هجوم يوم الصفر يدق ناقوس الخطر من جديد

إختراق نظام Accellion FTA .. أكثر من 100 شركة عالمية تتعرض للابتزاز من عصابات الفدية.

هجمة شرسة وعلى قدر كبير من الاحترافية تتعرض لها شركة Accellion Inc. للحلول السحابية -والمتخصصة في مجال تأمين نقل الملفات، ومقرها ولاية كاليفورنيا الأمريكية- وذلك من خلال استغلال المهاجمين لأربعة ثغرات أمنية بنظام نقل الملفات الآمن(FTA)،  والتي تمت على مرحلتين فيما يعرف بهجوم يوم الصفر، مما يعكس براعة المهاجمين وتطور أساليبهم وإلمامهم العميق بخبايا النظام (FTA) والتي على الأرجح نتاج الهندسة العكسية الشاملة للنظام.

نجحت تلك الهجمات والتي بدأت أُولاها في منتصف ديسمبر 2020، وتلتها الهجمة الثانية في يناير 2021 في اختراق ما يقرب من 100 شركة من الشركات التي تستخدم نظام Accellion وسرقة ملفات هامة منها، وقد شاركت في الهجمات مجموعة التهديد FIN11 وعصابة CLOP ransomware المعروفة، والذين قاموا بتهديد الضحايا عبر رسائل بريد إلكترونية طلباً لفدية مالية ضخمة مقابل عدم نشر الملفات.

قائمة ضخمة تضم العديد من أسماء الضحايا الذين تضرروا جراء هذا الاختراق، ومن بينهم سلسلة السوبرماركت العملاقة Kroger، والبنك الاحتياطي النيوزيلندي، ومعهد QIMR Berghofer للأبحاث الطبية، ولجنة الأوراق المالية والاستثمارات الأسترالية ASIC، وشركة الاتصالات البارزة Singtel بسنغافورة، ومكتب لجنة التدقيق والمُحاسبة بولاية واشنطن SAO وغيرهم، وقد تمكن موقع BleepingComputer التقني من تتبع المزيد من الضحايا الذي وصلتهم مطالبات الفدية، ومن بينهم شركة الخدمات التقنية ABS Group، وشركة Jones Day للمحاماة، وشركة Danaher للعلوم والتكنولوجيا والمدرجة بقائمة Fortune 500، وجامعة كولورادو،  وشركة Fugro العالمية المتخصصة في تحليل البيانات الجغرافية، ولا تزال القائمة طويلة.

وحري بالذكر أن مجموعة CLOP ransomware قد صرحت خلال تواصلها مع BleepingComputer -عقب إعلان الموقع عن خرق شركة الاتصالات Singtel– عن سرقة 73 جيجا بايت من البيانات خلال الهجوم، وقد رفضت المجموعة الإجابة عن تساؤل الموقع عن أسلوب الولوج لتلك البيانات.

وقد صرحت مصادر لموقع BleepingComputer عن تلقى مكتب الشحن الأمريكي ABS لتهديد دفع فدية مماثل عبر البريد الإلكتروني.

أعلنت شركة Accellion في الثاني عشر من شهر يناير 2021 -وبإيجاز شديد- أنها علمت بحدوث خرق أمنى في منتصف ديسمبر 2020 حيث تمكن  مهاجمين من استغلال ثغرة في نظام FTA، وهى تقنية قديمة تستخدمها المؤسسات الضخمة لنقل الملفات الكبيرة، وقد أصدرت الشركة تصحيحاً لهذا الخطأ في أقل من 72 ساعة، إلا أنه بحلول 20 يناير 2021 عاود المهاجمون الكَرّة بعدما أعدوا العُدّة  -وذلك عقب قيام Accellion بإصلاح الثغرتين الأمنيتين في هجوم يوم الصفر  الأول- بتكتيك جديد يستهدف ثغرتين مختلفتين، الأمر الذى علقت عليه الشركة لاحقاً ببيان موجز في الأول من فبراير بأن المهاجمين لم يستغلوا ثغرة واحدة بل ثغرات عدة، والتي سبق وأن صرحت الشركة بأنه تمت معالجتها جميعاً.

وقد أعلنت شركة Accellion في بيان صحفي أن أقل من مائة من بين ثلاثمائة عميل يستخدم نظامها القديم لنقل البيانات FTA قد تضرروا جراء الهجمات التي شنتها مجموعة CLOP ومجموعة FIN11، بيد أن أكثر المتضررين والذين عانوا من فداحة انتهاك وسرقة البيانات لا يربو على 25 عميلاً.

وعلى خلاف تصريح الشركة بشأن عدد ضحايا الهجوم، فإن الإعلانات المتلاحقة من مستخدمي FTA حول العالم تشير إلى أن عدد الضحايا أكبر بكثير.

هذا وتسعى الشركة في معالجة كافة الثغرات ضمن جهود التخفيف من آثار الهجوم، وتحث جميع عملائها على سرعة استبدال النظام القديم والانتقال لنظامها الحديث Kiteworks الأكثر أمناً، كما كلفت شركة FireEye Mandiant للأمن السيبرانى للتحقيق في تلك الحادثة.

وقد كشفت التحقيقات الأمنية التي استغرقت 22 يوماً متتالية عن وجود 4 ثغرات أمنية بنظام FTA تم استغلالها من قبل المهاجمين في منتصف ديسمبر عام 2020 -والتي تمت معالجتها تماماً- كما نسبت الشركة الهجوم إلى مجموعتين، الأولى UNC2546 وهى المسئولة عن اختراق نظام FTA، والثانية UNC2582 وهى المسئولة عن ابتزاز ضحايا الاختراق والتي يتم ملاحقتها حالياً.

وقد استغل المهاجم الأول تلك الثغرات لتثبيت سكربت خبيث – وهو نص برمجي يتيح تنفيذ الأوامر عن بُعد– على أي خادم يقوم بتشغيل نظام FTA، وهو المسئول عن سحب البيانات من شبكات الضحايا، والتي أسمته Mandiant باسم DEWMODE، وقد كشفت القياسات التي أُجريت خلال الفحص أنه مُصَمم لاستخراج قائمة بأسماء الملفات المتاحة والبيانات الوصفية الخاصة بها من قاعدة بيانات MySQL بنظام Accellion لنقل الملفات، ثم يقوم بتحميل الملفات المُدرجة بتلك القائمة بواسطة DEWMODE، وبمجرد انتهاء تحميل البيانات تقوم DEWMODE بحذف سجلات نظام FTA  لمساعدة المهاجمين على إخفاء مسارات الهجوم.

ووفقاً لتصريحات Mandiant أن تثبيت النص البرمجي في المكان الذي اختاره المهاجم خلال في المرة الأولى كان له أثر –لم يكن معروفاً أو متوقعاً للمُهاجِم- تمثل في تعطيل نظام الكشف عن النشاطات الخبيثة بنظام FTA، والذي بمجرد توقفه عن العمل يقوم بإرسال بريداً الكترونياً للمسئول عن النظام لدى العميل منبهاً إياه على سرعة التواصل مع Accellion للحصول على الدعم الفني اللازم، والذي وفقاً لتصريحات Accellion كان سبب معرفتهم بحادثة ديسمبر.

وأضافت Mandiant أنه في حادثة يناير قام المهاجم بتغيير مكان الملف من أجل تفادى تعطيل نظام الكشف المدمج، ويبدو أن التغيير التكتيكي قد تم في 20 يناير كما تشير الدلائل.

كما وصفت الشركة نمط المهاجم الثاني بأنه يتسم بممارسة الضغوط بشكل مطرد على الضحايا، إذ يبدأ بإرسال رسائل تهديد إلكترونية إلى عدد قليل من الأشخاص من عنوان بريد إلكتروني واحد، ثم تنهال الرسائل على قطاع واسع من الأشخاص بداخل المؤسسة المُستهدفة من مئات الآلاف من عناوين البريد الإلكتروني. وقد أظهرت البيانات -والتي تم نشرها لعدد قليل من الضحايا على موقع CLOP بالويب المظلم والذي تديره مجموعة FIN11– جدية المهاجمين في تنفيذ وعيدهم.

وقد صرح تشارلز كارماكال، النائب الأول لرئيس شركة FireEye Mandiant ورئيس قسم التكنولوجيا بها أن نشاط مجموعة FIN11 الخبيث قد اتسم بوتيرة عالية خلال عامي 2019 و2020 حيث قامت بعمليات تصيد “Phishing” واسعة النطاق مُستهدفة مجموعة كبيرة من المؤسسات الضخمة في مُختلف القطاعات في العديد من أرجاء العالم، والتي لم نلاحظها خلال 2021 حتى الآن، ولكنه ليس مستبعداً أن تُوقف تلك المنظمات نشاطاتها الاجرامية لمدة شهر أو شهرين. 

وقد قامت شركة Accellion بترقية نظامها القديم إلى إصدار أحدث وهو FTA 9.12.444، والذي قامت شركة Mandiant باختباره في الأول من مارس 2021 للتأكد من خلوه من أي ثغرات أمنية.

وفى الوقت الراهن، لا تمتلك Mandiant القدر الكافي من المعلومات التي تنسب أياً من الجناة UNC2546 أو UNC2582 لدولة بعينها.

Please follow and like us:

اترك تعليقاً