العالم يشهد 4 حوادث أمن معلومات خطيرة خلال أمس .. تعرف عليها

عودة ثغرة كابوس الطباعة وسرقة 600 مليون دولار عملات رقمية وهجوم علي شركة عملاقة وأداة خطيرة تقدم هجمات الفدية كخدمة

هجمة
شهد العالم أمس اربع حوادث خطيرة في أمن المعلومات، حيث أعلنت شركة مايكروسوفت عن عودة الثغرة الأمنية البالغة الخطورة المعروفة باسم “كابوس الطباعة” بنظام ويندوز، والتي ظهرت خلال الشهر الماضي وقدمت لها تحديثا امنيا للتعامل معها، فيما نجح مجرمون في التسلل الي شبكة تتعامل في العملات الرقمية والاستيلاء على عملات قيمتها تتجاوز 600 مليون دولار امريكي، ليسجلوا بذلك اكبر سرقة عملات رقمية على الاطلاق حتى الآن، واكتشف باحثون أمنيون ظهور أداة برمجية جديدة شديدة الخطورة منتشرة عبر منتديات وشبكات الويب المظلمة التابعة لمجرمي الانترنت، تم تطويرها بلغة “رست” لتستخدم في توفير “هجمات الفدية كخدمة” لمن يريد، كما شن مجرمون آخرون هجمة كاسحة بفيروسات الفدية على شركة “اكسنتشر” العملاقة للتقنية، والتي تصدى خبراؤها للهجمة وتمكنوا من احتوائها خلال ساعات.
كابوس الطباعة
مايكروسوفت تؤكد عودة ثغرة كابوس الطباعة بويندوز
جاء الإعلان عن هذه الحادثة في بيان تحذيري أصدرته مايكروسوفت عبر قسم أمن المعلومات على موقعها، قائلة إن التحديث الأمني الصادر الثلاثاء الماضي 10 أغسطس لا يتضمن حماية من ثغرة أمنية جديدة في إحدى مراحل الطباعة التي تتم عبر نظام تشغيل ويندوز وتسمي “مخزن الطباعة المؤقت”، وهي ثغرة تنتمي إلي المشكلة الأمنية الكبيرة المتعلقة بتأمين عمليات الطباعة من ويندوز وظهرت الشهر الماضي وعرفت باسم “كابوس الطباعة”، وصدر لها تصحيح امني سابق.
أوضحت مايكروسوفت أنه لا يوجد حل أمني متاح حاليا لهذه الثغرة الجديدة، وأنها تعمل على حل المشكلة وتوفير الحل في أول تحديث أمني مقبل.
حددت الشركة الثغرة في المكون البرمجي الخاص بتنفيذ التعليمات عن بعد، مشيرة إلي أنها تظهر عندما تؤدي خدمة Windows Print Spooler عمليات الملفات ذات الامتيازات بشكل غير صحيح، وقالت أن الثغرة تحمل اسم ” سي في إي ـ 2021 ـ 34481″، وتسمح للمهاجم الذي ينجح في استغلالها بتشغيل تعليمات برمجية عشوائية بصلاحيات مدير النظام، مما يمكنه من تثبيت البرامج أو عرض البيانات أو تغييرها أو حذفها، وإنشاء حسابات جديدة تتمتع بحقوق المستخدم كاملة، وأوصت مايكروسوفت المستخدمين بإيقاف خدمة Print Spooler وتعطيلها لمنع الجهات الضارة من استغلال الثغرة الأمنية، وذلك لحين توفير الحل الأمني المناسب لها في أقرب فرصة.
هجوم كاسح على اكسينتشر
الحادثة الثانية تعرضت لها شركة اكسينتشر عملاق تكنولوجيا المعلومات، حيث قامت عصابة “لوك بيت” الاجرامية المعروفة بضربها بهجمة استخدمت فيها فيروسات الفدية، وبعد النجاح الأولي للهجمة، قامت العصابة بنشر جانب من تفاصيلها على بوابة الويب المظلمة الخاصة بها، قائلة إن الهجمة تستهدف سرقة البيانات ثم تشفيرها ثم الضغط على الشركة لدفع الفدية.
في أعقاب ذلك اعترفت الشركة بوقوع الهجوم، وأكدت أن خبرائها استطاعوا احتوائه وصده، وقالت الشركة أنه من خلال ضوابط وبروتوكولات الأمان الخاصة بها ، حدد خبراؤها نشاطًا غير منتظم في إحدى بيئات العمل، فتم على الفور احتواء الأمر وعزل الخوادم المتأثرة، ثم استعادة الأنظمة المتأثرة بالكامل من النسخ الاحتياطي. لم يكن هناك أي تأثير على عمليات الشركة أو عملائها، ففشلت الهجمة.
وأوضحت الشركة إن عصابة “لوك بيت” تعمل مثل نظرائها من العصابات الأخرى مثل عصابة “دارك سايد” و “ري إيفل” باستخدام نموذج “هجمات الفدية كخدمة”، حيث تستخدم مجرمي الانترنت الآخرين المعروفين باسم الشركات التابعة، لتنفيذ عمليات التطفل باستخدام نظامها الأساسي ، مع تقسيم المدفوعات غالبًا بين الكيان الإجرامي الذي يوجه الهجوم والمطورين الأساسيين للبرامج الضارة.
ويأتي هذا التطور في الوقت الذي أصبحت فيه حوادث برامج الفدية تشكل تهديدًا خطيرًا للأمن القومي والاقتصادي مما جعل الشركات تتدافع لسداد طلبات ابتزاز ضخمة، وترافق الارتفاع المفاجئ في الهجمات على الشركات والبنية التحتية الحيوية بشكل متزايد مع تكتيك يسمى “الابتزاز الثلاثي” ، حيث يتم استخراج البيانات الحساسة على أنظمة الهدف قبل الإغلاق من خلال التشفير ، يليها الضغط على الشركات الضحية للدفع بواسطة تهدد بنشر البيانات المسروقة عبر الإنترنت ، وإلا فإن المهاجمين يتبنون مرحلة ثالثة ، باستخدام تلك البيانات لابتزاز عملائهم أو شن هجمات إنكار الخدمة ” دي دوس”.
أداة خطيرة جديدة
اكتشف فريق من خبراء أمن المعلومات بشركة بلاك بيري أداة برمجية ضارة جديدة شديدة الخطورة، يتم بيعها وتوزيعها والترويج لها عبر المنتديات السرية الروسية، تم بناؤها بلغة البرمجة المعروفة باسم “رست”، ومعدة لتقوم بتوفير ” هجمات الفدية كخدمة” لمن يريد، وقال الخبراء أن اتجاه المجرمين الروس لكتابة البرمجيات الضارة وأدوات شن الهجمات بلغة “رست” يشكل اتجاها جديدا، يدل على أن المجرمين بدأوا يستخدمون لغات برمجة غريبة وغير منتشرة، لتجاوز نظم الحماية الأمنية، والتهرب من التحليل وإعاقة جهود المكافحة القائمة على نهج “الهندسة العكسية”.
أداة جديدة شديدة الخطورة للاستخدام في تقديم هجمات الفدية كخدمة
وقال الباحثون أن الأداة الجديدة تدعي ” فيكر ستيلر Ficker Stealer ” ، ويتم نشرها عبر روابط الويب التي تحتوي على أحصنة طروادة ومواقع الويب المخترقة ، مما يجذب الضحايا لخداع الصفحات المقصودة التي يُزعم أنها تقدم تنزيلات مجانية للخدمات المدفوعة المشروعة مثل موسيقي سبوتيفاي ويوتيوب بريميوم وغيرها، ويتم الترويج لهذه الأداة باعتبارها برنامج ضار كخدمة “ماس”، ويتم في الغالب استخدامه لشن هجمات الفدية، ويقدم منشئ الأداة واسمه المستعار “فيكر”العديد من الحزم المدفوعة ، بمستويات مختلفة من رسوم الاشتراك لاستخدام برنامجهم الضار، وقال الباحثون إن البرنامج الضار الجديد لديه أيضًا قدرات على التقاط الشاشة ، مما يسمح لمشغل البرنامج بالتقاط صورة عن بعد لشاشة الضحية. كما يتيح البرنامج الضار أيضًا إمكانية الاستيلاء على الملفات وقدرات تنزيل إضافية بمجرد إنشاء الاتصال بلوحة التحكم الخاص به.
سرقة 600 مليون دولار
في الحادثة الرابعة، تمكن مجرمون من سرقة عملات مشفرة مثل بيتكوين واثيريوم قيمتها تعادل 611 مليون دولار، وذلك بعد نجاحهم في اختراق شبكة “بولي” الصينية المالية المتخصصة في معاملات العملات الرقمية المشفرة، لتكون الحادثة هي أكبر عملية سرقة تستهدف صناعة الأصول الرقمية والعملات المشفرة عبر الانترنت منذ نشأتها، ويجعلها في مقدمة الانتهاكات التي تستهدف البورصات والمعاملات المالية عموما خلال السنوات الأخيرة
بيتكوينوقالت شبكة بولي إن الفاعلين مجهولين واستغلوا ثغرة في نظامها لنهب الآلاف من الرموز الرقمية الخاصة بالعملات المشفرة مثل اثيريوم، وتم نقل العملات المسروقة الي ثلاث محافظ رقمية مختلفة، المحفظة الأولي وضع بها 273 مليون دولار، والثانية 253 مليون دولار والثالثة 85 مليون دولار، وفي خطاب مفتوح ، حث مشرفو البروتوكول اللصوص على “إقامة اتصال وإعادة الأصول المخترقة، على اعتبار أن هذا جريمة اقتصادية كبرى مؤثمة في جميع دول العالم، وستتم ملاحقة هذه الأموال أينما ذهبت، وهي خاصة بعشرات الآلاف من المتعاملين في مجتمع العملات الرقمية من كل العالم.
مجرمون يسرقون عملات رقمية مشفرة قيمتها 600 مليون دولار
وفي وقت لاحق من مساء أمس أعلنت الشبكة أن اللصوص أعادوا ما قيمته 261 مليون دولار المسروقة، ولا يزال الدافع وراء السرقة ثم إعادة الأموال غير معروف، غير أن أحد المهاجمين قال أن السرقة تمت من أجل المتعة، وفي سياق متصل قال باولو اردونيو الرئيس التنفيذي لشركة “ستيبلكوين” للعملات الرقمية أن الشركة جمدت ما قيمته 33 مليون دولار من العملات المشفرة الموجودة لديها، تحسبا لوقوع هجمات أخرى مماثلة، مؤكدا أن شركته على دراية بالهجمة الخطيرة التي وقعت لشبكة بولي، ويتم التنسيق مع الشركاء في مجال أمن المعلومات للمساعدة بشكل استباقي، ولا توجد ضمانات للحماية الكاملة، لكننا سنبذل قصاري جهدنا على حد قوله.
وفيما أكدت شبكة بولي أن هوية المتسلل غير واضحة حتي الآن، زعمت شركة تدعي “سلو ميست” لأمن المعلومات أنها كانت قادرة على تتبع عنوان البريد الالكتروني للمهاجم، والعنوان الرقمي وبصمة الجهاز الخاص به، وأن المصدر الأولي للأموال كان في عملات مونيرو المشفرة، وتم استبدالها بعد ذلك بعملات إيث وماتيك والعملات الأخرى.