برمجيات سرقة المعلومات تصل إلى كلمات مرور العالم
خلال الشهرين الماضيين، أعلن مجرمو الإنترنت عن بيع مئات الملايين من سجلات العملاء التابعة لشركات رئيسية مثل “تيكتماستر” (Ticketmaster)، و”سانتاندير بنك” (Santander Bank)، و”آيه تي اند تي” (AT&T). وفي حين كانت خروقات البيانات الضخمة حقيقة واقعة منذ أكثر من عقد من الزمان. فإن هذه الأمثلة الأخيرة تعتبر مهمة، لأن جميعها مترابطة.
كانت كل شركة ضحية لأحد عملاء شركة تخزين البيانات السحابية “سنو فليك” (Snowflake) واخترقت ليس عن طريق اختراق معقد، ولكن لأن المهاجمين حصلوا على بيانات تسجيل الدخول لحسابات سنو فليك الخاصة بكل شركة ضحية – وهي عملية سرقة بيانات أثرت على ما لا يقل عن 165 عميلا لشركة سنو فليك.
وكما ذكرنا، لم يحصل المهاجمون على هذه الكمية الكبيرة من بيانات تسجيل الدخول من خلال اختراق سنو فليك بشكل مباشرة أو من خلال هجوم موجه على سلسلة التوريد. فبدلا من ذلك، وجدوا أوراق الاعتماد في مجموعة من البيانات المسروقة بطريقة عشوائية تماما من خلال ما يعرف ببرمجيات سرقة المعلومات (InfoStealer).
ما برمجيات سرقة المعلومات “إنفو ستيلر”؟
برمجيات سرقة المعلومات، وكما يشير اسمها هي نوع من البرمجيات الضارة المصممة خصيصا لجمع المعلومات الحساسة من الأنظمة المصابة. تستهدف هذه الفئة من البرمجيات الخبيثة البيانات الشخصية والمالية والتجارية، التي قد تشمل كلمات المرور وأرقام بطاقات الائتمان وسجل التصفح ومعلومات قيمة أخرى.
الهدف النهائي لبرمجيات “إنفو ستيلر” هو نقل هذه البيانات المسروقة إلى مجرمي الإنترنت الذين يمكنهم استخدامها لتحقيق مكاسب مالية أو سرقة الهويات أو القيام بأنشطة غير قانونية أخرى.
غالبا ما تدخل برمجيات سرقة المعلومات إلى الأنظمة من خلال رسائل البريد الإلكتروني الاحتيالية أو المرفقات الضارة أو المواقع الإلكترونية المخترقة. وبمجرد تثبيتها، يمكنها العمل بهدوء في الخلفية مما يجعلها صعبة الاكتشاف بشكل خاص.
قد تستخدم أيضا تقنيات متنوعة لتجنب الاكتشاف والحفاظ على الاختراق والعثور على أهداف قيمة أخرى على الشبكة والسماح للمهاجمين بإصدار الأوامر عن بُعد.
كيف تؤثر على الشركات العالمية؟
يقول تشارلز كارماكال، المدير التقني لشركة مانديانت (Mandiant) للأمن السيبراني المملوكة لغوغل: “لقد شهدنا دولا قومية تستفيد من برمجيات سرقة المعلومات، ورأينا المجرمين وفرق الهاكرز المراهقين تستفيد منها أيضا”.
ومن بين العديد من الهاكرز الذين يستخدمون برمجيات إنفو ستيلر، هناك مجموعة “إيه بي تي 29” (APT29) الروسية وعصابات الجرائم السيبرانية مثل “لابسوس” (Lapsus) و”سكاترد سبايدر” (Scattered Spider). بعد أيام فقط من انقطاع خدمات “كراود سترايك” (CrowdStrike) العالمية، قام الهاكرز بإنشاء برمجية إنفو ستيلر جديدة في محاولة للاستفادة من الفوضى.
لقد كانت برمجيات سرقة المعلومات فعالة بشكل خاص مع بروز العمل عن بعد والعمل الهجين، حيث تتكيف الشركات للسماح للموظفين بالوصول إلى خدمات العمل من الأجهزة الشخصية والحسابات الشخصية من أجهزة العمل.
اشترك في
النشرة البريدية الأسبوعية: سياسة
حصاد سياسي من الجزيرة نت لأهم ملفات المنطقة والعالم.
وهذا يخلق فرصا لهذه البرمجيات باختراق الأفراد عشوائيا، على أجهزة الحاسوب مثلا. ولكن ينتهي بهم الأمر بالحصول على بيانات اعتماد الوصول الخاصة بالشركات لأن الشخص كان مسجلا الدخول إلى بعض أنظمة العمل الخاصة بهم أيضا.
كما يسهل ذلك على البرمجيات الخبيثة الخاصة بسرقة المعلومات تجاوز حمايات الشركات، حتى على أجهزة الشركة نفسها، في حال كان الموظفون قادرين على فتح حسابات بريد إلكتروني شخصية أو حسابات وسائل التواصل الاجتماعي الخاصة بهم.
يضيف كارماكال: “بدأت أهتم بهذه المشكلة بمجرد أن أصبحت مشكلة مؤسسية وخاصة عام 2020. لأنني بدأت أرى المزيد من عمليات اختراق الشركات تبدأ أولا من اختراقات أجهزة الحاسوب المنزلية عبر التصيد الاحتيالي لحسابات ياهو وحسابات جيميل وحسابات هوت ميل التي لم تكن مرتبطة بأي استهداف مؤسسي، ولكن بالنسبة لي تبدو انتهازية جدا”.
كما تقول فيكتوريا كيفيليفيتش، مديرة أبحاث التهديدات في شركة الأمن كيلا (KELA): إنه “في مختلف أسواق الجريمة الإلكترونية وتطبيق تليغرام (Telegram)، تمت مشاركة أكثر من 7 آلاف بيان اعتماد المرتبطة بحسابات سنوفليك المخترقة.
وفي إحدى الحالات، كان أحد المجرمين يروّج للوصول إلى 41 شركة من قطاع التعليم، ويزعم آخر بأنه يبيع إمكانية الوصول إلى شركات أميركية تتراوح إيراداتها بين 50 مليون دولار و8 مليارات دولار، وفقا لتحليل كيفيليفتش.
تمت مشاركة أكثر من 7 آلاف بيان اعتماد مرتبطة بحسابات سنوفليك المخترقة، في أسواق الجريمة الإلكترونية وتطبيق تليغرام (الفرنسية)
أبرز الأحداث التي استخدمت فيها برمجيات سرقة المعلومات
بحسب موقع إنفو ستيلرز، فقد استخدمت بيانات اعتماد بواسطة برمجيات سرقة المعلومات كوسيلة للتضليل والدعاية أو لتسهيل الاحتيال. وسنذكر بعض الأمثلة الحديثة التي تمكنت شركة هادسون روك (Hudson Rock) من اكتشافها:
الحرب بين حماس وإسرائيل
في 13 أكتوبر/تشرين الأول عام 2023 وسط اندلاع الحرب بين حماس وإسرائيل، ادعت مجموعة قرصنة مؤيدة لفلسطين تعرف باسم “حق جويان” (Haghjoyan)، أنها أصابت أكثر من 5 آلاف حاسوب إسرائيلي. ومن أجل تعزيز مصداقية ادعائهم، قدمت المجموعة عينة من البيانات التي ساعدت في تحديد الضحايا.
ومن خلال الفحص المتبادل لبيانات الضحايا من عينة المجموعة إلى جانب قاعدة بيانات استخبارات الجرائم الإلكترونية لشركة هادسون روك، التي تحتوي على سجلات لأكثر من 25 مليون حاسوب مصاب ببرمجيات سرقة المعلومات.
زعمت هادسون روك أن الضحايا المصورين هم في الواقع أجهزة حاسوب إسرائيلية قديمة مصابة من خلال حملات نشر برامج سرقة معلومات غير ذات صلة بهجمات مجموعة “حق جويان”.
بيع بيانات شركة “أني ديسك” (AnyDesk)
في الخامس من فبراير/شباط، نشرت شركة “أني ديسك” بيانا عاما كشفت فيه أن الشركة تعرضت لحدث سيبراني تمكن فيه قراصنة مجهولون من اختراق أنظمة الإنتاج الخاصة بالشركة.
وفي الوقت نفسه، قام هاكر غير معروف بنشر موضوع على منتدى روسي للجرائم السيبرانية، يزعم فيه ببيع قاعدة بيانات أني ديسك على شبكة الإنترنت المظلم. وقد ادعى أن لديه إمكانية الوصول إلى قاعدة بيانات بائع كبير في نظام إدارة السجلات (RMS) يمكن للمشتري المحتمل استخدامه لتسهيل عمليات الاحتيال. وقد طلب مقابل هذه البيانات 15 ألف دولار يتم إرسالهم عن طريق عملة بيتكوين أو مونيرو.
ومن خلال التحقق المتبادل بين عينة البريد الإلكتروني للمخترق وقاعدة بيانات استخبارات الجرائم الإلكترونية في هادسون روك، تمكن الباحثون من تحديد أن البيانات هي في الواقع ناتجة عن إصابات برمجيات سرقة المعلومات سابقة ولا علاقة لها باختراق “أني ديسك” الأخير.
حملة تضليل ضد “أندرو تيت”
“أندرو تيت” هو شخصية مؤثرة على الإنترنت وملاكم سابق في رياضة الكيك بوكسينغ يحمل جنسية أميركية وبريطانية. وفي السادس من فبراير/شباط هذا العام، نشر مستخدم مجهول منشورا ادعى فيه أنه سرب بيانات من موقع بيع الدورات التعليمية الخاص بأندرو تيت “ذا ريال وورد” (The Real World).
وقد قدم هذا المستخدم المجهول عينة من التسريبات، مما جعل الأمر يبدو كما لو أنه قام بقرصنة قاعدة بيانات موقع أندرو تيت والآن يقوم بتسريبها. ويزعم أن التسريب يحتوي على عناوين البريد الإلكتروني وكلمات المرور للمستخدمين.
ومن خلال البحث عن عنوان البريد الإلكتروني الموجود في العينة، تمكنت “هادسون روك” من تحديد أن البيانات المعروضة هي في الواقع من إصابات سابقة لبرمجيات سرقة المعلومات، وليست مرتبطة بأي اختراق مستهدف مرتبط بمجال أندرو تيت.