الاحتيالي.
بمجرد الدخول، يقوم المهاجمون عادةً بالحركة الجانبية، ورسم خرائط للشبكة، والبحث عن خوادم الملفات، ومستودعات الأكواد، والبنية التحتية للنسخ الاحتياطي.
في العديد من هذه الحالات، يقومون بنشر برامج نصية مخصصة لأتمتة جمع البيانات القيمة وتجهيزها قبل استخلاصها.
بينما قد يمثل هذا تسريباً نموذجياً للصفحة المستخدمة لعرض الملفات والمجلدات المسروقة للمشترين المحتملين أو للضغط على الضحية.
سير عمل استخلاص البيانات المشتبه به
في حين أن المؤشرات التقنية لهذا الحادث المحدد لشركة نيسان لا تزال قيد الظهور، فإن خطة عمل “إفرست” الأوسع تشير إلى مسار منظم لاستخلاص البيانات يمكن للمدافعين دراسته ومحاكاته في محاكاة مختبرية.
بعد اكتساب موضع قدم على مضيف مخترق، تقوم البرامج الضارة أو برامج المشغل عادةً بإحصاء المشاركات المركبة والمحركات المتاحة، وبناء قائمة مستهدفة للمسارات مثل خوادم المالية، ومشاركات الهندسة، وأنظمة إدارة المستندات.
يمكن أن يبدو روتين الإحصاء المبسط بأسلوب PowerShell كالتالي:
Get-SmbShare | ForEach-Object {
Get-ChildItem "\$env:COMPUTERNAME$_" -Recurse -ErrorAction SilentlyContinue |
Where-Object { $_.Length -gt 5MB } |
Out-File "C:ProgramDatatarget_files.txt" -Append
}في العديد من الحملات، يقوم المهاجمون لاحقاً بضغط البيانات المجهزة إلى أرشيفات واستخلاصها عبر HTTPS أو عبر أنفاق إخفاء الهوية إلى خوادم القيادة والتحكم، وغالباً ما يتم مزجها مع حركة المرور الخارجية العادية.