ُمنذ عام تقريبًا، كشف باحثو الأمن النقاب عن أحد أسوأ خروقات البيانات في التاريخ الحديث، وكانت حملة قرصنة مدعومة من الكرملين أدت إلى اختراق خوادم مزود إدارة الشبكة سولار ويندز (Solar Winds)، ومن هناك اختُرقت شبكات تضم عملاء كبارا لهذه الشركة، بما في ذلك 9 وكالات فدرالية أميركية.
أطلقت مايكروسوفت اسم "نوبليوم" على المتطفلين الذين تم طردهم في النهاية من شبكات الشركة، لكن المجموعة لم تستسلم أبدًا، ويمكن القول إنها أصبحت أكثر جرأة ومهارة في اختراق أعداد كبيرة من الأهداف بضربة واحدة.
ومؤخرا حذرت شركة الأمن مانديانت (Mandiant)، التي نشرت يوم الاثنين بحثًا يشرح بالتفصيل العديد من حيل نوبليوم -وبعض أخطائها- حيث استمرت في اختراق شبكات ذات القيمة العالية.
إساءة استخدام الثقة
أحد الأشياء التي جعلت نوبليوم تحدث ضررا هائلاً للغاية هو الإبداع في تقنيات "تي تي بي إس" (TTPs) ، وهي في لغة الهاكر التكتيكات والتقنيات والإجراءات المتبعة في أعمال القرصنة. فبدلاً من اختراق كل هدف واحدًا تلو الآخر، اخترقت المجموعة شبكة سولار ويندز التي لديها عملاء كبار واستخدمت الثقة التي تتمتع بها أمام العملاء في الشركة، لدفع تحديث ضار إلى ما يقرب من 18 ألف من عملائها.
بهذه الطريقة يمكن للقراصنة التسلل على الفور إلى جميع هذه الكيانات. وسيكون الأمر مشابهًا لما يقوم به لص اقتحم مبنى صانع الأقفال وحصل على مفتاح رئيسي يفتح أبواب كل مبنى في الحي، مما يجنبه الاضطرار إلى فتح كل قفل على حدة. لم تكن طريقة نوبليوم قابلة للتطوير وفعالة فحسب، بل جعلت من السهل إخفاء آثارها بسبب ثقة العملاء بسولار ويندز.
ويظهر تقرير مانديانت أن براعة نوبليوم لم تتراجع. فمنذ العام الماضي، يقول باحثو الشركة إن مجموعتي القرصنة المرتبطتين باختراق سولار ويندز -واحدة تسمى (UNC3004) والأخرى (UNC2652)- واصلتا ابتكار طرق جديدة لاختراق أعداد كبيرة من الأهداف بطريقة فعالة.
وبدلاً من إفساد الشبكات الخاصة بسولار ويندز، قامت المجموعات بضرب شبكات موفري الحلول السحابية ومقدمي الخدمات التشغيلية -مثل تشغيل الخوادم والخدمات المتعلقة بالصيانة وغيرها من الخدمات التقنية اللازمة للتشغيل- أو ما يعرف بـ "سي إس بي إس" (CSPs)، وهي شركات تابعة لجهات خارجية تعتمد عليها العديد من الشركات الكبيرة في مجموعة واسعة من خدمات تكنولوجيا المعلومات. ثم وجد المتسللون طرقًا ذكية لاستخدام هؤلاء المزودين المخترقين للتطفل على عملائهم.
وقال تقرير مانديانت إن "نشاط التسلل هذا يعكس قدرات هذه المجموعة التي تخطط لتهديد أمني بمستوى عالٍ يستهدف عمليات التشغيل التقنية".
ولم تتوقف المهارة المتقدمة عند هذا الحد، فوفقًا لمانديانت، تضمنت التكتيكات والبراعات المتقدمة الأخرى استخدام بيانات اعتماد مسروقة من قبل متسللين آخرين ذوي دوافع مالية، والذين يستخدمون برامج مالية ضارة مثل كريبت بوت (Cryptbot)، وهو برنامج سارق للمعلومات حيث يجمع بيانات اعتماد الضحية ومتصفح الويب ومحافظ العملات المشفرة لحسابها.
وسمحت هذه البرامج لمجموعتي القرصنة (UNC3004) و(UNC2652) بخرق الأهداف حتى في حالة عدم استخدام مزود خدمة مخترق.
فبمجرد وجود مجموعات المتسللين داخل الشبكة، تتم عملية اختراق نظام تصفية البريد العشوائي للمؤسسات أو البرامج الأخرى، حيث تعمل هذه الأنظمة على تصفية البريد لجميع المؤسسة، ولديها القدرة على الوصول إلى البريد الإلكتروني أو أنواع أخرى من البيانات من أي حساب آخر في الشبكة. وأدى اختراق هذا الحساب إلى توفير المتاعب المتمثلة في الاضطرار إلى اقتحام كل حساب على حدة.
كما استخدموا طرقا ذكية لتجاوز قيود الأمان، مثل استحداث أجهزة افتراضية لتحديد هيكلة الموجهات (راوترز) الداخلية للشبكات التي يريدون اختراقها.
وأيضا الحصول على حق الوصول إلى دليل نشط مخزن في حساب آزور (Azure) السحابي الذي تستخدمه الشركات، واستخدام أداة الإدارة الشاملة هذه لسرقة مفاتيح التشفير التي من شأنها إنشاء الرموز المميزة التي يمكن أن تتجاوز حماية المصادقة الثنائية للشركات.
أعطت هذه التقنية للمتطفلين ما يُعرف باسم سامل (SAML) الذهبي، الذي يشبه مفتاح الخزنة الرئيسية الذي يفتح كل خدمة تستخدم لغة الترميز لتأكيد الأمان، وهو البروتوكول الذي يجعل تسجيل الدخول الأحادي، المصادقة الثنائية، وآليات الأمان الأخرى تعمل.