آرون هيرست

تلقي هذه المقالة الضوء على أخطر عشر عمليات اختراق سيبرانية تم تنفيذها على المنظمات منذ عام 2020 حتى الآن.

فسواء كانت الهجمات المتعلقة بالجوانب المالية أو المتعلقة بالسمعة، فإن الهجمات الإلكترونية تبدو قادرة على إيقاف عمليات حتى أكبر المؤسسات وأكثرها أمانًا. إذ تعمل الجهات الفاعلة في مجال التهديد على تطوير تقنياتها باستمرار لتجاوز الإجراءات الأمنية، لدرجة أن الجريمة السيبرانية، التي يُتوقع أن تكلف الشركات 10.5 تريليون دولار سنويًا بحلول عام 2025، قد تطورت لتصبح صناعة في ذاتها.

وفيما يلي قائمة بأشد عشر هجمات سيبرانية كارثية خلال العقد الأول من القرن الحادي والعشرين:

عملية ماريوت الدولية Marriott International (2020)

في أوائل عام 2020، قام مهاجمون باختراق شبكة ماريوت الدولية وحصلوا على البيانات الخاصة بتسجيل الدخول لاثنين من الموظفين. وقد تم تحديد هذه العملية خلال الفترة من فبراير 2020 حتى يناير من العام الحالي، مما أدى إلى اختراق بيانات 339 مليون عميل من عملاء شركة ماريوت. وقد تضمنت تفاصيل تلك العملية بيانات الاتصال ومعلومات خاصة بمخططات الولاء لبرنامج Marriott Bonvoy والتفضيلات الخاصة بالإقامة.

وبعد تنفيذ عملية الاختراق، قام الفندق بالتواصل مع العملاء من خلال خدمات مراقبة المعلومات الشخصية، وإعادة تعيين كلمة مرور الخاصة بحساب البرنامج، بالإضافة إلى تحذير العملاء الذين طالتهم عملية الاختراق من هجمات احتيالية محتملة نتيجة لاختراق بياناتهم. وقد قامت المفوضية الدولية للمعلومات “ICO” بتغريم ماريوت مبلغ 18.4 مليون جنيه إسترليني في أكتوبر 2020.

وأبلغت سلسلة الفنادق عن ثلاث عمليات اختراق خلال السنوات الأربع الأخيرة، وقد وقعت آخرها في يوليو 2022 ، لكن هذه المرة حدثت من قبل أحد الأفراد الذي تمكن من الوصول من خلال موظف يعمل في مجال الهندسة الاجتماعيةSocial engineering.

عملية شركة سولار ويندز الأميركيةSolarwinds  (2020)

اكتشف خبراء الأمن السيبراني في ديسمبر 2020، في شركة فاير آي FireEye (وتعرف حاليا باسم Trellix)، أن الفاعلين في مجال التهديد المستمر والمتقدم (APT) قد قاموا باختراق سلسلة التوريد الخاصة بشركة سولار ويندوز الأميركية؛ إذ قام المهاجمون بالتنكر واختراق تطبيق “ويندوز سولار أوريون” SolarWinds Orion التجاري.

وقد كان من بين الجهات التي قامت بتحميل هذا التطبيق وزارة الدفاع ووزارة الخزانة والتجارة الأميركية وغيرها من الإدارات الحكومية، بالإضافة إلى 425 من 500 جهة كبرى بالولايات المتحدة. وتم الوصول إلى شبكة شركة آير فاير FireEye بعد الهجوم على سلسلة التوريد. ومع ذلك، ووفقًا لتقديرات البيت الأبيض، فقد أعلنت شركة “سولار ويندوز” أن العدد الفعلي للعملاء ضحايا هذا الهجوم كان أقل من 100 جهة أو مؤسسة.

بجانب ذلك، يُعتقد أن مجموعة الهجمات السيبرانية الروسية المعروفة باسم Cozy Bear كانت وراء هذا الهجوم، فقد استغلوا ثغرة أمنية في تطبيق أوريون Orion سمحت بتجاوز عملية المصادقة. ويُعتقد أن الإجراء الذي اتخذته هذه المجموعة يرجع إلى شهر مارس 2020.

عملية خط أنابيب كولونيا بالولايات المتحدة Colonial Pipeline (2021)

تعرض أحد أكبر خطوط الأنابيب الوطنية في الولايات المتحدة للإيقاف، وهو خط أنابيب كولونيال Colonial Pipeline، وذلك في شهر مايو 2021 بعد أن تم احتجاز 100 جيجابايت من البيانات من الشبكة الخاصة به كرهينة. ويُعتقد أن الجناة في هذا الهجوم هم جماعة الجريمة السيبرانية المعروفة باسم “الجانب المظلم” DarkSide.

وقد دفعت الشركة الموردة للوقود فدية بمقدار 75 بيتكوين، أو 4.4 مليون دولار، وذلك قبل حصولها على الأداة الخاصة بإعادة تشغيل نظامها على الإنترنت، وقد استغرق ذلك عدة أيام. وفي شهر يونيو 2021، أعلنت وزارة العدل الأميركية عن استرداد 63.7 بيتكوين (بما يعادل 2.3 مليون دولار) من الفدية التي حصلت عليها جماعة “الجانب المظلم”.

ومع حدوث نقص في إمدادات الوقود نتيجة لهذا الهجوم، احتاجت شركات الطيران الأميركية إلى إعادة تنظيم الرحلات الجوية، إذ ارتفعت أسعار الوقود إلى أعلى مستوياتها منذ عام 2014.

عملية تطبيق مايكروسوفت إكستشينج سيرفر Microsoft Exchange (2021)

تم اختراق البيانات التي يستضيفها خادم مايكروسوفت إكستشينج خلال الفترة من يناير إلى مارس 2021، إذ تم اكتشاف بداية أربع ثغرات في اليوم الأول نتيجة لتلك الهجمات، التي يُعتقد أن من قام بتنفيذها شبكة الهاكرز الصينية التي ترعاها الدولة هافنيوم Hafnium ؛ إذ تأثر أكثر من 250 ألف خادم للشركة على مستوى العالم. وكان بين ضحايا هذه العملية عدد من الوكالات الحكومية الأميركية والمؤسسات الأكاديمية وشركات المحاماة.

وبينما ذكرت شركة مايكروسوفت أن خط إكستشينج أونلاين Exchange Online المستند إلى السحابة ومنتجات شركة مايكروسوف Microsoft 365 لم يتأثر، فقد تركت هذه العملية الشركات عرضة لمحاولات الاختراق التي تستهدف رسائل البريد الإلكتروني. ومن المعروف أن المهاجمين قد حصلوا على معلومات الاتصال والدفاتر والعناوين الخاصة بالعملاء، بالإضافة إلى تنفيذ عدد من البرامج الضارة لتسهيل الوصول على المدى الطويل.

وفي أعقاب هذه الهجمات، أصدرت شركة مايكروسوفت عمليات تصحيح لتقنيات الأمان الطارئة، كذلك أصدرت أداة تسمح للعملاء باكتشاف الأنشطة الضارة في شبكاتهم.

عملية شركة كوانتا كمبيوتر Quanta Computer (2021)

تعرضت شركة كوانتا كمبيوتر الأميركية المصنعة لأجهزة آبل Apple لسرقة مجموعة من خطط المنتجات في أبريل 2021، إذ أصبحت شركة آبل ضحية لهجوم سيبراني، وطُلِب منها دفع فدية بقيمة 50 مليون دولار مقابل عودة آمنة للخطط. وقد كُشِف أن هذا الهجوم قد تم تنفيذه بواسطة مجموعة آر إيفي REvil، وقد وقع قبل ساعات فقط من مؤتمر خاص بشركة آبل.

ووفقًا لرسالة تم نشرها على موقع “دارك وايب” Dark Web من قبل الجماعة المتخصصة في الهجمات السيبرانية، فقد فشلت شركة كوانتا كمبيوتر في دفع الفدية المطلوبة، مما أدى إلى استمرار رسائل التهديد بنشر بيانات جديدة من مخططات جهاز ماك بوك Macbook التي تم الحصول عليها يوميًا حتى تم دفع الفدية.

وبعد توجيه الأوامر الخاصة بالفدية، حصلت المجموعة المهاجمة على كافة ​​الإشارات المرجعية للهجمات من موقع الشركة الضحية على الإنترنت، وتم نشر لقطات من مخططات الشاشة بجهاز “ماك بوك” المسروق.

عملية شركة كاسيا Kaseya (2021)

تم تنفيذ عملية هجموم سيبرانية (هجوم البرمجيات) على شركة إدارة تكنولوجيا المعلومات “كاسيا” وعملائها، من قبل مجموعة الجرائم السيبرانية الروسية “آر إيفي” REvil، في يوليو 2021. وتعود الثغرات الأمنية الأولى التي ظهرت في برنامج “كاسيا” إلى أبريل من ذلك العام. ورغم أنه تم إصلاح أربع ثغرات، فإن ثمة سبعًا أخرى لا تزال في وضع ضعيف، فقد تم الاستفادة من ذلك الخلل في تجاوز عمليات المصادقة داخل النظام المسؤول (VSA). وردًا على ذلك، قامت الشركة بإغلاق خوادم VSA cloud وSaaS.

تأثر بهذا الهجوم ما بين 800 و1500 جهة ومؤسسة حكومية. وقد وشمل ذلك نحو 50 من مزودي الخدمات (MSPs)، وشركات الأمن السيبراني مثل شركة Huntress. وبجانب تشفير البيانات، تراوحت الفدية التي طلبها الجناة من بضعة آلاف إلى أكثر من 5 ملايين دولار.

لقد كانت مجموعة “آر إيفي” وراء الهجوم على شركة كوانتا التي تم إيقافها في أكتوبر 2021.

عملية شركة نيوز كوربوريشين News Corp (2022)

تبين أن البنية التحتية للبريد الإلكتروني لشركة النشر نيوز كوربوريشين News Corp قد تم اختراقها في يناير 2022 من قبل جهة مهاجمة يعتقد أنها مرتبطة بالحكومة الصينية. وتعود عملية الهجوم السيبرانية إلى فبراير 2020 على أقرب تقدير. ووفقًا لتحقيق أجرته سلطات تطبيق القانون الأميركية وشركة مانديانت Mandiant الأميركية للأمن السيبراني، فقد تأثرت حسابات البريد الإلكتروني والوثائق التي استضافتها شركة نيوز كوربوريشين News Corp HQ، وخدمات تكنولوجيا الأخبار News Technology Services، ومؤسسة داوجونز Dow Jones، ووكالة يو كي للأنباء News UK، وشركة نيويورك بوست The New York Post، لكن لم يتم تحديد عدد الصحفيين المتضررين من هذا الهجوم.

عملية الهجوم على منصة Crypto.com (2022)

في يناير 2022، تمت سرقة منصة Crypto.com للعملات المشفرة بما يقدر بـ33.7 مليون دولار من عملات البيتكوين والإيثر الخاص بها. وقد وجدت الشركة أن حسابات المستخدمين كانت تخضع لنشاط غير مصرح به، مع إجراء عدد من المعاملات دون التقديم القياسي لرموز المصادقة الثنائية (FA2). وقد تم إرسال الرموز التي حصلت عليها المجموعة المهاجمة إلى منصة “تريندو كاش” Tornado Cash، مما يجعل من المستحيل مراقبتها بشكل أكبر.

وبعد الهجوم، علقت المنصة عمليات السحب من جميع الحسابات لمدة 14 ساعة أثناء إجراء تحقيق. ثم طُلب من المستخدمين اتباع عملية التقديم القياسي لرموز المصادقة الثنائية من جديد. ووفقًا للشركة، لم يتلقَ أي عميل خسارة في الأموال مع استمرار حظر عمليات السحب أو تعويض العملاء.

عملية شركة ماركوارد وبيهلز Marquard & Bahls (2022)

تعرضت مجموعة أويتانكينج Oiltanking GmbH ومابانفت Mabanaft Group، وهما فرعان لشركة ماركوارد وبيهلز لتوريد النفط ومقرها ألمانيا، لهجوم سيبراني في فبراير 2022. ونتيجة لذلك، أصبحت إمكانات شركة أويتانكينج محدودة السعة. وقد تأثر بذلك 233 محطة وقود في جميع أنحاء شمال ألمانيا، من بينها محطات آرال Aral، وهي أكبر شبكة محطات للوقود في ألمانيا، وكذلك شركة “شل” Shell.

وفي أعقاب هذا الهجوم، أعلنت شركة “شل” أنها تمكنت من إعادة وتوجيه الإمدادات إلى مستودعات الإمداد البديلة.

عملية اللجنة الدولية للصليب الأحمر International Committee of the Red Cross (2022)

تعرضت شبكة اللجنة الدولية للصليب الأحمر غير الهادفة للربح للهجوم السيبراني في يناير 2022، إذ تم اختراق خوادم تستضيف بيانات شخصية تخص أكثر من 515 ألف شخص في جميع أنحاء العالم. وقد تم استغلال ثغرة أمنية حرجة غير مدققة من قِبَل الجهات الفاعلة في هذا الهجوم؛ مما أدى إلى اختراق بيانات اعتماد المسؤولين وملفات مدير الأرشيف. لقد تنكر المتسللون في هيئة مستخدمين شرعيين من خلال استخدام أدوات أمان معادية.

وكان من بين الضحايا الأفراد الذين استعانوا بخدمات الصليب الأحمر لاجئو النزاعات والمفقودين. وقد جاءت البيانات التي تم اختراقها من 60 جمعية للصليب الأحمر والهلال الأحمر على الأقل في جميع أنحاء العالم.

اضطرت اللجنة الدولية إلى إغلاق أنظمتها ونصحت المتضررين بالاتصال بالصليب الأحمر، أو الهلال الأحمر المحلي، أو مكتب اللجنة الدولية. ثم عادت خدمات المنظمة لاحقًا عبر الإنترنت من خلال عمليات المصادقة الثنائية المُحسَّنة.

إعداد: وحدة الترجمات بمركز سمت للدراسات

المصدر: Information-age