فهم هجوم برامج الفدية على مصنع جعة أساهي
بريوكث ك ف
22 أكتوبر 2025
فك شفرة هجوم الفدية على مصنع جعة أساهي
أعلنت مجموعة أساهي القابضة، إحدى أكبر شركات تصنيع الجعة في اليابان، بشكل منفصل في 29 سبتمبر و3 أكتوبر أن أنظمتها تعرضت لاضطرابات بسبب هجوم فدية. وقامت الشركة لاحقاً بوقف الإنتاج وإجراء تحقيق لتحديد سبب الحادث وتحديد الأنظمة المتأثرة. وقد استأنفت الشركة الآن الإنتاج وبداية من 15 أكتوبر، بدأت أساهي برويري أيضاً بشحنات جزئية من مختلف المنتجات بما في ذلك جعة أساهي درافت وجعة أساهي دراي زيرو.
اقرأ تحليلنا لحادثة جاكوار لاند روفر هنا.
لفهم الهجوم على مجموعة أساهي، علينا أولاً فهم تقنيات مجموعة الفدية Qilin، وهي الفاعل الخطر وراء الحادثة. في رسالة نشرت على موقعها على الويب في وقت متأخر من مساء 7 أكتوبر، ادعت مجموعة Qilin من روسيا المسؤولية عن الخرق. كان هذا بعد أسبوع واحد فقط من الإبلاغ عن الهجوم. أصبحت Qilin لاعبة خطرة رئيسية في السنوات القليلة الماضية، إذ تشكل ما يصل إلى 48 بالمئة من الخروقات المبلغ عنها في العامين الماضيين. استحوذت المجموعة على شبكات الشركاء التابعين للفاعلين الخطرين المنتهين. كما تعمل في تنسيق وثيق مع مجموعة تهديد متقدمة معروفة مستندة في نفس المنطقة.
تقنيات مجموعة Qilin
تبدأ خطة الهجوم النموذجية برسالة بريد إلكتروني تصيد مصمم ببراعة ليبدو كأنه صادر من مزود خدمات مُدارة. يتم إرسال البريد الإلكتروني في الوقت الذي يكون فيه الموظفون المستهدفون مشغولين وغير قادرين على تولي الاهتمام الكافي. يحاكي البريد الإلكتروني تنبيه مصادقة يطلب من الموظفين إعادة إدخال بيانات تسجيل الدخول الخاصة بهم كجزء من ترقية نظام جارية.
بمجرد أن ينقر الموظف على الرابط، يتم توجيهه إلى موقع ويب مزيف يبدو حقيقيًا بكل طريقة ممكنة. بمجرد أن يدخل الموظف بياناته على الموقع المزيف، يتم تشغيل مصادقة متعددة العوامل عبر كلمة مرور لمرة واحدة (OTP). بمجرد إدخالها في الموقع المزيف، ينجح التسلل ويحصل المهاجم على الوصول إلى الشبكة والأنظمة الإضافية باستخدام بيانات الاعتماد.
المجموعة معروفة بإجراء بحث مكثف واستخراج البيانات حول:
· دليل البائعين النشط لتحديد جميع البائعين الرئيسيين الذين يقدمون الوصول إلى التطبيقات أو البوابات
· رسم خريطة للمسؤولين ومسؤولي المتخرطين في مثل هذه التطبيقات لاستهدافهم
· تعمل المجموعة بدقة كبيرة من حيث تحديد الهدف والرسائل
بمجرد أن يحصل الفاعل الخطر على الوصول، يتم تشغيل سلسلة من الخطوات بالتتابع كما يلي:
· تثبيت تطبيق الوصول عن بعد لسطح المكتب
· استطلاع متعدد المراحل على الشبكات المستهدفة
· استغلال الثغرات الأمنية (CVEs)
· استهداف النسخ الاحتياطي للاستخراج
· نشر برامج فدية متعددة المحمل وذكر الضحية علنًا
· استخدام تكتيكات الضغط لجعل الضحية تدفع الفدية
· بيع البيانات المُستخرجة
كيف حدث الهجوم السيبراني على مصنع جعة أساهي؟
ليس لدينا سبب للاعتقاد بأن الفاعل الخطر كان سيتخذ مسارًا آخر لوصول البيانات ونشر الفدية من الطرق المذكورة أعلاه في حالة هجوم الفدية على مصنع جعة أساهي. مجموعة Qilin استخرجت ما يقرب من 27.3 جيجابايت من البيانات (أكثر من 9673 وثيقة) موزعة عبر أنظمة مختلفة بما في ذلك وثائق الموارد البشرية (بما في ذلك تقييمات الموظفين السرية) ، ووثائق مالية بما في ذلك المعلومات القانونية والعقود والسجلات التشغيلية لفريق محدد. استهدفت المجموعة أيضًا التقارير السرية والمعلومات المثيرة للاهتمام المحددة للمستثمرين والمنظمين لزيادة الضغط على مجموعة أساهي القابضة لدفع الفدية.
استهدف الفاعل الخطر أيضًا نسخًا احتياطية متعددة ويمكن قياس مدى الهجوم من خلال حقيقة أن حتى نظام حجز الطلبات كان معطلاً حتى الأسبوع الماضي وكان على الشركة اللجوء إلى أخذ الطلبات عن طريق الفاكس وتوثيق الطلبات باستخدام القلم والورق. في وقت كتابة هذا التقرير، تعرضت شركة يابانية أخرى في قطاع العقارات لهجوم أيضًا من قبل Qilin. من الممكن أن تكون كلتا الأحداثين منسقتين من خلال شريك محلي معروف لـ Qilin موجود في كوريا الشمالية.
البرامج الضارة المستخدمة في الهجوم كانت NETXLOADER، وهي برامج ضارة مخفية تعتمد على محمل برامج ضارة يستند إلى .NET. يمكن استخدام هذا المحمل لتنفيذ حمولة متعددة وهذا يفسر سبب تعرض أقسام مختلفة داخل مصنع جعة أساهي للخرق. علاوة على ذلك، التنفيذ المرحلي أيضًا ضمن درجة عالية جدًا من الإخفاء ويمكن أن يكون المحمل والبرامج الضارة المنفذة قد ظلت غير مكتشفة لفترة طويلة من الزمن.
استهدفت Qilin الأنظمة والبيانات الحيوية لتحقيق أهدافها من الفدية بشكل أسرع.
كيف يمكن منع حوادث مثل الهجوم السيبراني على مصنع جعة أساهي؟
· المكان المنطقي للبدء هو توعية الموظفين. من الأهمية بمكان ضمان أن يكون الموظفون على دراية بتقنيات الفاعلين الخطرين مثل Qilin حتى لا يقعوا في فخهم.
· بناء تقسيم كافٍ بين الشبكات يمكنه تسريع احتواء التهديدات
· وجود نسخ احتياطية للنسخ الاحتياطية سواء من حيث البيانات أو في حالة تطبيقات جديدة يمكنها الانطلاق في حالة وقوع حادث. هذا يعمل ليس فقط خلال الهجوم السيبراني ولكن أيضًا خلال الاضطرابات التشغيلية التي تسببها عوامل أخرى
· محاكاة التدريب للاستجابة للحوادث مع التدريبات الجافه النشطة لاختبار دقة ووقت استجابة للحوادث السيبرانية. يجب أيضًا تقييم جاهزية الاستجابة للحوادث بانتظام من خلال منظور دليل التشغيل.
للحصول على خطة عمل أكثر تفصيلًا، تواصل مع فريق تقييم جاهزية الاستجابة للحوادث لدينا هنا.
قم بتنزيل دليل الأمان التشغيلي لدينا: استراتيجية و قائمة تفقدية متوافقة مع ISA/IEC 62443 هنا.
احصل على نسخة مجانية من قالب سياسة الأمن السيبراني الخاصة بـ Shieldworkz لمنظومة التكنولوجيا التشغيلية هنا
احصل على تحديثات أسبوعية
الموارد والأخبار
You may also like
12/11/2025
A new cornerstone for European cyber resilience: Inside ENISA's EUVD
Prayukth KV
11/11/2025
Extended recovery times are driving up the overall cost of cyberattacks.
Prayukth KV
07/11/2025
5 hard OT Cybersecurity lessons 2025 taught us (And What to Do About Them)
Prayukth KV
06/11/2025
لماذا يعد معيار NERC CIP-015-1 لأمن الشبكة الداخلية ضروريًا للدفاع عن أنظمة التحكم الصناعي
بريوكث ك ف
05/11/2025
كيفية تصميم نتائج حقيقية لأمن تكنولوجيا العمليات باستخدام تقييم المخاطر IEC 62443
بريوكث
04/11/2025
لماذا لم يعد من الممكن تأجيل حوكمة أمن أنظمة التشغيل: نداء من مدير الأمن المعلوماتي لاتخاذ إجراء
بريوكث ك ف
