GettyImages
تقع المنظمات الكبيرة والصغيرة فريسة للاستغلال الجماعي لثغرة خطيرة في برنامج نقل الملفات واسع الاستخدام. بدأ الاستغلال خلال عطلة يوم الذكرى – بينما كانت نقطة الضعف الحرجة لا تزال صفرًا – وتستمر الآن ، بعد حوالي تسعة أيام.
اعتبارًا من مساء يوم الاثنين ، عُرف أن خدمة كشوف المرتبات Zellis ، ومقاطعة نوفا سكوشا الكندية ، والخطوط الجوية البريطانية ، وبي بي سي ، وشركة بوتس البريطانية ، قد سُرقت بياناتها من خلال الهجمات ، والتي تغذيها ثغرة أمنية تم تصحيحها مؤخرًا في MOVEit ، مزود نقل الملفات الذي يقدم الخدمات السحابية والمحلية. تعرضت كل من نوفا سكوشا وزيليس لخرق مثيلاتها أو خدماتها السحابية. كانت الخطوط الجوية البريطانية ، وبي بي سي ، وبوتس من عملاء زيليس. نُسبت جميع أنشطة القرصنة إلى نقابة الجريمة الناطقة بالروسية.
منتشر وكبير نوعا ما
على الرغم من العدد الصغير نسبيًا للانتهاكات المؤكدة ، يصف الباحثون الذين يراقبون الهجمات المستمرة الاستغلال بأنه واسع الانتشار. إنهم يشبهون عمليات الاختراق بسرقات التحطيم والاستيلاء ، حيث يتم كسر نافذة ويمسك اللصوص بكل ما في وسعهم ، ويحذرون من أن عمليات السرقة سريعة الحركة تصيب البنوك والوكالات الحكومية وأهداف أخرى بأعداد كبيرة تنذر بالخطر.
كتب ستيفن أدير ، رئيس شركة الأمن Volexity ، في رسالة بريد إلكتروني: “لدينا عدد قليل من العملاء الذين كانوا يديرون MOVEit Transfer مفتوحًا على الإنترنت ، وقد تعرضوا جميعًا للخطر”. الأشخاص الآخرون الذين تحدثنا إليهم رأوا نفس الشيء.
تابع أدير:
لا أريد تصنيف عملائنا في هذه المرحلة لأنني لا أعرف ما هو كل شيء من حيث من يقوم بتشغيل البرنامج ومنحه. ومع ذلك ، فإن المنظمات الضخمة والصغيرة على حد سواء هي التي تعرضت للضرب. تضمنت جميع الحالات التي نظرنا فيها مستوى معينًا من استخراج البيانات. عادةً ما ينتزع المهاجمون الملفات من خوادم MOVEit بعد أقل من ساعتين من الاستغلال والوصول إلى shell. نعتقد أن هذا كان على نطاق واسع على الأرجح وأن عددًا كبيرًا من خوادم MOVEit Transfer التي كانت تشغل خدمات الويب المواجهة للإنترنت قد تم اختراقها.
قالت كيتلين كوندون ، كبيرة مديري الأبحاث الأمنية التي تقود الذراع البحثية لشركة Rapid7 الأمنية ، إن فريقها عادة ما يحتفظ بمصطلح “تهديد واسع النطاق” للأحداث التي تشمل “العديد من المهاجمين ، والعديد من الأهداف”. الهجمات الجارية ليس لها أي منهما. حتى الآن لا يوجد سوى مهاجم واحد معروف: Clop ، وهي مجموعة ناطقة بالروسية من بين أكثر الفاعلين انتشارًا ونشاطًا في برامج الفدية. ومع قيام محرك البحث Shodan بفهرسة 2510 من حالات MOVEit التي تواجه الإنترنت فقط عندما بدأت الهجمات ، فمن العدل القول أنه لا توجد “أهداف كثيرة” نسبيًا.
ومع ذلك ، في هذه الحالة ، يقوم Rapid7 بعمل استثناء.
“لا نرى الجهات الفاعلة في تهديد السلع الأساسية أو المهاجمين ذوي المهارات المنخفضة يرمون الثغرات هنا ، ولكن استغلال الأهداف عالية القيمة المتاحة على مستوى العالم عبر مجموعة واسعة من أحجام المؤسسات والعمودية والمواقع الجغرافية يساعدنا على تصنيف هذا كتهديد واسع الانتشار “، أوضحت في رسالة نصية.
وأشارت إلى أن يوم الاثنين هو يوم العمل الثالث الوحيد منذ أن أصبح الحادث معروفًا على نطاق واسع وأن العديد من الضحايا قد يعلمون الآن فقط أنهم تعرضوا للخطر. وكتبت: “نتوقع أن نرى قائمة أطول بالضحايا تظهر مع مرور الوقت ، لا سيما عندما تدخل المتطلبات التنظيمية للإبلاغ حيز التنفيذ”.
وفي الوقت نفسه ، الباحث المستقل كيفين بومونت ، قال على وسائل التواصل الاجتماعي ليلة الأحد: “كنت أتتبع هذا – هناك عدد مزدوج من المؤسسات التي سُرقت بياناتها ، بما في ذلك العديد من المؤسسات الحكومية والمصرفية الأمريكية.”
تنبع ثغرة MOVEit من ثغرة أمنية تسمح بحقن SQL ، وهي واحدة من أقدم وأشهر فئات الثغرات. غالبًا ما يتم اختصارها باسم SQLi ، وتنبع هذه الثغرات الأمنية عادةً من فشل أحد تطبيقات الويب في مسح استعلامات البحث وإدخال المستخدم الآخر للأحرف التي قد يعتبرها التطبيق أمرًا. من خلال إدخال سلاسل مصممة خصيصًا في حقول مواقع الويب المعرضة للخطر ، يمكن للمهاجمين خداع تطبيق ويب لإعادة البيانات السرية ، أو منح امتيازات النظام الإداري ، أو تخريب طريقة عمل التطبيق.
الجدول الزمني
وبحسب منشور نشرته شركة الأمن مانديانت يوم الاثنين ، فإن أولى العلامات على فورة استغلال Clop حدثت في 27 مايو. وفي بعض الحالات ، حدثت سرقة البيانات في غضون دقائق من تثبيت Webshell المخصص الذي تم تعقبه باسم LemurLoot ، كما قال الباحثون. اضافوا:
Mandiant على علم بالعديد من الحالات التي تمت فيها سرقة كميات كبيرة من الملفات من أنظمة نقل الضحايا MOVEit. يمكن لـ LEMURLOOT أيضًا سرقة معلومات Azure Storage Blob ، بما في ذلك بيانات الاعتماد ، من إعدادات تطبيق MOVEit Transfer ، مما يشير إلى أن الجهات الفاعلة التي تستغل هذه الثغرة الأمنية قد تسرق الملفات من Azure في الحالات التي يقوم فيها الضحايا بتخزين بيانات الجهاز في تخزين Azure Blob ، على الرغم من أنه من غير الواضح ما إذا كانت السرقة يقتصر على البيانات المخزنة بهذه الطريقة.
يتم إخفاء Webshell بأسماء ملفات مثل “human2.aspx” و “human2.aspx.lnk” في محاولة للتنكر كـ human.aspx ، وهو مكون شرعي لخدمة MOVEit Transfer. وقالت Mandiant أيضًا إنها “لاحظت العديد من طلبات POST التي تم تقديمها إلى ملف وصول الضيف الشرعي. aspx قبل التفاعل مع LEMURLOOT webshell ، مما يشير إلى أن هجمات SQLi كانت موجهة نحو هذا الملف.”
في 31 مايو ، بعد أربعة أيام من بدء الهجمات الأولى ، قام موفر MOVEit Progress بتصحيح الثغرة الأمنية. في غضون يوم واحد ، ظهرت منشورات على وسائل التواصل الاجتماعي تفيد بأن الثغرة الأمنية كانت تحت الاستغلال من قبل ممثل تهديد كان يقوم بتثبيت ملف اسمه human2. aspx في الدليل الجذر للخوادم المعرضة للخطر. وسرعان ما أكدت شركات الأمن هذه التقارير.
الإسناد الرسمي إلى أن كلوب يقف وراء الهجمات جاء يوم الأحد من شركة مايكروسوفت التي مرتبط الهجمات على “Lace Tempest” ، وهو الاسم الذي يستخدمه باحثو الشركة لتتبع عملية برامج الفدية التي تحافظ على موقع الابتزاز لمجموعة Clop ransomware. في غضون ذلك ، وجد Mandiant أن التكتيكات والتقنيات والإجراءات المستخدمة في الهجوم تتطابق مع تلك التي تتبعها مجموعة متتبعة باسم FIN11 ، والتي نشرت Clop ransomware في الماضي.
Clop هو نفس ممثل التهديد الذي استغل بشكل جماعي CVE-2023-0669 ، وهي ثغرة خطيرة في خدمة نقل ملفات مختلفة تُعرف باسم GoAnywhere. سمحت فورة القرصنة هذه لشركة Clop بإسقاط شركة أمن البيانات Rubik ، والحصول على معلومات صحية لمليون مريض من واحدة من أكبر سلاسل المستشفيات ، و (وفقًا لـ Bleeping Computer) أخذ الفضل في اختراق 130 منظمة. أكدت الأبحاث التي أجرتها شركة الأمن Huntress أيضًا أن البرامج الضارة المستخدمة في عمليات التطفل التي تستغل CVE-2023-0669 كانت لها روابط غير مباشرة مع Clop.
حتى الآن ، لا توجد تقارير معروفة عن ضحايا يتلقون طلبات فدية. ولم يذكر موقع الابتزاز التابع للنادي أي ذكر للهجمات حتى الآن. كتب باحثون من مانديانت: “إذا كان الهدف من هذه العملية هو الابتزاز ، فإننا نتوقع أن تتلقى منظمات الضحايا رسائل بريد إلكتروني ابتزاز في الأيام أو الأسابيع المقبلة”.
اكتشاف المزيد من عرب نيوز للتقنية
اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.
