يشهد عالم الأمن السيبراني تحولاً ملحوظاً في تكتيكات الجهات الفاعلة في التهديدات، حيث تتجه نحو استقطاب موظفين داخليين داخل المؤسسات بدلاً من الاعتماد على الأساليب التقليدية للهجوم. تأتي هذه التطورات في ظل تزايد استهداف القطاعات الحيوية مثل البنوك وشركات الاتصالات والتكنولوجيا.
كشفت تقارير حديثة عن استهداف موظفين في هذه القطاعات عبر منتديات الداركنت (Darknet) لعرض خدماتهم في بيع الوصول إلى شبكات الشركات، أجهزة المستخدمين، وأنظمة السحابة. تتراوح المبالغ المعروضة لهذه العمليات ما بين 3,000 دولار و 15,000 دولار، تبعاً لنوع الوصول أو البيانات المقدمة.
ظاهرة استقطاب الموظفين الداخليين
تشكل هذه الظاهرة المتنامية تحدياً أمنياً كبيراً للمؤسسات، حيث يمتلك الموظفون الداخليون القدرة على تعطيل الدفاعات، تسريب بيانات الاعتماد، أو تقديم معلومات حساسة تزيد من صعوبة منع الهجمات. تستهدف حملات الاستقطاب هذه بشكل خاص الصناعات التي تحتوي على بيانات ذات قيمة عالية.
تُعد بورصات العملات المشفرة مثل كوين بيس (Coinbase)، بينانس (Binance)، كراكن (Kraken)، وجيميني (Gemini) من بين الأهداف الرئيسية، إلى جانب البنوك الكبرى وشركات التكنولوجيا مثل آبل (Apple) وسامسونج (Samsung) وشاومي (Xiaomi). حتى أن إحدى القوائم على الداركنت عرضت دفع مقابل الوصول إلى أنظمة الاحتياطي الفيدرالي الأمريكي أو بنوك شريكة له.
من جهة أخرى، سعت دعوة أخرى إلى الحصول على تاريخ المعاملات الكامل من بنك أوروبي كبير. يبقى القطاع المالي هدفاً رئيسياً نظراً للوصول المباشر إلى الأموال وبيانات العملاء.
بعض المخططات تقترح اتفاقيات طويلة الأجل، مع عروض دفع أسبوعية تصل إلى 1,000 دولار لموظفين داخل مكاتب الضرائب الروسية. وفي السياق ذاته، يواجه موظفو الاتصالات اهتماماً خاصاً لقدرتهم على تسهيل عمليات تبديل شريحة SIM، مما يسمح للمجرمين باعتراض الرسائل القصيرة وتجاوز أنظمة المصادقة الثنائية.
حدد باحثون من شركة تشيك بوينت (Check Point) أن المكافآت للتعاون مع موظفي الاتصالات وصلت إلى 10,000 دولار و 15,000 دولار. غالباً ما تستخدم إعلانات الداركنت التلاعب العاطفي، حيث تحث بعض الإعلانات الموظفين على “الهروب من حلقة العمل اللانهائية” من خلال التعاون مع المهاجمين، ووعدهم بمكافآت تتراوح بين خمسة وستة أرقام.
تستهدف رسائل أخرى الموظفين القدامى ذوي الوصول المستقر للشبكة، وتقدم لهم التعاون الداخلي كمسار سريع للحرية المالية.
تفاصيل تقنية لعمليات الاستقطاب
تتبع عمليات استقطاب الموظفين الداخليين نهجاً منظماً عبر منصات داركنت وقنوات مشفرة متعددة. تنشر الجهات الفاعلة في التهديدات متطلبات وظيفية مفصلة تحدد نوع الوصول المطلوب، المؤسسات المستهدفة، وشروط الدفع. تظهر معظم منشورات الاستقطاب على منتديات الداركنت باللغة الروسية، على الرغم من أن بعض مجموعات برامج الفدية تستخدم قنوات تيليجرام تضم مئات الأعضاء للإعلان عن الفرص.
في يوليو الماضي، اكتشف باحثون مجموعة تيليجرام تضم 400 عضو تروج للوصول إلى بوابة برامج فدية وتشجع الموظفين الداخليين، ومتخصصي اختبار الاختراق، ووسطاء الوصول على الانضمام والاستفادة من الأنظمة المشفرة. تستخدم الدفعات العملات المشفرة بشكل حصري للحفاظ على السرية، وتعد البيتكوين (Bitcoin) والمونيرو (Monero) الخيارات المفضلة.
عادة ما يطلب المهاجمون إجراءات محددة مثل تعطيل برامج حماية نقاط النهاية (Endpoint Protection)، تقديم بيانات اعتماد VPN، تثبيت أدوات الوصول عن بعد، أو استخلاص قواعد البيانات التي تحتوي على سجلات العملاء. عرض أحد الإعلانات مجموعة بيانات تضم 37 مليون سجل لمستخدمي بورصات العملات المشفرة مقابل 25,000 دولار، مما يوضح كيفية تحقيق الربح من المعلومات المسروقة للهجمات الموجهة.