قالت شركة JumpCloud ، وهي خدمة إدارة تكنولوجيا المعلومات المستندة إلى السحابة والتي تدرج Cars.com و GoFundMe و Foursquare من بين عملائها الذين يدفعون 5000 عميل ، إلى خرق أمني قام به قراصنة يعملون لصالح دولة قومية ، حسبما قالت الشركة الأسبوع الماضي.
وكشفت الشركة يوم الأربعاء الماضي أن الهجوم بدأ في 22 يونيو / حزيران باعتباره حملة تصيد احتيالي. كجزء من تلك الحادثة ، قال جمب كلاود ، “فاعل التهديد المتطور الذي ترعاه الدولة القومية” تمكن من الوصول إلى جزء غير محدد من شبكة JumpCloud الداخلية. على الرغم من أن المحققين في ذلك الوقت لم يجدوا أي دليل على تأثر أي عملاء ، قالت الشركة إنها قامت بتدوير بيانات اعتماد الحساب ، وأعادت بناء أنظمتها ، واتخذت إجراءات دفاعية أخرى.
في 5 يوليو ، اكتشف المحققون أن الخرق يتضمن “نشاطًا غير عادي في إطار الأوامر لمجموعة صغيرة من العملاء”. استجابةً لذلك ، أجرى فريق الأمان في الشركة تناوبًا قسريًا لجميع مفاتيح واجهة برمجة تطبيقات المشرف وأبلغ العملاء المتأثرين.
بينما واصل المحققون تحليلهم ، وجدوا أن الخرق تضمن أيضًا “حقن بيانات في إطار عمل الأوامر” ، والذي وصفه الكشف بأنه “ناقل الهجوم”. لم يشرح الكشف العلاقة بين إدخال البيانات والوصول الذي تم الحصول عليه من خلال هجوم التصيد بالرمح في 22 يونيو. طلب Ars من JumpCloud PR الحصول على التفاصيل ، ورد الموظفون بإرسال نفس منشور الإفصاح الذي يحذف هذه التفاصيل.
وجد المحققون أيضًا أن الهجوم كان مستهدفًا للغاية ومقتصرًا على عملاء محددين ، لم تذكرهم الشركة.
تقول JumpCloud على موقعها على الإنترنت أن لديها قاعدة مستخدمين عالمية تضم أكثر من 200000 مؤسسة ، مع أكثر من 5000 عميل مدفوع. وهي تشمل Cars.com و GoFundMe و Grab و ClassPass و Uplight و Beyond Finance و Foursquare. جمعت JumpCloud أكثر من 400 مليون دولار من المستثمرين ، بما في ذلك Sapphire Ventures و General Atlantic و Sands Capital و Atlassian و CrowdStrike.
في إفصاح الأسبوع الماضي ، كتب بوب فان ، كبير مسؤولي أمن المعلومات في JumpCloud:
في 27 يونيو في تمام الساعة 15:13 بالتوقيت العالمي المنسق ، اكتشفنا نشاطًا شاذًا على نظام تنسيق داخلي قمنا بتتبعه إلى حملة تصيد احتيالي معقدة نفذها ممثل التهديد في 22 يونيو. وشمل هذا النشاط الوصول غير المصرح به إلى منطقة معينة من منطقتنا بنية تحتية. لم نر دليلًا على تأثير العميل في ذلك الوقت. بدافع الحذر الشديد ، قمنا بتناوب بيانات الاعتماد وأعدنا بناء البنية التحتية واتخذنا عددًا من الإجراءات الأخرى لزيادة تأمين شبكتنا ومحيطنا. بالإضافة إلى ذلك ، قمنا بتنشيط خطتنا المعدة للاستجابة للحوادث وعملنا مع شريكنا في الاستجابة للحوادث (IR) لتحليل جميع الأنظمة والسجلات الخاصة بالنشاط المحتمل. وفي هذا الوقت أيضًا ، وكجزء من خطة العلاقات الدولية الخاصة بنا ، اتصلنا بجهات إنفاذ القانون وأشركناها في تحقيقنا.
واصلت عمليات JumpCloud الأمنية ، بالتعاون مع شركائنا في العلاقات الدولية وإنفاذ القانون ، تحقيقات الطب الشرعي. في 5 يوليو الساعة 03:35 بالتوقيت العالمي المنسق ، اكتشفنا نشاطًا غير عادي في إطار عمل الأوامر لمجموعة صغيرة من العملاء. في هذا الوقت ، كان لدينا دليل على تأثير العميل وبدأنا العمل عن كثب مع العملاء المتأثرين لمساعدتهم في اتخاذ تدابير أمنية إضافية. قررنا أيضًا إجراء تدوير إجباري لجميع مفاتيح واجهة برمجة تطبيقات المشرف بدءًا من 5 يوليو الساعة 23:11 بالتوقيت العالمي المنسق. قمنا على الفور بإخطار العملاء بهذا الإجراء.
كشف التحليل المستمر عن ناقل الهجوم: حقن البيانات في إطار عمل الأوامر. كما أكد التحليل الشكوك في أن الهجوم كان مستهدفًا للغاية ومقتصرًا على عملاء محددين. ما تعلمناه سمح لنا بإنشاء قائمة بـ IOC (مؤشرات التسوية) التي لاحظناها لهذه الحملة ومشاركتها الآن.
هؤلاء هم أعداء متطورون ومستمرون يتمتعون بقدرات متقدمة. أقوى خط دفاع لدينا هو من خلال مشاركة المعلومات والتعاون. لهذا السبب كان من المهم بالنسبة لنا مشاركة تفاصيل هذا الحادث ومساعدة شركائنا على تأمين بيئاتهم الخاصة ضد هذا التهديد. سنواصل تعزيز تدابيرنا الأمنية لحماية عملائنا من التهديدات المستقبلية وسنعمل عن كثب مع حكومتنا وشركائنا في الصناعة لمشاركة المعلومات المتعلقة بهذا التهديد.
نشرت الشركة أيضًا قائمة بعناوين IP ، وأسماء المجالات ، وتجزئة التشفير التي يستخدمها المهاجم والتي يمكن للمؤسسات الأخرى استخدامها للإشارة إلى ما إذا كان المهاجمون مستهدفين أم لا. لم تقم JumpCloud بعد بتسمية بلد المنشأ أو تفاصيل أخرى حول مجموعة التهديد المسؤولة.
اكتشاف المزيد من عرب نيوز للتقنية
اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.
