🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
اقرأ المزيد
ملخص تنفيذي
يقدم هذا التقرير تحليلاً شاملاً لحادث أمني تورط فيه مجلس بنغالور لإمدادات المياه والصرف الصحي (BWSSB). يتعلق الحادث بالبيع غير المصرح به للوصول المباشر إلى الجذر إلى قاعدة البيانات، مما يعرض سجلات أكثر من 290 ألف مستخدم للخطر، وكلها تقدر قيمتها بـ 500 دولار.
كان فريق STRIKE التابع لـ CloudSek يراقب هذا الحادث بنشاط. يتعمق تحقيقنا في ناقلات الهجوم المحتملة التي يستغلها عامل التهديد للوصول غير المصرح به إلى هذه البيانات. من خلال تحليل نقاط الدخول المحتملة والتشكيلات الخاطئة والهفوات الأمنية، نهدف إلى إعادة بناء تسلسل الأحداث التي أدت إلى هذا الاختراق.
التحليل والإسناد
معلومات من البريد
في 10 أبريل 2025 كلاود سيكمنصة المخاطر الرقمية السياقية للذكاء الاصطناعي الجيل السادس عشر اكتشف ممثل التهديد بالاسم ذهب القراصنة المطالبة ببيع تفريغ البيانات والوصول المباشر إلى الجذر لقاعدة بيانات BWSSB.
حدد المنشور الأولي من قبل ممثل التهديد مبلغًا مستحقًا قدره 500 دولار للوصول إلى قاعدة بيانات BWSSB المخترقة. ومع ذلك، عند المشاركة المباشرة، أظهر الممثل مستوى عالٍ من الإلحاح وبدا مستعدًا للتفاوض على أسعار أقل بكثير، مما يشير إلى احتمال وجود يأس من البيع.
ادعى المنشور أن الوصول إلى قاعدة البيانات سيكشف سجلات 291.212 مستخدمًا. تم التأكيد صراحة على أن البيانات المخترقة لا تتضمن كلمات مرور المستخدم. بالإضافة إلى ذلك، تضمن المنشور بضعة أسطر من بيانات العينة.
لقطة شاشة للمنشور الذي نشره ممثل التهديد
التحليل الفني وIAV المحتمل (ناقل الوصول الأولي)
أجرى باحثو CloudSek فحصًا تفصيليًا لمنشور ممثل التهديد، والذي تضمن إشارة إلى النطاق الفرعي owc.bwssb.gov.in، تستخدم كبوابة تطبيق لتوصيل المياه.
كشف الاستطلاع اللاحق للنطاق الفرعي عن وجود نقطة نهاية مكشوفة تتوافق مع المسؤول، وهي أداة لإدارة قواعد البيانات تستخدم على نطاق واسع وتوفر واجهة على شبكة الإنترنت لأداء العمليات الإدارية على مختلف أنظمة إدارة قواعد البيانات.
أدت المشاركة مع ممثل التهديد إلى التحقق من أهمية نقطة النهاية المحددة. أثناء التفاعل، أكد الممثل أن نقطة النهاية كانت تستخدم بنشاط للحصول على وصول مباشر على مستوى الجذر إلى قاعدة البيانات الأساسية.
لقطة شاشة للمشاركة مع ممثل التهديد
كشف التحليل الإضافي للنطاق الفرعي عن وجود مكشوف.ملف البيئة. في هذه الحالة، الملف تحتوي على بيانات اعتماد ذات نص عادي المرتبطة بقاعدة بيانات MySQL. عند التحقق، تم العثور على بيانات الاعتماد صالحة. علاوة على ذلك، أشارت عينة حصرية شاركها ممثل التهديد إلى أنه كان يستخدم نفس اسم المستخدم الموجود في .env ملف لتسجيل الدخول.
إن توفر بيانات الاعتماد هذه، جنبًا إلى جنب مع واجهة adminer.php المكشوفة، سيسمح لممثل التهديد بتحقيق الوصول الكامل إلى قاعدة البيانات.
استنادًا إلى المعلومات الاستخباراتية المتاحة والأدلة الداعمة، يمكننا أن نستنتج بثقة عالية أن الفاعل المهدد قد حصل على وصول غير مصرح به إلى قاعدة بيانات BWSSB التي تضم أكثر من 290,000 سجل مستخدم من خلال الاستفادة من بيانات اعتماد قاعدة البيانات الصالحة المكشوفة داخل ملف.env يمكن الوصول إليه للجمهور.
يرجى ملاحظة - في وقت كتابة هذا التقرير، لم يعد من الممكن الوصول إلى ملف.env، وأصبحت بيانات الاعتماد التي تم الكشف عنها سابقًا غير صالحة. ومع ذلك، ادعى ممثل التهديد أنه يحتفظ بإمكانية الوصول عبر الباب الخلفي. لم تتحقق CloudSek بشكل مستقل من هذا الادعاء.
الملف الشخصي لممثل التهديد - pirates_gold
عامل التهديد الذي يعمل تحت الاسم المستعار ذهب القراصنة تم تحديده على أنه الشخص المسؤول عن الوصول الإعلاني إلى قاعدة بيانات BWSSB المخترقة. يشير تحليل نشاط المنتدى السري إلى ذلك ذهب القراصنة انضم إلى BreachForums في سبتمبر 2024 ومنذ ذلك الحين حقق حضورًا معتدلًا داخل المجتمع.
اعتبارًا من وقت إعداد التقرير، حصل الممثل على درجة سمعة قدرها 60 وقد كتب أكثر من 39 منشورًا يشير إلى المشاركة النشطة في تجارة البيانات أو مبيعات الوصول غير المشروع أو أنشطة الجرائم الإلكترونية ذات الصلة.
المنظمات السابقة المستهدفة:
- تقييمات أوxxx
- فيجن بريندز
- AC على الإنترنت
- Istv.uz
- فارماسيا انترناسيونال
- UF-L.net
- بنك الشريعة الإسلامية
المناطق والقطاعات المستهدفة:
وبدافع أساسي من المكاسب المالية، تستهدف مجموعة الجهات الفاعلة في مجال التهديد بشكل عام القطاعات التالية:
- التجارة الإلكترونية
- الرعاية الصحية
- التمويل
- خدمات مالية
- بالغ
طريقة العمل
يستخدم ممثل التهديد الخاص نهجًا متعدد الأوجه لتهديد الأهداف والاستفادة من البيانات المسروقة:
- خروقات البيانات: يستغل نقاط الضعف والتكوينات الخاطئة للحصول على وصول غير مصرح به إلى قواعد البيانات التنظيمية.
- وساطة الوصول: يبيع الوصول إلى قاعدة البيانات على مستوى الجذر والحسابات المخترقة الأخرى.
- مبيعات تفريغ البيانات: يحقق الدخل من الانتهاكات عن طريق بيع مقالب البيانات المسروقة في المنتديات السرية.
تأثير الحادث وشدته
- الوصول الإداري الكامل: أدى تسجيل الدخول باستخدام بيانات الاعتماد المكشوفة إلى تزويد ممثل التهديد بامتيازات على مستوى الجذر، مما يتيح التحكم الإداري الكامل في قاعدة البيانات.
- تخريب البنية التحتية ومعالجة البيانات: يتيح الوصول على مستوى الجذر تعديل أو حذف البيانات التشغيلية الهامة، مثل سجلات الدفع أو سجلات التظلم. هذا يمكن أن يعطل الخدمات العامة الأساسية، ويقوض ثقة الجمهور، ويعيق الوظائف الإدارية داخل BWSSB.
- التعرض المكثف للبيانات: تحتوي قاعدة البيانات على جداول متعددة بما في ذلك:
- بيانات الدفع
- بيانات التطبيق
- بيانات التظلم
- سجلات النظام
- تسوية معلومات التعريف الشخصي: جدول التطبيق وحده يصمد أكثر من 290.000 سجل تحتوي على معلومات تعريف شخصية حساسة (PII)، بما في ذلك: الاسم الكامل ورقم الهاتف والعنوان الكامل ومعرف البريد الإلكتروني ورقم Aadhaar وتفاصيل مقدم الطلب الهامة الأخرى.
- حملات التصيد والهندسة الاجتماعية المستهدفة: يمكن للبيانات المخترقة أن تغذي هجمات التصيد الاحتيالي عالية الاستهداف ضد المواطنين والموظفين. تعزز معلومات تحديد الهوية الشخصية المفصلة مصداقية الاتصالات الاحتيالية، مما يزيد من احتمالية الاستغلال الناجح.
التوصيات
- قم بإجراء تدقيق أمني شامل: قم بإجراء تدقيق متعمق للبنية التحتية المتأثرة، لتحديد ومعالجة أي نقاط ضعف أو أبواب خلفية متبقية قد تستمر بعد وقوع الحادث.
- قم بإلغاء جميع بيانات الاعتماد المكشوفة والمحتمل اختراقها: تأكد من تدوير جميع بيانات اعتماد قاعدة البيانات والتطبيقات - خاصة تلك المخزنة مسبقًا في ملف.env -. قم بتطبيق ممارسات الإدارة السرية الصارمة لمنع التعرض لبيانات الاعتماد في المستقبل.
- إزالة الوصول العام إلى الواجهات الإدارية: قم بتقييد الوصول فورًا إلى نقاط النهاية الإدارية الحساسة مثل adminer.php من خلال إدراج IP في القائمة البيضاء أو الوصول إلى VPN أو الإزالة الكاملة من المجال العام.
