المكتبة البريطانية British Library هي المكتبة الوطنية في المملكة المتحدة. تحتوي على أكثر من 170 مليون كتاب. تمتد جذور هذه المكتبة إلى قرون مضت، ومازالت تجمع كل ما ينشر اليوم وغداً وفي المستقبل. لدى هذه المكتبة الملايين من الكتب، وكذلك الصحف والخرائط والتسجيلات الصوتية وبراءات الاختراع و حتى الطوابع. مع كل هذا الكيان الضخم، كيف تم اختراق المكتبة البريطانية في 28-تشرين الأول-2023. حينها أعلنت عصابة Rhysida استهداف المكتبة البريطانية بهجوم Ransomware. أدى ذلك إلى تسرب بيانات وتشفير أوتدمير أجزاء كبيرة من مخدمات المكتبة. بعد تحقيقات جنائية واسعة النطاق أجرتها المكتبة والمتخصصون في مجال الأمن السيبراني تبين أنه تمت سرقة حجم ضخم من الملفات. كما ضمت تلك الملفات البيانات الشخصية لمستخدمي المكتبة وموظفيها. وعندما أصبح من الواضح أن المكتبة لن تدفع أي فدية، طرح المهاجمون هذه البيانات للبيع في الويب المظلم.
يشارك معكم روبودين ملخصاً لتقرير عن ذلك الحادث الأمني الخطير. أصدرت إدارة المكتبة تقريرها هذا الشهر. الهدف هو تقديم لمحة عامة عن هجوم فيروس الفدية المدمر ودراسة آثاره وتقييم المخاطر والدروس المستفادة. يسعى روبويدن لمساعدة المؤسسات على التعلم من تجربة المكتبة البريطانية في تعزيز موقفها الأمني.
اختراق المكتبة البريطانية – ما الذي حدث؟
استطاعت العصابة الإجرامية Rhysida المسؤولة عن الهجوم نسخ وتسريب حوالي 600 جيجابايت من بيانات المكتبة البريطانية. تضمن الهجوم سرقة البيانات للحصول على فدية. كما شملت أساليب المهاجمين تشفير البيانات والأنظمة، وتدمير بعض الخوادم لمنع استعادة النظام وتغطية مساراتهم. كان لهذا الإجراء الأخير الأثر الأكثر ضرراً على المكتبة. على الرغم من امتلاك المكتبة نسخ آمنة من جميع مجموعاتها الرقمية إلا أن الافتقار إلى البنية التحتية المطلوبة للاستعادة عرقل عملية التعافي. ولذلك كان التأثير على أنظمة المكتبة وخدماتها عميقاً و واسع النطاق.
. إن الأصول التكنولوجية المتنوعة والمعقدة للمكتبة،بما في ذلك وجود العديد من النظم المعلوماتية القديمة. و زادت هذه البنية التحتية يشدة من تأثير الهجوم. كما سمح التعقيد في شبكة المكتبة للمهاجمين بوصول أوسع مما كان متاحاً لهم لو أن الشبكة كانت أكثر حداثة. كما أدى اعتماد التطبيقات القديمة على العمليات اليدوية لتمرير البيانات من نظام إلى آخر إلى زيادة حجم بيانات الموظفين والعملاء وتواجد نسخ متعددة من ذات البيانات على الشبكة.
لم تتمكن المكتبة من إعادة أنظمة البرامج الرئيسية لديها إلى حالتها لسابقة للهجوم. يعود ذلك لجملة من الأسباب منها، أنها لم تعد مدعومة من قبل البائعين أو لأنها لم تتوافق مع البنية التحتية الآمنة الجديدة التي تبنيها المكتبة. بالمقابل، فإن أنظمة المكتبة المعتمدة على الحوسبة السحابية لم تتأثر بفيروس الفدية. في كانون الأول 2023،بدأت المكتبة الانتقال من الاستجابة للأزمات إلى مرحلة التعافي مع بدء برنامج تجديد البنية التحتية التكنولوجية لديها لتصبح أكثر أمان ومرونة.
بالون اختبار للمدافعين
نظراً للطبيعة التدميرية للهجوم، كان من الصعب الحصول على إجابة محددة بشأن التوقيت الدقيق لتاريخ بدء الهجوم. ومع ذلك، فإن هناك احتمال قوي أن هذه الجها ت الإجرامية قدتمكنت من الوصول قبل ثلاثة أيام من اكتشاف الهجوم. وجد خبراء الطب الشرعي الرقمي دليلاً على وجود خارجي على شبكة المكتبة في الساعة 23:29 يوم الأربعاء 25-تشرين الأول. كان ذلك أول دليل على حركة مريبة في الشبكة وبعد دقائق تم تنبيه مدير أمن تكنولوجيا المعلومات في المكتبة إلى نشاط ضار محتمل على الشبكة . جاء هذا التنبيه من نظام مراقبة المكتبة الذي قام تلقائًياً بحظر النشاط المشبوه بعد دقائق من ظهوره. أجرى مدير أمن تكنولوجيا المعلومات بعدها فحصاً للثغرا ت الأمنية من بين إجراءات استجابة أخرى. لم يتم رؤية أي نشاط غريب وتم مشاركة لحاد ث إلى فريق البنية التحتية لتكنولوجيا المعلوما ت لمزيد من التحقيقات بما في ذلك التحليل التفصيلي لسجلا ت الأنشطة. لكن بدا أن كل شيء طبيعياً.
اليوم، تعتقد إدارة المكتبة و مستشاروها أن هذا الاختراق الأولي كان بمثابة استطلاع لشبكتها، وكانب مقدمة للهجوم الكبير. لاحقاً تلقت المكتبة تنبيهاً من شركة Jisc ، التي توفر الوصول إلى الانترنت للمكتبة وتراقب حركة البيانا ت عبرشبكاتها، أن حجم بيانات كبير بشكل غير عادي( 440جيجابايت) قد غادر شبكة المكتبة. تبين لاحقاً أن تلك البيانات تم تسريبهابشكل غير قانوني من قبل المهاجمين.
بين لحظة البداية وصافرة النهاية
خلصت نتائج التحقيقات أن النقطة التي بدء عندها الهجوم هي اختراق بيانات اعتماد حساب بصلاحيات عالية. ربما عبر هجوم التصيد الاحتيالي أو هجوم القوة الغاشمة Brut Force. كذلك فإن أحد الأسباب المؤدية للهجوم هو التواجد الكبير لمقدمي الخدمات الخارجيين ضمن شبكة المكتبة لأغراض تتعلق بالعمل. كان المخدم المسؤول عن تسهيل الوصول عن بعد لشبكة المكتبة محمياً بجدران الحماية وبرامج الفيروسات، لكن الوصول لم يكن خاضعاً للمصادقة متعددة العوامل (MFA). قررت إدارة المكتبة في فترة جائحة Covid-19 تعطيل الـ MFA لتسهيل عملية الوصول عن بعد. ومع تنبه المعنيين سابقاً لخطر غياب الـ MFA عن عملية التحكم بالوصول عن بعد إلا أنه لم تتخذ أي إجراءات لتصحيح ذلك الخلل رغم أن المكتبة تجري اختبارات دورية للاختراق.
مع ذلك، فإن بعض أدوات الحماية المطبقة في شبكة المكتبة منعت تفعيل فيروس الفدية على أجهزة الكمبيوتر و الحواسب المحمولة> لكن الأدوات الدفاعية الأقدم المركبة على مخدم التحكم بالوصول عن بعد لم تستطع حمايته والتنبه لذلك الفيروس. واستناداً إلى التحليل الذي أجراه مستشارو الأمن السيبراني ، يبدو أن المهاجمين استخدموا ثلا ث طرق للهجوم لتحديد المستندا ت المستهدفة بهجومهم ونسخها. (نصف مليون مستند تقريباً):
- عبر هجوم مستهدف نسخ المهاجمون السجلا ت التابعة لفرق الشؤون المالية والتكنولوجيا والأفراد جميعهم، مما أدى إلى نسخ أقسام كاملة من محركات أقراص الشبكة .تمثل هذه الملفا ت حوالي 60%من المحتوى المنسوخ في الهجوم.
- فحص المهاجمون الملفات والمجلدات ضمن الشبكة بحثاً عن كلمات مفتاحية محددة مثل “كلمة سر” أو “سري”
ونسخوا الملفات الناتجة عن ذلك البحث ليس فقط من شبكة المكتبة ولكن حتى من محركا ت الأقراص التي يستخدمها الموظفون لأغراض شخصية على النحو المسموح به بموجب سياسة الاستخدام المقبول لتكنولوجيا المعلوما ت في المكتبة. - سيطر المهاجمون على أدوات تكنولوجيا المعلوما ت المستخدمة لإدارة الشبكة واستخدمو ها لإنشاء نسخ احتياطية بالقوة لـ 22 قاعدة بيانات في المكتبة ونقلوها خارج الشبكة. تضم قواعد البيانات تلك بعض تفاصيل الاتصال الخاصة بالمستخدمين والعملاء الخارجيين.
التهرب من شرلوك هولمز
كما تتضمن منهجية الهجوم الت تتبعها Rhysida التحايل على المدافعين السيبرانيين والطب الشرعي الرقمي عبر حذف سجلات الأحداث من أجل تعقيد مهمة تتبع أنشطتهم. وكذلك تعتمد Rhysida تشفير البيانات للحصول على فدية،
وتدمير الخوادم لمنع استعادة النظام (وكإجراء إضافي لإحباط جهود المحققين).
كان لتدمير الخوادم التأثير الأكثر ضرراً على المكتبة بسبب اعتمادها على عدد كبير من التطبيقات القديمة التي لايمكن استعادتها بسبب مجموعة من العوامل بما في ذلك التقادم الفني، ونقص دعم البائعين أو عدم قدرة النظام
على العمل في بيئة آمنة حديثة. وبسبب القوانين البريطانية وحتى لا تشجع جهات ضارة مماثلة على شن هجمات مشابهة فإن المكتبة لم ترضخ لمطالبات Rhysida وبالتالي لم تدفع الفدية. لكل ما سبق، كان تأثير الهجوم واسع النطاق في جميع مجالا ت نشاط المكتبة، حيث تأثر المستخدمين والموظفين وأصحاب المصلحة على كل المستويات.
اختراق المكتبة البريطانية – الاستجابة للحادث الأمني
فور علمها بالحادث الأمني، فعّلت المكتبة على الفور خططها الرئيسة لإدارة الأزمات مستعينة بفرق مخصصة لهذا الغرض تضم تقنيين داخليين وخارجيين ومستشارين إعلاميين وقانونيين. كما أبقت المكتبة المستخدمين والموظفين وأصحاب المصلحة على اطلاع بمايحد ث دون مشاركة أي تفاصيل يمكن أن تساعد المهاجمين. كما تم تسجيل الدروس العملية المتعلقةبعمليات إدارة الكوارث ليصار إلى دمجها في عملية تطوير الممارسات والإجراءات مستقبلاً. وكذلك أقرت إدارة المكتبة خطة تعافي متعددة المراحل.
خصصت المرحلة الأولى و على مدى 6 أشهر لتحديد وتنفيذ الحلول المؤقتة لاستعادة الخدمات والعمليات الداخلية ومع شركاء الأعمال. ومن ثم، مرحلة مدتها 18 شهراً لإنشاء بنية تحتية جديدة مرنة وتقديم حلول دائمة، إما عن طريق ترقية الأنظمة الحالية أوتكييفها أو تقديم أنظمة جديدة عند الضرورة. وستعطي المكتبة اهتماماً خاصاً بإدارة التغيير كما ستراجع خطة استمرارية الأعمال لتصبح على مستوى المؤسسة ككل وليس على مستوى الأقسام كما هو شكلها حالياً. كذلك تستفيد المكتبة مما حدث لضمان قدرتها المستقبلية على الاستجابة للحوادث المماثلة بطريقة متسقة ومنظمة مع مراجعة أنظمة الاختبار والتمرين الرسمية لتعزيز استعداد المكتبة الشامل للحواد ث الكبرى واغتنام الفرصة لإعادة البناءبمرونة أكبر في أعقاب ذلك الهجوم السيبراني.
اختراق المكتبة البريطانية – أهم الدروس والعبر
- تجزئة الشبكة واعتماد الدفاع في العمق لمنع انتشار الهجوم السيبراني
- تشفير البيانات أثناء النقل داخلياً وخارجياً والتأكد من حمايتها أثناء الراحة والتخزين.
- اعتماد حوسبة هجينة تستفيد بشكل آمن من جميع مزايا السحابة
- تحديث البنية التحتية و أنظمة التشغيل والبرامج لإصدارات مدعومة من البائعين
- تضمين أفضل الممارسات والخبرات الأمنية في التصميم وفي عمليات المؤسسة على كل المستويات
- تطبيق التحكم في الوصول القائم على الأدوار الوظيفية ، وتكريس مبدأ الامتياز الأقل
- بناء عملية مستدامة للنسخ الاحتياطي مع اختبارات للاستعادة والاحتفاظ بنسخ مجربة ومحمية خارج الموقع offsite
- تطبيق المصادقة متعددة العوامل MFA أينما أمكن ذلك
