قرصنة MOVEit – تساقط أحجار الدومينو

منذ شهرين، تعرض للاختراق برنامج نقل الملفات المسمى MOVEitالمصمم لتبادل البيانات الحساسة بشكل آمن داخل المؤسسات . تضمنت قرصنة MOVEit وصولاً غير مصرح به من قبل جهات ضارة استغلوا نقاط الضعف داخل البرنامج مع وصول إلى المعلومات السرية مما عرض سلامة البيانات للخطر. يؤكد هذا الحادث تطور الهجمات الإلكترونية ويسلط الضوء على الحاجة إلى اتخاذ تدابير أمنية قوية لحماية البنية التحتية الحيوية والبيانات الحساسة.

مع مضي فترة طويلة نسبياً على الاختراق إلا أن القصة لم تنته بعد على ما يبدو. خصوصاً أن العدد الإجمالي للمنظمات التي تم اختراقها من خلال قرصنة MOVEit مازال لغزاً وفقاً لـ scmagazine.يبدو الوضع سيئاً، فمجموعة الابتزاز Cl0p التي استغلت واحدة على الأقل من نقاط الضعف في تلك الخدمة تنشر تحديث يومياً لما تدعي أنهم ضحايا تم التعرف عليهم حديثاً. و الأسوأ أنه حتى الآن ، لا توجد مؤشرات على تباطؤ وتيرة الحوادث المبلغ عنها منذ الكشف عن الخرق في أيار-2023.

نشرت Cl0p أسماء مئات الشركات والجهات الحكومية والجامعات والمنظمات الأخرى على موقع تسريب الويب المظلم الخاص بها. كما تشمل تهديدات هذه المجموعة تسريب بيانات أي ضحية مزعومة إذا لم يرضخ لطلبات دفع الفدية. في موازاة ذلك ، أكدت عشرات المؤسسات من خلال تقارير إعلامية أو بيانات عامة أو إفصاحات أن بياناتها قد سُرقت بالفعل.

ضرر لا ينتهي

سببت القرصنة ضرراً بالغاً لـ MOVEit و يطرح تساؤلات مشروعة عن مكانته كأحد أكثر أدوات نقل الملفات انتشاراً. يتزايد عدد الشركات التي غرقت مع تيتانيك MOVEit. لكن السؤال اليوم، متى نصل إلى القاع و نحصي العدد الفعلي لضحايا حادث الغرق ذاك؟ أي، متى قد تنتهي القائمة الطويلة من ضحايا Cl0p؟

حتى الآن ، Cl0p هي المجموعة الوحيدة التي رأى خبراء الأمن السيبراني أنها تستغل إحدى نقاط الضعف ، لكن لاشيء يؤكد أنها المجموعة الوحيدة. ربما هي الأكثر علانية بينما يفضل آخرون العمل بصمت!

يبدو اختراق MOVEit كعرض مسرحي مفتوح لم تكتب نهايته رغم مرور أكثر من شهر ونصف على بدايته.

قرصنة MOVEit – عدد الضحايا في ازدياد!

حتى الآن ، ركزت الكثير من النقاشات حول تأثير عمليات الاختراق على عملاء Progress Software، أو الكيانات التي اشترت أو استخدمت خدمة نقل الملفات. لكن خبراء الأمن السيبراني الذين قاموا بتحليل ما جرى و فحص نقاط الضعف في سلسلة توريد البرمجيات ، يعتقدون أن نطاق التعرض المحتمل يمكن أن يتجاوز تلك المجموعة.

تم حتى الأن تحديد ما لا يقل عن 369 منظمة تأثرت بالخرق أو تم الإبلاغ عنها كضحية بواسطة Cl0p. ومن بين هؤلاء الـ 369 ، تم اختراق 93 على الأقل من خلال مورد ثالث أو رابع أو خامس. هذا النوع من الاختراقات معقد للغاية بشكل قد لا تعرف فيه جميع [المؤسسات] المتأثرة أنها قد تأثرت.

لم تستخدم العديد من الشركات الضحايا MOVEit Transfer ولكنها ربما تكون قد أرسلت بياناتها إلى مزودي الطرف الثالث الذين يستخدموه. عندما تم استغلال exploit هؤلاء المزودين ، أدى ذلك لتسرب المعلومات المرسلة لهم من تلك الشركات كجزء من أعمالهم التعاقدية. لذلك أصبح من الشائع أن العديد من الضحايا الذين لم يستخدموا MOVEit Transfer بأنفسهم قد تأثروا بالاختراق فقط لأنهم اعتمدوا على مقدم خدمة فعل ذلك.

تشابك ، ترابط ، أم تعقيد؟

في عالم مترابط مثل عالم اليوم فإن أي اختراق تنتج عنه مجموعة من الضحايا تشبه أحجار الدومينو المتساقطة. لم تفعل أغلب هذه الأحجار شيئاً يجعلها تسقط لكن أصابها الضرر من سلسلة هي جزء منها. أي أن بياناتها تم اختراقها عبر شركاء أعمال تعرضوا للاختراق أو برامج وتطبيقات متصلة بأنظمتها و لم تكن آمنة بما يكفي.

تنبهت بعض الشركات الأمنية التي تحقق في نطاق اختراق MOVEit لهذا النوع من التشابك. لذلك أنشأت نظاماً للمواجهة يتضمن استقراء و تحليل مجموعة متنوعة من البيانات من الانترنت. التركيز هنا ليس فقط على الشركات التي اشترت واستخدمت MOVEit بشكل مباشر. ولكن أيضاً على أولئك الذين لديهم عقود مع موردي وموفري الجهات الخارجية الذين يستخدمون البرنامج. و كذلك على الشركات التي اشترت حزم البرامج من مصادر مثل Carahsoft. والشركات التي تنشر فرص عمل لمرشحين لديهم خبرة في خدمة نقل الملفات.

أحجار الدومينو – نظرة متشائمة

وفقاً للتوصيف السابق و لمفهوم الترابط و أحجار الدومينو الموضح أعلاه فإن هناك ما لا يقل عن 73000 كيان استخدمت MOVEit. وتم ذلك بطريقة أدت لتعريض بياناتها للسرقة نتيجة للاختراق. أما إذا كنا متشائمين أكثر و أخذنا الأمر لمستوى أبعد من ذلك وبدأنا في فحص العلاقات بين تلك الكيانات وسلسلة توريد البرامج الخاصة بها ، فإن الأرقام تتضخم بسرعة. وكمؤشر على الطبيعة الواسعة الانتشار للاختراق فإنه لم تكن هناك علامات واضحة على أن الضرر كان مركزاً بشكل في أي قطاع أعمال دون غيره.

لكن مصدر تلك الأرقام – Exiger- لا تدعي أن جميع – أو حتى معظم – هذه الكيانات قد تعرضت بياناتها للاختراق. و إنما الهدف من مشاركة هذا النوع من الاحصائيات كان الإضاءة على نوعية المخاطر التي تتعرض لها الشركات بسبب MOVEit. إن كان بشكل مباشر أو من خلال سلسلة توريد البرامج الخاصة بهم.

لا يعني هذا التوضيح أن تلك المخاطر هي مجرد افتراضات مبالغ فيها. على سبيل المثال ، فإن ما لا يقل عن 52 من الكيانات المدرجة في قائمة الشركات التي تأثرت بقرصنة MOVEit معروفة. أو يعتقد أنها من عملاء Zellis ، وهي شركة تقدم كشوف الرواتب في المملكة المتحدة. في حزيران، أكد عدد من العملاء ، بما في ذلك BBC و Boots و British Airways و Aer Lingus ، أن بياناتهم قد سُرقت في قرصنة MOVEit عبر Zellis. في الشهر الماضي ، قالت الشركة إن ثمانية من عملائها على الأقل تعرضوا للاختراق بهذه الطريقة.

هناك منظمة أخرى معروفة بأنها ضحية أيضاً، وهي National Student Clearing House. تعتبر تلك المنظمة شريكاً أعمال لأكثر من 3500 مدرسة في جميع أنحاء الولايات المتحدة الأمريكية. تم تأكيد ما لا يقل عن 65 مدرسة كضحايا في MOVEit حتى الآن والعدد مرجح للازدياد مع مرور الوقت.

قرصنة MOVEit -علاقة معقدة مع الطرف الثالث

ازداد الوعي بتشابك سلسلة توريد البرمجيات بين الشركات وصانعي السياسات في السنوات الأخيرة. لكن الاختراقات مثل MOVEit هي درس قاسي يذكرنا بمخاطر مشاركة الشركات لبياناتها مع مزودي الطرف الثالث. يزيد ذلك فرصة تعرض المؤسسات للاختراق دون معرفتها ذلك.

لقد سهلت الاتصالات بين الأنظمة القدرة على نقل البيانات بين المؤسسات ، لكنها أضافت بالتأكيد تعقيدات تتعلق بأمان التطبيقات و ضخامة عواقب أي هجوم ناجح. من الملاحظ أن معلوماتنا مخزنة الآن في البنوك والمستشفيات والمؤسسات التعليمية و الحكومية على سبيل المثال. لقد منحنا ذلك القدرة على مشاركة البيانات وتكاملها و الوصول لها عبر مصدر واحد بدلاً من الاضطرار إلى تكرارها في أماكن متعددة. أما ضريبة هذه الر فاهية فهي أن حماية البيانات أثناء النقل أصعب بكثير من حمايتها في حالة السكون.

باختصار ، من المرجح أن تستمر هذه الحوادث في الظهور. لا يوجد حل سحري أو رصاصة فضية عندما يتعلق الأمر بالوقاية لأنه من الصعب أن تكون استباقياً تجاه المجهول الذي يمثل في حالتنا سلسلة التوريد الخاصة بطرف ثالث.