لم يكن هذا صمت انقطاع الشبكة أو تعطل الخادم الذي فاجأ فريق الأمن. بل كان صمت نحو 200,000 جهاز ممسوح. كل شيء من الحواسيب المحمولة، الهواتف، والخوادم عبر 79 دولة تنطفئ في وقت واحد، حتى قبل أن يأخذ معظم القوى العاملة رشفة من قهوة الصباح. ما حدث لشركة Stryker في 11 مارس يختلف عن الهجمات المعتادة، ليس فقط بسبب حجمه (على الرغم من أن الحجم مقلق)، ولكن لأنه يكشف نقطة عمياء تختبئ واضحًا داخل كل مؤسسة تقريبًا على هذا الكوكب. حان الوقت لأن ننتبه إلى هذا التهديد. 

لنبدأ، دعني أرشدك خلال هذا الحادث ثم دعنا نناقش بعض التدابير العلاجية.

قبل أن نتحرك قدمًا، لا تنس الاطلاع على منشور المدونة السابق حول كيفية عمل المهاجمين الإيرانيين بدون اتصال هنا. 

يمكنك تنزيل التقرير الكامل عن هذا الحادث هنا.

ما حدث بالفعل. النسخة التي لا يقودها أحد

شركة Stryker هي الشركة المصنعة للأجهزة الطبية. تصنع الروبوتات الجراحية، الغرسات العظمية، أسرة المستشفيات، ونظام نقل تخطيط القلب المستخدم من قبل المستجيبين للطوارئ. تعرضت لهجوم سيبراني مدمر زعمت مجموعة Handala المرتبطة بإيران والتي ترتبط بوزارة الاستخبارات والأمن (MOIS) التي تقدم تقاريرها إلى رئيس إيران (على عكس IRGC التي تقدم تقاريرها إلى المرشد الأعلى). أظهرت Handala مستويات استثنائية من النشاط في بيئة بدون اتصال على مدى الأسبوعين الماضيين.

القصة السطحية هي هذه ببساطة. قامت Handala بمسح أكثر من 200,000 جهاز بشكل نظيف، وزعمت أنها استخرجت 50 تيرابايت من البيانات، وقامت بتشوية شاشات تسجيل الدخول بشعارها وجعلت 56,000 موظف يعطلون عالميًا. كما أرسلت سهم Stryker إلى الأسفل بنسبة 4 في المئة تقريباً خلال جلسة تداول واحدة. تم تأطير الهجوم باعتباره انتقامًا من ضربة صاروخية على مدرسة في ميناب، إيران.

لقد سمعت وقرأت كل هذا بفضل الانتباه الإعلامي الواسع الذي حصل عليه هذا الحدث. الآن، إليك القصة التي لم يروها لك.

الناقل الهجومي الحقيقي: كانت أداة الأمان الخاصة بك هي السلاح

وصفت غالبية التغطية بعد الحادث هذا بأنها هجوم "ماسح" بسيط وانتقلوا. هذا التأطير، على الرغم من دقته الفنية، يدفن التفصيل الأكثر أهمية في هذا الحادث الكامل: من المحتمل أن Handala لم تقم بنشر أي برامج ضارة جديدة لمسح تلك 200,000 جهاز. لقد استخدموا فقط Microsoft Intune.

Intune هو النظام الأساسي لإدارة الأجهزة المحمولة المستندة إلى السحابة الذي تستخدمه المؤسسات لفرض سياسات الأمان، دفع تحديثات البرامج، ومسح الأجهزة عن بُعد التي تم فقدها أو سرقتها لمنع سرقة البيانات. تم تصميمه خصيصًا لمنح مسؤولي تقنية المعلومات لوحة تحكم واحدة يمكنهم من خلالها إعادة تعيين المصنع لأي جهاز مسجل على الكوكب ببضع نقرات. يمكن مقارنته بزر نووي إداري.

حصلت Handala على الوصول الإداري إلى بيئة Stryker في Intune واستخدمت القدرة المدمجة نفسها في Intune لمسح الأجهزة عن بُعد لإصدار أمر مسح جماعي لجميع الأجهزة المسجلة في وقت واحد. هذا ليس استغلالًا ليوم الصفر. هذا ليس برامج ضارة متقدمة. هذا تسجيل دخول إلى منصة مؤسسية شرعية بكلمات مرور المسؤول المسروقة والضغط على زر كان موجودًا بالفعل.

هذا هو التفصيل الذي يجب أن يبقي كل مدير أمن معلومات مستيقظًا الآن: لم يعد المهاجمون بحاجة إلى أي أداة مخصصة أو نشر الماسح. فقط احتاجوا إلى الوصول إلى الطبقة الإدارية لمنصة الضحية المحتملة التي يتم دفع ثمنها وثقتها ضمناً. بمجرد حصولهم على ذلك الوصول، كاشف النقاط النهائية التقليدي كان أعمى تجاهه. الأمر لمسح الأجهزة الصادرة عبر Intune يبدو مطابقًا لحركة إدارة تقنية المعلومات الشرعية. لا توقيع برامج ضارة، لا عملية شاذة، ولا إنذار.

الخطر من الداخل

أصبح احضر جهازك الخاص مضاعفًا للمخاطر بطرق لم يفهمها الموظفون أبدًا بشكل كامل. عملت Stryker، مثل معظم المؤسسات، سياسة احضر جهازك الخاص وسجل الموظفون أجهزة iPhone وAndroid الشخصية الخاصة بهم في Intune للوصول إلى العمل. عندما تم تنفيذ أمر المسح، لم يميز بين بيانات الشركة والبيانات الشخصية. تم مسح الصور الشخصية وتطبيقات البنكية وتطبيقات المصادقة المستخدمة للمصادقة الثنائية جميعها نظيفًا. في تطور آخر (للثروة)، وجد الموظفون الذين فقدوا تطبيقات المصادقة الشخصية الخاصة بهم أنفسهم مقفلين من حساباتهم البنكية الخاصة لأن العامل الثاني اختفى. هذا فشل مدمر لسياسة احضر جهازك الخاص يجب أن تلاحظ منه فرق الامتثال. 

كان سقوط نظام Lifenet حدثًا لسلامة المرضى مختبئًا داخل قصة تخص تقنية المعلومات المؤسسية. يتم استخدام نظام Lifenet الخاص بـ Stryker من قبل خدمات الطوارئ الطبية لنقل بيانات تخطيط القلب إلى المستشفيات قبل وصول المريض، وهي ثوانٍ حاسمة فيحدث قلبي. أكدت معهد خدمات الطوارئ الطبية في ماريلاند أن Lifenet كان غير وظيفي عبر معظم أنحاء الولاية عقب الهجوم، ووجهت الأطباء المعالجين في خدمات الطوارئ الطبية إلى العودة إلى التشاور اللاسلكي. هذا هو كابوس القطاع الصحي (ويستمر في الحدوث): هجوم سيبراني على شركة مزود يسبب تدهورًا المال للدرجة جودة الرعاية الطارئة دون اختراق أي مستشفى. تلقى هذا البعد تقريبًا عدم الانتباه التحليلي.

يكشف منطق استهداف شركة Stryker عن منطق جديد وخطير. وصفت بيان Handala شركة Stryker بأنها "شركة متجذرة في *******"، مشيرة إلى استحواذها على شركة OrthoSpace في عام 2019. ليس لديه علاقة بعمليات عسكرية أو عقد دفاع. كانت مستهدفة بسبب استحواذ أعمال تاريخي ربطها، في إطار عمل أيديولوجي للمهاجمين، بإسرائيل. لهذا السطر أهمية كبيرة ولن أكررها هنا.

في مشهد التهديد الحديث، يمكن للمشاركين في الماضي في الأنشطة التجارية أن يتم تدقيقهم من الخصوم لبناء سرد مبرر للانقطاع.   

بدأ الهجوم بعد منتصف الظهر بالتوقيت الشرقي، محسوبًا بدقة لتحقيق أقصى انتشار عالمي خلال نافذة الساعات غير النشطة حيث تكون عمليات الأمن تقليديًا في أدنى مستويات التوظيف والأجهزة غير نشطة ولكنها متصلة. لم يكن التوقيت عرضيًا. يعكس تخطيط عملياتي مصممة لتعظيم عدد الأجهزة المسجلة المتصلة عبر الإنترنت عند إطلاق أمر المسح، مع تقليل الوقت الذي يجب أن يرد المدافعون فيه قبل أن يتم تدمير الضرر عالميًا. 

ما الذي حدث بشكل خاطئ؟

كان نقطة الدخول تقريبًا بلا شك صحيفة اعتماد (التصيد هو طريقة الوصول الموثقة لـ Handala). تم اختراق شخص له صلاحيات إدارية في بيئة Microsoft Entra ID الخاصة بـ Stryker (المعروفة سابقًا باسم Azure Active Directory)، ومنح