ونحن نستعرض مشهد الأمن السيبراني ، نرى أن تهديداً إضافياً يبرز كقوة مهيمنة، إنها أدوات سرقة المعلومات (Infostealer). لقد تطورت هذه الأدوات الخبيثة بشكل كبير، وأصبحت حجر الزاوية في النظام البيئي الأوسع للجريمة السيبرانية. إن قدرتها على جمع ومعالجة واستثمار البيانات المسروقة بكفاءة قد جعلتها الخيار المفضل للمجرمين السيبرانيين في جميع أنحاء العالم.
ما هي أدوات سرقة المعلومات؟
أدوات سرقة المعلومات، التي تُعرف غالباً باسم “السارقين- stealers”، هي برامج ضارة مصممة لاستخراج البيانات الحساسة بشكل سري من الأنظمة المخترقة. تشمل أهدافها الرئيسة بيانات المتصفح، تكوينات النظام، التفاصيل المالية، وحتى محافظ العملات الرقمية. بمجرد التسلل، يمكن لهذه الأدوات استخراج الملفات، التقاط لقطات شاشة، وجمع بيانات الاعتماد مثل أسماء المستخدمين، كلمات المرور، وملفات تعريف الارتباط للجلسات.
عادةً ما يتم نشر هذه الأدوات عبر رسائل البريد الإلكتروني الاحتيالية، التنزيلات الخبيثة، والإعلانات المضللة. ويتم تسويقها على الشبكة المظلمة كنموذج “البرمجيات الضارة كخدمة” (MaaS)، حيث يحصل المشترون على خدمة دعم العملاء، تحديثات منتظمة، ووثائق مفصلة. مع هذا النموذج، أصبح الدخول إلى عالم الجريمة السيبرانية أسهل للمجرمين الطموحين، مما أدى إلى انتشار أدوات سرقة المعلومات.
دور أدوات سرقة المعلومات في الجريمة السيبرانية
تلعب أدوات سرقة المعلومات دوراً جوهرياً في النظام البيئي للجريمة السيبرانية المتقدمة. فهي تمثل الخطوة الأولى نحو اختراق شبكات الشركات بشكل كامل. من خلال استخراج بيانات الاعتماد ورموز الجلسات (tokens) ، تمكن تلك الأدوات وسطاء الوصول الأولي (IABs) من الحصول على موطئ قدم في شبكات الشركات. غالباً ما يتم بيع هذه الموطئ قدم لشركاء برامج الفدية، الذين يقومون بنشر برامج الفدية التي يتم الحصول عليها من مزودي “برامج الفدية كخدمة” (RaaS).
يتم بيع البيانات المسروقة، أو “السجلات”، في الأسواق السرية أو قنوات تيليجرام. تحتوي هذه السجلات على معلومات قيمة، مثل رموز المصادقة وبيانات الاعتماد الحساسة، التي يمكن استخدامها في الاحتيال المالي، سرقة الهوية، وهجمات سيبرانية أخرى. بشكل خاص، تُعتبر ملفات تعريف الارتباط للجلسات والرموز ذات قيمة عالية لأنها توفر وصولاً فورياً إلى حسابات المستخدمين وتتجاوز آليات المصادقة متعددة العوامل (MFA).
اختراق البيانات
أدوات سرقة المعلومات ليست مجرد أدوات لسرقة البيانات، بل هي مدخل لهجمات سيبرانية أكبر. يكشف البحث في الأسواق السرية عن ملايين السجلات المتاحة للشراء. تحتوي هذه السجلات على بيانات اعتماد مسروقة، رموز المصادقة، وبيانات حساسة يمكن استغلالها في سرقة الهوية، الاحتيال المالي، أو اختراق شبكات الشركات.
تشير إحصائية مقلقة إلى أن 90% من الشركات المخترقة كانت لديها بيانات اعتماد الشركات مسربة في سجلات أدوات سرقة المعلومات قبل الاختراق. يضيء ذلك على الدور الحاسم الذي تلعبه (Infostealer) في تسهيل الهجمات السيبرانية الكبرى ويؤكد أهمية معالجة هذا التهديد ضمن السياق الأوسع للأمن السيبراني.
سوق أدوات سرقة المعلومات
سوق أدوات سرقة المعلومات قوي وتنافسي، حيث تعكس الأسعار تطور البرامج ومستوى الدعم المقدم من المطورين. أدوات شهيرة مثل RedLine Stealer، StealC، متاحة للاشتراك الشهري بأسعار تتراوح بين 150 إلى 250 دولارًا. يقوم الشركاء بشراء التراخيص وتشغيل حملات مخصصة، وجمع البيانات المسروقة وبيعها بحوالي 10 دولارات لكل سجل.
تعمل لوحات التحكم المتقدمة وآليات التنزيل على تعزيز كفاءة برمجيات سرقة المعلومات، مما يسمح للشركاء بالوصول السريع واستغلال البيانات المسروقة. كما تقدم بعض الأنظمة مشاركة تلقائية للسجلات في قنوات تيليجرام، مما يتيح استغلال رموز الجلسات الحية في الوقت شبه الحقيقي. تجعل هذه الميزات هذه الأدوات جذابة للغاية للمجرمين السيبرانيين، مما يزيد من شعبيتها.
مسارات غير تقليدية
تتم إدارة وصيانة البنية التحتية التي تدعم أدوات سرقة المعلومات بواسطة مزودي “البرمجيات كخدمة” أنفسهم. يشمل ذلك آليات المصادقة ، خوادم القيادة والتحكم (C2)، ومواقع آمنة لتخزين وتنزيل البيانات المسروقة. ومع ذلك، فإن الاعتماد على بنية تحتية واسعة يمكن أن يكون أيضاً نقطة ضعف. نجحت وكالات إنفاذ القانون في استهداف ومصادرة هذه الموارد، مما أدى إلى تعطيل عمليات “البرمجيات كخدمة” وعرقلة توزيع أدوات سرقة المعلومات مؤقتاً.
تعتمد حملات أدوات سرقة المعلومات على طرق نشر غير تقليدية، بما في ذلك رسائل البريد الإلكتروني الاحتيالية، الإعلانات الخبيثة، والمواقع المزيفة التي تحاكي المنصات الشرعية. غالباً ما يستغل مجرمو الانترنت منصات مثل GitHub لاستضافة مستودعات خبيثة أو استخدام صفحات CAPTCHA المزيفة لخداع المستخدمين لتنزيل البرامج الضارة. تشمل التكتيكات الأخرى توزيع البرامج المقرصنة، الإعلانات المضللة، والإعلانات الخبيثة على Google. ولأن طرق التوزيع بالكامل تحدد بواسطة الشركاء المعنيين بهذه الأدوات، فإن ذلك يؤدي إلى مجموعة واسعة من حملات الإصابة المبتكرة. هذا النهج اللامركزي يجعل أدوات سرقة المعلومات قابلة للتكيف للغاية وصعبة المكافحة.
أدوات سرقة المعلومات – الجميع في خطر
يكشف تحليل سجلات أدوات سرقة المعلومات أن بعض الفئات السكانية أكثر عرضة للإصابة. على سبيل المثال، غالباً ما يتم استهداف اللاعبين لأنهم أقل اهتماماً بالأأمن السيبراني. تظهر منصات شهيرة مثل Roblox، Discord، Twitch، وEpic Games بشكل متكرر في البيانات المسروقة، مما يبرز ضعف هذه المجتمعات. بالإضافة إلى ذلك، فإن أكثر من 70% من الأجهزة المصابة بأدوات سرقة المعلومات هي شخصية وليست مملوكة للمؤسسات أو مُدارة. هذا الاتجاه مقلق بشكل خاص في عصر العمل عن بُعد وسياسات “استخدام الأجهزة الشخصية” (BYOD)، حيث تعمل الأجهزة الشخصية كبوابات لشبكات الشركات.
التأثير على أمن الشركات
أدى نموذج العمل عن بُعد وسياسات “استخدام الأجهزة الشخصية” إلى توسيع سطح الهجوم للشركات. يمكن استخدام بيانات الاعتماد وملفات تعريف الجلسات المسروقة من أجهزة الكمبيوتر المنزلية للموظفين لاختراق شبكات الشركات، متجاوزة آليات المصادقة متعددة العوامل (MFA) ومنح الوصول إلى الموارد الحيوية. وكشفت دراسة أن 90% من الشركات المخترقة كانت لديها بيانات اعتماد الشركات مسربة في سجلات أدوات سرقة المعلومات قبل الاختراق. هذه الإحصائية تؤكد الدور الهام لأدوات سرقة المعلومات في تمكين الهجمات السيبرانية الكبرى.
كشف اختراق البيانات الضخم لشركة Snowflake في العام 2024، عن معلومات حساسة من أكثر من 165 منظمة، بما في ذلك Advance Auto Parts، Ticketmaster، وSantander Bank. من المحتمل أن يكون الاختراق قد نشأ من بيانات اعتماد مستخرجة بواسطة أدوات سرقة المعلومات وتم بيعها عبر الانترنت. يبرز هذا الحادث التأثير المدمر الذي يمكن أن تحدثه أدوات سرقة المعلومات على أمن الشركات.
تخفيف مخاطر أدوات سرقة المعلومات
1. توسيع التدابير الأمنية: يجب على الشركات توسيع استراتيجياتها الوقائية لتغطية نقاط وصول الموظفين والأجهزة الشخصية.
2. مراقبة الأسواق الإجرامية: البحث النشط عن أي معلومات للشركة يتم بيعها في الأسواق السرية يمكن أن يساعد في منع الاختراقات المحتملة.
3. تنفيذ التشفير المتقدم: يمكن لتقنيات مثل التشفير المرتبط بالتطبيق من Google أن توفر طبقات إضافية من الحماية، على الرغم من أن المهاجمين بدأوا بالفعل في تطوير تقنيات لتجاوز هذه التدابير.
4. تعزيز آليات المصادقة متعددة العوامل (MFA): يقلل فرض أنظمة MFA قوية من خطر استغلال ملفات تعريف الجلسات.
5. توعية الموظفين: يساعد تدريب الموظفين على أفضل ممارسات الأمن السيبراني في تقليل خطر الإصابة. ويمكن أن يشمل هذا التدريب التعرف على محاولات التصيد وتجنب التنزيلات المشبوهة.
على الرغم من أن تقنية أدوات سرقة المعلومات لم تتطور بشكل كبير في العامين الأخيرين، إلا أن البيئة التي تعمل فيها هذه الأدوات قد تغيرت بشكل كبير. أدى تراجع شبكات البوتات الكبيرة، مثل Trickbot وBumblebee، إلى سيطرة أدوات سرقة المعلومات على مشهد الجريمة السيبرانية. كما عطلت عمليات إنفاذ القانون مثل “Endgame” و”Magnus” بنى شبكات البوتات واستهدفت عائلات أدوات سرقة المعلومات مثل Lumma ، لكن التهديد لا يزال واسع الانتشار.
كلمة أخيرة
تمثل أدوات سرقة المعلومات تهديداً كبيراً وواسع النطاق في مشهد الأمن السيبراني. غذت قدرتها على سرقة بيانات الاعتماد ورموز الجلسات الاحتيال المالي، سرقة الهوية، واختراق الشركات. مع استمرار نضوج النظام البيئي للجريمة السيبرانية، يجب على الشركات أن تظل يقظة واستباقية في مكافحة هذه التهديدات. من خلال تنفيذ تدابير أمنية شاملة، مراقبة الأسواق السرية، وتوعية الموظفين، يمكن للشركات تعزيز دفاعاتها ضد التحديات المتطورة والمتشابكة التي تفرضها أدوات سرقة المعلومات الحديثة.
