🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
اقرأ المزيد
ملخص تنفيذي
يتعمق هذا التقرير في دراسة حالة حول حادث أمني تم الكشف عنه كلاودسك منصة أمن سلسلة التوريد الرقمية الوقفة الاحتجاجية على مزود برامج HRMS لبنك بارز والشركات التابعة له.
في دعوة تقشعر لها الأبدان للأمن السيبراني في القطاع المالي، أدى خطأ يبدو غير ضار ارتكبه موظف دعم في مزود برامج نظام إدارة الموارد البشرية (HRMS) إلى خرق البيانات الذي كشف معلومات حساسة لبنك بارز وشركاته التابعة.
- تبدأ القصة بكراك تم تنزيله. قام موظف دعم إقليمي، يبحث عن اختصار، بتثبيت برنامج غير مصرح به، غير مدرك للبرامج الضارة الكامنة بداخله. هذا البرنامج الضار «سارق المعلومات»، الذي يعمل مثل النشل الرقمي، انتزع بيانات اعتماد الموظف بصمت، مما أتاح الوصول غير المصرح به إلى كنز دفين من البيانات الحساسة.
- بفضل الامتيازات على مستوى المسؤول، حصل المهاجمون على رؤية بانورامية للبنك والشركات التابعة لها، بما في ذلك شركات إدارة الأصول، وصناديق الاستثمار المشتركة، وعمليات الإقراض/القروض، وتداول الأسهم، والتأمين على الحياة. تخيل مخترقًا ينظر إلى الأعمال الداخلية للبنك، قادرًا على عرض المعلومات ذاتها والتلاعب بها التي تحافظ على نبض قلبه المالي.
- لكن البيانات المسروقة تجاوزت مجرد الأرقام. تم الكشف عن التفاصيل الشخصية والمهنية للموظفين، بما في ذلك الأسماء ورسائل البريد الإلكتروني وحتى أرقام التعريف المحتملة. تم الكشف عن رموز الموظفين، وهي مفاتيح الأنظمة الداخلية، مما منح المهاجمين إمكانية تصعيد وصولهم وإحداث المزيد من الفوضى.
عواقب هذا الخرق بعيدة المدى. دعونا نتعمق في فهم كيفية حدوث الخرق.
عملية الاختراق الأمني خطوة بخطوة
- تنزيل البرامج المتصدعة: بدأ الاختراق الأمني عندما قام موظف دعم في مزود برامج HRMS (نظام إدارة الموارد البشرية) لبنك بارز وشركاته التابعة بتنزيل برامج متصدعة. تشير البرامج المتصدعة إلى الإصدارات غير القانونية من البرامج المدفوعة، والتي غالبًا ما تكون متاحة على الإنترنت مجانًا. في هذه الحالة، سعى الموظف إلى الوصول غير المصرح به إلى البرامج المرخصة عن طريق تنزيل نسخة متصدعة.
- الإصابة بالبرامج الضارة لـ Info Stealer: دون علم الموظف، كان البرنامج المتصدع الذي قام بتنزيله مصابًا ببرنامج ضار لسرقة المعلومات. تم تصميم هذا النوع من البرامج الضارة للتسلل إلى كمبيوتر الضحية وجمع معلومات حساسة، مثل أسماء المستخدمين وعناوين البريد الإلكتروني وكلمات المرور والمزيد. تعمل البرامج الضارة بصمت في الخلفية، مما يجعل من الصعب على المستخدم اكتشافها.
- الوصول غير المصرح به إلى بيانات HRMS: نظرًا لأن البرامج الضارة موجودة الآن على كمبيوتر الموظف، فقد بدأت في جمع البيانات الحساسة من النظام المصاب. كان لدى البرامج الضارة القدرة على تسجيل ضغطات المفاتيح والتقاط بيانات اعتماد تسجيل الدخول والوصول إلى المعلومات المخزنة.
- تسرب بيانات الاعتماد إلى الويب المظلم: ومع استمرار البرامج الضارة في جمع البيانات، قامت بتهريب المعلومات المسروقة، بما في ذلك بيانات اعتماد تسجيل الدخول، إلى خادم بعيد يتحكم فيه المهاجمون. من المحتمل أن يكون هذا الخادم موجودًا على الويب المظلم، وهو جزء مخفي من الإنترنت حيث تتم الأنشطة غير القانونية في كثير من الأحيان.
- يحصل المستخدمون غير المصرح لهم على الوصول: من خلال بيانات اعتماد تسجيل الدخول المسروقة، تمكن المستخدمون غير المصرح لهم من الوصول إلى نظام HRMS للبنك والشركات التابعة له. سمح لهم هذا الوصول بعرض ومعالجة بيانات HRMS الحساسة المتعلقة بالأنشطة المالية المختلفة، بما في ذلك شركات إدارة الأصول (AMC) وصناديق الاستثمار المشتركة والإقراض/القروض وتداول الأسهم والتأمين على الحياة.
- استغلال وظيفة الاستحواذ على الحساب: استغل المهاجمون وظيفة الاستحواذ على الحساب المضمنة داخل نظام HRMS. سمحت لهم هذه الوظيفة بالوصول غير المصرح به إلى حسابات المستخدمين، واختطاف الجلسات النشطة، واستنساخ الحسابات، ورفع امتيازاتهم، وتنفيذ هجمات الهندسة الاجتماعية المستهدفة داخل النظام.
- تغييرات كلمة المرور بدون مصادقة: كما مكنت وظيفة الوصول غير المصرح به والاستيلاء على الحساب المهاجمين من تغيير كلمات المرور دون مصادقة مناسبة. أدى ذلك إلى الكشف عن معلومات التعريف الشخصية (PII) للموظفين بسبب تغييرات كلمة المرور غير المصرح بها، مما زاد من تعريض أمن نظام HRMS للخطر.
- تسوية الرسائل الداخلية: عندما سيطر المهاجمون على نظام HRMS، تمكنوا من اختراق الرسائل الداخلية داخل المؤسسة. وشمل ذلك الاتصالات الحساسة المتعلقة بسرقة الهوية والوصول غير المصرح به والتلاعب بالبيانات وحتى الاحتيال في الرواتب.
- مخاطر البيانات والآثار القانونية: كانت عواقب هذا الخرق كبيرة، مما أدى إلى مخاطر البيانات مثل سرقة الهوية والوصول غير المصرح به والتلاعب بالبيانات والاحتيال في الرواتب. كان للكشف عن المعلومات الحساسة آثار قانونية وتنظيمية على البنك والشركات التابعة له، مما يشكل تهديدًا خطيرًا لعملياتها واستقرارها المالي.
ما هي البرامج الضارة لسرقة المعلومات؟
سارق المعلومات هو نوع من البرامج الضارة التي يستخدمها مجرمو الإنترنت لجمع تفاصيل حساسة، على سبيل المثال، المعلومات المتعلقة ببيانات اعتماد الضحية (أسماء المستخدمين وعناوين البريد الإلكتروني وكلمات المرور) والمعلومات المالية مثل تفاصيل بطاقة الائتمان وأرقام الحسابات المصرفية وما إلى ذلك.
تعمل أداة سرقة المعلومات هذه على نموذج MaaS (البرامج الضارة كخدمة) ويتم توزيعها على المنتديات السرية وفقًا لاحتياجات المستخدمين؛ تم تعيين التكلفة على 275 دولارًا في الشهر، أو خيار الاشتراك 125 دولارًا في الأسبوع. في قناة Telegram، يمكن الحصول على البرامج الضارة ودفعها في عملات البيتكوين والإيثيريوم وXMR وLTC وUSDT.
التوصيات
- قم بإبطال جميع بيانات الاعتماد المكشوفة وإخطار الموظف بإصابة البرامج الضارة.
- اعزل الكمبيوتر المخترق وتحقق من الحجر الصحي الناجح أو إزالة البرامج الضارة لضمان أمان الجهاز.
- راجع سجلات الوصول بحثًا عن تسريح/معالجة البيانات المحتملة والأبواب الخلفية.
- قم بإجراء تحليل السبب الجذري (RCA) لعدوى البرامج الضارة للكشف عن أصولها وتنفيذ تدابير وقائية ضد الإصابات المستقبلية.
- قم بتثقيف الموظفين حول أهمية تجنب الروابط غير الموثوق بها ومرفقات البريد الإلكتروني والملفات القابلة للتنفيذ التي لم يتم التحقق منها.
- قم بتطبيق سياسة كلمات مرور قوية وتغيير كلمات المرور على أساس دوري.
- شجع الموظفين على عدم تخزين كلمات المرور في متصفحات الويب الخاصة بهم.
- أبقِ فريق الأمان مطلعًا جيدًا على التكتيكات والتقنيات والإجراءات الحالية (TTPs) التي تستخدمها مجموعات برامج الفدية لتحقيق أهدافها.
المراجع
- https://en.wikipedia.org/wiki/Intelligence_source_and_information_reliability
- https://en.wikipedia.org/wiki/Traffic_Light_Protocol
- تحطيم الأرقام القياسية: عودة الراكون - CloudSek
- التحليل الفني لسارق الخط الأحمر - CloudSek
