مايكروسوفت: هجمة جديدة لعصابة “نوبليوم” تستهدف 3آلاف منشأة في 24 دولة

مايكروسوفت
قالت شركة مايكروسوفت أنها رصدت حدوث هجمة أمنية واسعة النطاق، بدأت يوم 28 مايو ولا تزال قائمة ونشطة حتي الآن، وتستهدف حسابات ونظم البريد الالكتروني بالوكالات الحكومية ومنظمات المجتمع المدني والمنظمات الدولية، وتمكنت من مهاجمة ما يزيد على ثلاثة آلاف منشأة ووكالة حول العالم، وهاجمت حسابات بريد الكتروني في 150 منظمة، ودعت الشركة الجميع إلي توخى الحذر، واستخدام قواعد الأمان الأساسية لأمن المعلومات، بما في ذلك استخدام المصادقة متعددة العوامل وبرامج مكافحة الفيروسات والبرامج الضارة، والحرص على عدم النقر فوق الروابط الواردة في البريد الإلكتروني، ما لم تتمكن من تأكيد الموثوقية لتقليل مخاطر التعرض للخداع.
الهجمة بدأت 28 مايو باستهداف بريد الكتروني تابع لهيئة المعونة الامريكية
وأوضح توم بيرت، نائب رئيس الشركة لأمن وثقة العملاء في منشور تحذيري كتبه على المدونة الرسمية لمايكروسوفت، أن الهجمة تنتمى إلي فئة “هجمات سلاسل التوريد” التي تشنها العصابة الالكترونية المعروفة باسم “نوبليوم”، الروسية التي كانت وراء الهجمة واسعة النطاق التي طالت آلاف من المؤسسات الأمريكية خلال عام 2020، وعرفت باسم هجمات “سولار ويند”، واستخدمت فيها برمجيات شركة “سولار ويند” كوسيلة أو ناقل للفيروسات والبرامج الخبيثة التي تم نشرها خلال الهجمة.
تكتيك ونطاق الهجمة
وفقا لعمليات الرصد التي قام بها خبراء مايكروسوفت، فإن الهجمة بدأت بنشر رسالة بريد الكتروني احتيالي، انخدع بها أحد القائمين على حساب بريد الكتروني تستخدمه هيئة المعونة الامريكية أو “الوكالة الأمريكية للتنمية الدولية”، وتمكنت العصابة من اختراق حساب الاتصال المستمر، الخاص بخدمة تستخدم للتسويق عبر البريد الالكتروني، وبعد الوصول الأولي ، تمكن المهاجمون من إرسال رسائل بريد إلكتروني احتيالية تنتحل صفة تلك الواردة من الوكالة الأمريكية للتنمية الدولية، لخداع مستخدمين آخرين في مؤسسات اخري تتعامل مع الوكالة، وقاموا بإرفاق ملف ضار مع الرسالة، إذا تم فتحه، ينشر برنامجا ضارا خلفيا يعرف بباسم ” نيتف زون”، قادر على سرقة البيانات وإصابة أجهزة الكمبيوتر الأخرى المتصلة بالشبكة.
لا تزال مستمرة وتوسعت لتهاجم حسابات بريد إلكتروني في 150 منظمة
 في الأيام التالية، اكتشفت أدوات الرصد التابعة لمايكروسوفت، أن الهجمة تتوسع وتستهدف وكالات حكومية ومراكز بحث وفكر، واستشاريين ومنظمات غير حكومية ومنظمات دولية، وطالت الهجمة ما يقرب من 3000 حساب بريد إلكتروني في أكثر من 150 منظمة مختلفة، وفي حين تلقت المنظمات في الولايات المتحدة الحصة الأكبر من الهجمات ، فإن الضحايا المستهدفين ينتمون إلى 24 دولة على الأقل، وما لا يقل عن ربع المنظمات المستهدفة كانت منخرطة في العمل التنموي الدولي والإنساني والحقوقي.
وعلى الرغم من اتساع نطاق الهجمة ووصولها الي هذا المستوي، إلا أن مايكروسوفت قالت أن المجتمع الأمني يجب أن يشعر بالرضا عن العمل الجماعي الذي تم القيام به للحد من الضرر الذي كان من المحتمل أن تسببه هذه الموجة من الهجمات، فقد تم إبلاغ العملاء المستهدفين، ومراقبة تقارير اخري عن كثب، واتخاذ إجراءات مقاومة وصد سريعة وفعالة، وكانت النتيجة أنه لم يظهر بعد دليل على اختراق عدد كبير من المنظمات والوكالات التي تعرضت للهجوم، وأشارت مايكروسوفت إلي أن خدمات مكافحة الفيروسات مثل مايكروسوفت ديفيندر لمقاومة الفيروسات، ومنتجات الكشف عن نقاط النهاية والاستجابة لها، قامت بدور فعال في تحييد الهجمات والحماية من البرامج الضارة.
3 نقاط مقلقة
أوضحت مايكروسوفت أنه على الرغم من الفعالية في صد واستيعاب الهجمة حتي الآن، إلا أن هناك ثلاثة نقاط مثيرة للقلق وتتطلب أقصي درجات الحيطة والحذر، الأولي أن الهجوم تم على طريقة هجمة “سولار ويند” العام الماضي، مما يعني أن جزءا من قواعد اللعبة التي تمارسها عصابة “نوبليوم” يستهدف الوصول إلى مزودي التكنولوجيا الموثوق بهم وإصابة عملائهم، من خلال استخدام منتجات مزودي التكنولوجيا كنواقل للبرمجيات الضارة والفيروسات، سواء من خلال الإصدارات الجديدة، أو عمليات التحديث الدورية، ومثل هذا الأمر يتم من خلال ممارسات طويلة النفس، تزيد من الأضرار الجانبية لعمليات التجسس، والأهم أنها تقوض الثقة في النظام البيئي للتقنية واسواقها، عبر هز الثقة في البرمجيات والنظم التي يشتريها العملاء من مصنعي البرمجيات.
والنقطة الثانية أن أنشطة عصابة نوبليوم والجهات المماثلة لها، تميل الي تتبع وتبني القضايا والأهداف الموضوعة من قبل دول وحكومات، وليس افراد أو مجموعات من المجرمين المحترفين، مما يعني أننا أمام هجمات لا تنتهي أو تتوقف بسهولة، ولا يمكن حصر اخطارها خلال جولة واحدة، فهذه المرة استهدفت نوبليوم العديد من المنظمات الإنسانية والحقوقية، وفي ذروة وباء حدث استهداف لمؤسسات الرعاية الصحية العاملة في مجال اللقاحات، وفي 2019 تم استهداف المنظمات الرياضية ومكافحة المنشطات، كما قامت عصابة سترونتيوم الروسية المدعومة من الدولة وجهات اخري باستهداف الانتخابات الرئاسية الأمريكية، وبالتالي فالهجمة الحالية تعد دليلا جديدا على الكيفية التي أصبحت بها الهجمات الإلكترونية هي الأداة المفضلة لعدد متزايد من الدول لتحقيق مجموعة متنوعة من الأهداف السياسية.
تنتمي لهجمات ” سلاسل التوريد” على غرار سولار ويند العام الماضي
والنقطة الثالثة أن الهجمة الحالية تؤكد مجددا أن الهجمات الالكترونية المدعومة من الدول والحكومات، لم تتباطأ، ولن تخف حدتها خلال الفترة المقبلة، مما يجعل هناك حاجة ماسة لوضع قواعد واضحة تحكم سلوك الدول في الفضاء الالكترونية، مع وضع عقوبات واضحة لانتهاك تلك القواعد، وبالتالي يصبح من المتعين تقديم المزيد من الدعم لنداء باريس للثقة والامن في الفضاء الالكتروني، واعتماد سياسات الامن الالكتروني على نطاق دولي واسع، وقالت مايكروسوفت انها من جانبها ستواصل العمل مع الحكومات والمؤسسات الراغبة في تعزيز قضية السلام الرقمي العالمي.
يذكر أن الهجمة المماثلة التي شنتها هذه العصابة في نهاية العام الماضي على اكثر من الف مؤسسة أمريكية، كانت صعبة الاكتشاف لأن نقطة البدء بالهجوم تمت خارج المؤسسات المستهدفة اصلا، ، وبعيدا عن كل ما تضعه لنفسها من دفاعات ونظم حماية وخلافه، حيث تمثلت نقطة البدء في حزمة برمجيات تدعي “أوريون”، متخصصة في أعمال إدارة ومراقبة أداء شبكات المعلومات داخل المؤسسات الكبرى، وهي من انتاج شركة “سولار ويند”، التي تعد واحدة من أكثر شركات البرمجة موثوقية واحترافية في هذا المجال، وركز المهاجمون جهودهم على هذه الحزمة البرمجية، حتي تمكنوا من رصد ثغرة برمجية موجودة بها، وقابلة للاستغلال، وهنا توفر لهم نقطة البداية لتنفيذ الهجوم، بعيدا تماما عن دفاعات وأنظمة أمن المؤسسات المستهدفة.