فهم الهجوم السيبراني على جاكوار لاند روفر

في حادثة سيبرانية كبيرة، واجهت شركة السيارات الرائدة جاكوار لاند روفر حادثة سيبرانية الأسبوع الماضي مما أدى إلى إيقاف أنظمة العمل القسري في مواقع متعددة. كانت الشركة تبذل قصارى جهدها لإعادة تشغيل الأنظمة المتضررة. الحادث أثر بشكل رئيسي على الإنتاج بما في ذلك إنتاج قطع الغيار، مما أثر بشكل كبير على تقديم خدمات السيارات بسبب نقص قطع الغيار.

ما الذي حدث بالضبط؟

وفقًا للمصادر وجاكوار لاند روفر، بدأت الحادثة عندما اكتشفت الشركة وجود "اختراق غير مصرح به" في شبكتها. تم اكتشاف الاختراق عندما لاحظ الموظف نشاطًا غير معتاد على شبكة محيطية وقام بالإبلاغ عنه. ثم قامت جاكوار لاند روفر بتطبيق سلسلة من الإجراءات كجزء من سياسة الاستجابة للحوادث للحد من الاختراق، بما في ذلك:

· إيقاف الأنظمة

· حظر الوصول والامتيازات إلى الأنظمة المتضررة

· إيقاف خطوط الإنتاج مع الأنظمة المتصلة

· إطلاق تحقيق داخلي

· الاستعانة بوكالات خارجية لإجراء تحقيقات جنائية مفصلة

تحليل الهجوم والمهاجم السيبراني وراءه

يمكن تتبع أصول الهجوم إلى حملة الهندسة الاجتماعية / الاتصال الصوتي الاحتيالي (Vishing) التي شنتها مجموعة ShinyHunters قبل بضعة أسابيع. تعرف مجموعة ShinyHunters باستهداف العلامات التجارية العالمية المشهورة عبر حملات متعددة. بدأت المجموعة أنشطتها باستهداف الثغرات المعروفة في التطبيقات السحابية وقواعد البيانات محدودة الاستخدام، ثم قررت تغيير المسار عندما أدركت أن أنشطتها لم تحقق المستوى المطلوب من النتائج.

قامت ShinyHunters، بالتعاون مع المهاجم السيبراني الآخر Scattered Spider، بالسعي خلف مديري قواعد بيانات الشركات الكبرى للحصول على بيانات وأوراق اعتماد أكثر صلة وملاءمة. قامت مجموعة Scattered Lapsus$ Hunters (AKA SCATTERED SP1D3R HUNTERS AKA THE COMHQ) وهي مجموعة ضمن ShinyHunters، باستخدام قاعدة البيانات التي سرقتها ShinyHunters لشن حملات فدية واسعة النطاق تستهدف العلامات التجارية الكبرى عالميًا. كانت هذه الحملات أحد الأسباب وراء الهجوم على جاكوار لاند روفر.

Scattered Lapsus$ Hunters ليست سوى هوية جديدة لـ ShinyHunters وربما تكون نسخة معاد تجديدها من AlphV. يهدف التغيير المستمر للعلامات التجارية إلى إبقاء وكالات إنفاذ القانون مشغولة بملاحقة مسارات فارغة. في الواقع، عند تحليل الاتصالات بين هذه المجموعات الثلاث، هناك جهد ضئيل للغاية يتم بذله في إخفاء أصلها المشترك.

قد تكون هذه المجموعات الثلاث تشارك الأعضاء وتعمل تحت راية واحدة بموجب مجموعة واحدة من العقول المدبرة. نظرًا لأن Scattered Lapsus$ Hunters تدير أيضًا خدمة فدية كخدمة، فمن الممكن أن تكون أوراق الاعتماد المسروقة يتم بيعها بنشاط بواسطة هذه المجموعة.

كما قامت Scattered Lapsus$ Hunters بتوجيه تهديد بفدية لـ Google تطالبهم بإقالة اثنين من الباحثين الأمنيين الرئيسيين ووقف التحقيق الجاري ضدهم أو المخاطرة بتسريب بيانات محتمل. كما يُعرف عنهم إدارة حملات على وسائل التواصل الاجتماعي لتحديد أهدافهم التالية. أطلقت حملة حديثة عليهم مطالبة المتابعين بالإشارة إلى ما إذا كانوا يرغبون في استهداف أكبر شركة مشروبات في العالم وخدمة توصيل غذاء في الهند. تم استهداف كلتا الشركتين لاحقًا من قبل المجموعة.

تكتيكات وتقنيات وإجراءات (TTP)

· المستوى الأول أو الوصول الأولي: نشر تطبيقات OAuth باستخدام حسابات تجريبية، ثم استخدام حسابات مخترقة من منظمات غير ذات صلة.

· احتال الصوت والاحتيال الهندسي الاجتماعي: الاتصال بالموظفين الرئيسيين باستخدام عينات صوتية مولدة بواسطة الذكاء الاصطناعي وتقمص خدمة الدعم الفني.

· سرقة البيانات: يتم استخراجها عبر برامج Python المُهندسة التي تحاكي عمليات DataLoader.

· البنية التحتية المستخدمة: يتم تمرير مكالمات Vishing عبر عناوين IP VPN بينما يتم نقل البيانات عبر عقدة الخروج لـ TOR.

· التهديدات: يمكن أن تكون التهديدات في المستوى الأول بسيطة ومباشرة، يليها طلب للدفع الفوري الموجه إلى الرئيس التنفيذي لمنظمة الضحية.

نظريتنا حول كيفية حدوث الهجوم وكيف تطور

تم استخدام بيانات من هجمات سابقة أجراها Scattered Lapsus$ Hunters وفاعلون سيبرانيون آخرون لشن هجوم على بعض أجزاء من بنية جاكوار لاند روفر التحتية. بالإضافة إلى ذلك، تم تنفيذ هجوم صوتي احتيالي على إدارة علاقات العملاء باستخدام هجوم صوتي احتيالي. كشف هجوم CRM عن أوراق اعتماد مشتركة استخدمتها للوصول ومعالجة التطبيقات باستخدام الوصول المستند إلى VPN.

بمجرد نجاح الهجوم، شرعت المهاجم السيبراني في اتباع دليل تكتيكات وتقنيات وإجراءات (TTP) للانتقال عبر شبكة جاكوار لاند روفر وتصعيد الامتيازات عبر واحد أو أكثر من التطبيقات الرئيسية. تم حذف عدة استفسارات لسرقة البيانات باستخدام عناوين IP لـ TOR. ربما تم دمج حركة مرور TOR مع حركة المرور العادية لتجنب الكشف. من المحتمل أيضًا أن البيانات تم استخراجها عبر عقد الخروج لـ TOR.

بمجرد أن أصبحت التطبيقات الرئيسية قابلة للوصول وتم استخراج البيانات، قامت المهاجم بنشر فدية نمطية وبدأت تشغيل المرحلتين الأوليين من الهجوم. أدى تشفير البيانات إلى تنبيه فرق الأمن في المنظمة إلى الاختراق ثم تم اتخاذ إجراءات سريعة للتحكم في الاختراق وعزل الأنظمة.

نظرًا للكشف المتأخر، انتشر الهجوم عبر المنظمة مستغلاً تخطيط موارد المؤسسات (ERP) وتطبيقات أخرى متصلة.

إذن، ماذا يمكن القيام به لحماية بنيتك التحتية ضد مثل هذه الهجمات؟

· تقييم التكامل بين التطبيقات: يجب التعامل مع التطبيقات كنقاط للتلاعب من قبل المهاجمين السيبرانيين ويجب منح الامتيازات على أساس الاحتياج فقط وسحبها عندما لا تكون قيد الاستخدام.

· توثيق الطلبات عبر المكالمات: يجب توثيق أي طلب يتم عبر المكالمات من خلال وضعين إضافيين للمصادقة خارج الخط قبل منح الطلب.

· تبني سياسة عدم التسامح مع المخاطر: يجب معالجة أي مستوى من المخاطر المتبقية المرتبطة بالبيانات وعدم السماح ببقائها في سجل المخاطر باعتبارها "مخاطر مقبولة".

· إجراء تقييم محدد للمخاطر واستجابة للحوادث: يمكن القيام بذلك للتحقق من مدى استجابة للأحداث لنوع الهجوم المذكور أعلاه.

تحدث مع خبرائنا السيبرانيين في الحوادث أو قم بتحديد موعد استشارة مجانية مع خبير المخاطر من جهة ثالثة.

اقرأ مدونتنا عن إدارة الثغرات في أنظمة التشغيل.