قال مسؤولون أميركيون يوم الخميس 15 يونيو/ حزيران 2023، إن العديد من الوكالات الحكومية الفيدرالية والشركات الخاصة الأميركية والأجنبية تعرض لهجوم سيبراني عالمي، استغل ثغرة أمنية في برامج لنقل الملفات بأمان يُستخدم على نطاق واسع.
لا تزال المعلومات عن هذا الهجوم قليلة، وإليك ما نعرفه حتى الآن.
ما نوع الهجوم السيبراني الذي تعرّضت له الولايات المتحدة الأميركية؟
الهجوم هو برمجية فدية (Ransomware)، فقد استغل القراصنة ثغرة أمنية في برنامج موف إت (MOVEit) الذي يستخدمه الكثير من المؤسسات والشركات حول العالم لنقل الملفات بشكلٍ آمن. تمكن القراصنة بسبب هذه الثغرة من الوصول إلى ملفات مهمة وحساسة وتشفيرها، ثم طلبوا فدية مالية مقابل إلغاء التشفير.
اقرأ أيضاً: كيف تمكن قراصنة روس من اختراق وكالات حكومية أميركية لأشهر دون ضبطهم؟
من الجهة التي نفذت هذا الهجوم؟
أعلنت مجموعة قرصنة ناطقة باللغة الروسية تُعرف باسم كلوب (CLOP) مسؤوليتها عن الهجوم، ونشرت تفاصيل بعض البيانات المسروقة على موقعها في شبكة الويب المظلم لإثبات ذلك.
تشتهر هذه المجموعة باستخدام برمجيات الفدية، وهي نوع من البرامج الضارة، تؤدي إلى تشفير الملفات وتطالب بفدية مالية مقابل فك تشفيرها. ومع ذلك، ليس من الواضح ما إذا كانت مجموعة كلوب وراء كل الهجمات أو ما إذا كانت مجموعات أخرى قد استغلت الثغرة الأمنية نفسها وشاركت في الهجوم السيبراني.
اقرأ أيضاً: نظرة داخل فريق مايكروسوفت الذي يتعقب أخطر قراصنة المعلومات في العالم
ما دوافع القراصنة؟
قد تكون للقراصنة الذين نفذوا الهجوم دوافع وأهداف مختلفة اعتماداً على انتمائهم وطريقة عملهم؛ فقد يكون دافع البعض منهم هو المكاسب المالية، أي السعي لأخذ فدية من الضحايا أو بيع بياناتهم على الويب المظلم. في حين قد تكون لدى البعض أهداف سياسية أو أيديولوجية، مثل السعي لتقويض عمل الوكالات الحكومية الأميركية أو التأثير عليها أو كشف أسرارها، خاصةً إذا عرفنا أن الهجوم يحمل بصمات مجموعة قرصنة روسية، ويأتي في ظل توتر كبير بالعلاقات بين روسيا وأميركا.
اقرأ أيضاً: قراصنة المعلومات يثبتون سهولة استهداف البنى التحتية الحساسة
مَن هم ضحايا الهجوم السيبراني؟
قالت وكالة الأمن السيبراني وأمن البنية التحتية الأميركية (CISA)، إنها تقدّم الدعم للعديد من الوكالات الفيدرالية التي كانت ضحية لهذا الهجوم، لكنها لم تذكر أي أسماء.
وفقاً لتقارير وسائل الإعلام، فالوكالات المتضررة هي: وزارة الطاقة ووزارة الأمن الداخلي ووكالة الأمن القومي، كما أصاب الهجوم جامعات أميركية كبرى مثل: جامعة جونز هوبكنز في بالتيمور وبعض حكومات الولايات والشركات الخاصة مثل: شركة شل والخطوط الجوية البريطانية وهيئة الإذاعة البريطانية (BBC).
يظهر الهجوم التأثير الواسع الذي يمكن أن يحدثه عيبٌ واحد في البرامج إذا تم استغلاله من قِبل مجموعات قرصنة ذات خبرة، كما أنه يُثير مخاوف بشأن أمن البنية التحتية والبيانات في عالم يتحول أكثر نحو الرقمنة.
اقرأ أيضاً: لماذا يسهل على القراصنة العثور على الثغرات الأمنية؟ جوجل تجيب
كيف اكتُشف الهجوم؟
اكتُشف الهجوم من قِبل شركة بروغرس سوفت وير (Progress Software)، وهي الشركة نفسها المطورة لبرنامج نقل الملفات موف إت.
لا يبدو أن الشركة ستتعرض لأي مشكلات قانونية بسبب هذا الهجوم، لأنها أصدرت تحديثاً أمنياً في 31 مايو/ أيار، ونبهت جميع عملائها بوجود الثغرة الأمنية، وأكدت ضرورة تحديث البرنامج. لكن لم يستجب كل عملائها في الوقت المناسب، ما جعلهم عرضة للاختراق.
تعمل الشركة حالياً مع خبراء إنفاذ القانون والأمن للتحقيق في الهجوم وإيجاد أفضل السبل لمساعدة عملائها.
اقرأ أيضاً: مَن يتحمل مسؤولية الهجمات السيبرانية التي تستهدف الشركات؟
كيف تم التعامل مع الهجوم؟
قالت وكالة الأمن السيبراني وأمن البنية التحتية الأميركية، إنها تعمل بشكلٍ عاجل لفهم الآثار وضمان التقليل من تأثير الهجوم في الوقت المناسب، كما حثت جميع مستخدمي برنامج موف إت على تحديث البرنامج وفحص أجهزتهم وأنظمتهم بحثاً عن أي علامات قد تشير إلى تعرضهم للاختراق.
يشارك مكتب التحقيقات الفيدرالي ووكالة الأمن القومي في التحقيق والرد على الهجوم. وبحسب ما ورد في وسائل الإعلام، اضطر بعض الضحايا إلى الدفع للقراصنة من أجل استعادة بياناتهم، بينما رفض آخرون التفاوض معهم.
ماذا يحدث للبيانات في حال عدم دفع الفدية؟
كانت مجموعة القرصنة قد منحت الضحايا مهلة حتى يوم الأربعاء 14 يونيو/ حزيران 2023 للاتصال بهم بشأن دفع فدية، وفي صباح الخميس، كتب المتسللون على موقعهم في الويب المظلم، "إذا كنتم حكومة أو مدينة أو خدمة شرطة، فلا داعي للقلق، لقد قمنا بحذف جميع بياناتك. لا تتصل بنا. ليست لدينا مصلحة في فضح مثل هذه المعلومات".
اقرأ أيضاً: قراصنة صينيون يستغلون ثغرات برمجية مر عليها سنوات لاختراق شركات الاتصالات العملاقة
بماذا يشبه هذا الهجوم هجوم سولار ويندز؟
هذا الهجوم يشبه إلى حدٍ كبير هجوم سولار ويندز (SolarWinds) الذي نجح في اختراق العديد من الوكالات الحكومية الأميركية والشركات الخاصة في أواخر عام 2020 وأوائل عام 2021، فقد تضمن كلا الهجومين استغلال ثغرات في برامج توفّرها شركات موثوق بها وتُستخدم على نطاق واسع.
لكن الهجوم الأخير يبدو أكثر انتهازية وعشوائية، حيث استهدف أي مؤسسة أو شركة تستخدم البرنامج الذي يتضمن الثغرة، في حين كان هجوم سولار ويندز أكثر استراتيجية وانتقائية، حيث ركّز القراصنة فيه على استهداف وكالات الأمن القومي والاستخبارات.