يضيف الخرق الأخير لشركة Eurail B.V. (المشغل في أوترخت لشركات Eurail وInterrail) تسجيل دخول جديد إلى قائمة متزايدة من مشغلي البنية التحتية الحيوية الأوروبيين الذين استهدفتهم الجهات الخبيثة في الشهرين الأخيرين. إذا قمنا بدراسة آخر الخروقات، يظهر نمط واضح:

·       الجهات الخبيثة الروسية تستهدف البنية التحتية في الاتحاد الأوروبي باستخدام عدة شركاء

·       بعض الخروقات تحدث بسبب نقص التحقق من إجراءات الأمن للطرف الثالث

·       يتم استخدام البيانات المنسية، الامتيازات والأوراق الاعتمادية بشكل متزايد من قبل الجهات الخبيثة أكثر من أي وقت مضى

·       نهاية العام وبداية عام جديد أصبحا وقتاً مفضلاً للهاكرز.  
 

هذا الخرق يبرز كتذكير صارخ وعقلاني لكيفية بقاء الأهداف "الغنية بالهويات" الكنز المقدس للابتزازيين. الجهات الشريرة لن تبخل بأي جهد لخلق الاضطراب وسرقة البيانات.

هذا الحادث ليس مجرد تسرب بسيط للبيانات الشخصية. بل هو سرقة بيانات عالية الدقة تشمل معرفات حكومية صادرة وعناوين المنزل وبيانات صحية حساسة. تتضمن مجموعة المعلومات المسروقة المرتبطة بالوصول غير المصرح له:

·       الأسماء

·       معرف البريد الإلكتروني

·       عناوين المنازل،

·       أرقام الهاتف

·       تواريخ الميلاد

وربما أرقام جوازات السفر، وثائق الهوية، وحتى تفاصيل الحسابات المصرفية

·       نسخ من جوازات سفر المشاركين في برنامج DiscoverEU

في تدوينة اليوم، نقدم نظرة عميقة في الحادث ونستكشف ما حدث خطأ.

قبل أن نتابع التقدم، لا تنس الاطلاع على تدونتنا السابقة حول “Inside December's cyberattack on Poland's power grid and renewable systems” هنا.

جدول الحادث: يناير 2026

إليك كيف جرت الأمور في Eurail B.V:

• 10 يناير 2026: Eurail B.V. تكتشف رسميًا وصولًا خارجيًا غير مصرح به إلى أنظمة تكنولوجيا المعلومات وقاعدة بيانات العملاء. يتم إطلاق تدابير الاستجابة للحوادث فورًا. الفريق المعني يبدأ عملية "الاحتواء" من خلال تأمين الأنظمة والاستعانة بفرق التحقيق الخارجية.

• 12 يناير 2026: تظهر تفاصيل عن الأنظمة والبيانات المخترقة.

• 13 يناير 2026: يبدأ عملية الإبلاغ والإخطار. يتم إعلام العملاء المتأثرين والمنظمات الشريكة (بما في ذلك المفوضية الأوروبية) بالخرق عبر إخطارات خرق البيانات الرسمية.

• 14-15 يناير 2026: تظهر تفاصيل حول برنامج DiscoverEU. يصبح من الواضح أن المشاركين في هذا البرنامج تعرضوا لفقدان بيانات أكثر "كارثية" من حاملي التذاكر العاديين. يعد Eurail المنفذ لبرنامج DiscoverEU ويدير بيانات المشاركين في برنامج المفوضية الأوروبية.

• 19 يناير 2026 (الحاضر): التحقيق ما زال "جارياً"، تحت إشراف السلطات الهولندية والأوروبية لحماية البيانات (DPA/EDPS) لضمان الامتثال للوائح حماية البيانات العامة.

تشريح الهجوم: لماذا وكيف؟

من وجهة نظر تكتيكات وتقنيات وإجراءات الخرق، يبدو أنه استغلال كلاسيكي لواجهة تطبيقات عامة.

الدخول الأولي (T1190 & T1078)

من خلال دراسة طبيعة البيانات المخترقة، والبيان العام الصادر عن Eurail B.V والأنظمة المعنية، يبدو أن الجهة الخبيثة كانت قادرة على استغلال ضعف في البوابة الذي مكنهم من الوصول المباشر إلى قاعدة البيانات الخلفية. منذ ذلك الحين، قامت Eurail B.V بإصلاح الثغرة (CVE) كما ذكرت في بيان لها. ربما كان هذا هجومًا هجينيًا يتضمن ضعفًا في طبقة التطبيقات (ربما ضعف الإشارة المباشرة غير الآمنة للأشياء (IDOR) أو حقن SQL) الذي سمح للجهة الخبيثة بنسخ أو تجاوز تدابير المصادقة للوصول إلى قاعدة البيانات الخلفية.

يمكن أن يكون الضعف المذكور ناجمًا عن ترميز غير صحيح قد فشل في تنقية إدخال المستخدم. هذا سمح للمهاجمين بتجاوز الأمان، وتفريغ قواعد البيانات بالكامل، أو حتى السيطرة على مستوى الخادم (لحسن الحظ لم يحدث ذلك في هذه الحالة).   

في حالة الضعف في الإشارة المباشرة غير الآمنة للأشياء (IDOR)، كان من الممكن أن تعرض التطبيق المعرّفات الداخلية (مثل معرفات المستخدم، أسماء الملفات، أو مفاتيح قواعد البيانات) في روابط أو معلمات، مما يسمح للمهاجم بالتلاعب بها والوصول إلى البيانات أو تعديلها دون وضعها بأي حقائب أمانات للخادم. عادةً ما يتم ذلك عن طريق تغيير المعلمة في الرابط لعرض معلومات حساسة لمستخدم آخر، متجاوزًا ضوابط الوصول بسبب عدم وجود فحوصات على جانب الخادم. هذا في الأساس نوع من التحكم المكسور في الوصول الذي يؤدي غالبًا إلى فقدان المعلومات أو حتى السيطرة.  

بمجرد اختراق البيانات، واصل المهاجم الاحتفاظ بالوصول لفترة قصيرة من الزمن قبل اكتشاف الخرق من قبل Eurail B.V.  

التفاوت في البيانات وتأثيره غير المتناسب

يكمن "التميز" التقني لهذا الخرق في خرق البيانات المجزأة. على عكس الخروقات التقليدية حيث يتم الكشف عن جميع أنواع البيانات، في هذه الحالة، فقد العملاء العاديين لـ Eurail B.V والمشاركون في DiscoverEU البيانات بشكل غير متناسب. هنا ما فقده كل شريحة من العملاء في الخرق:

• العملاء العاديون: تم سرقة البيانات النصية فقط (الأسماء، أرقام جوازات السفر، تواريخ الانتهاء). حسب Eurail، لا تحتفظ بصور جوازات السفر لهؤلاء المستخدمين.

• المشاركون في DiscoverEU: كان المهاجمون قد وجدوا "كنزًا" هنا لأن هذا البرنامج يتطلب صور ضوئية مرئية للمعرفات، وأرقام IBAN المصرفية، وبيانات صحية (للاحتياجات الإمكانية). وجود هذه البيانات ذات القيمة العالية في مستودع واحد حول خرقًا عاديًا إلى محرك احتيال على الهوية مرتفعة المخاطر.

فقدان بيانات غير متناسب ليس أمرًا شائعًا جدًا اليوم ولكنه قد يصبح العرف في المستقبل في حالة وقوع الخروقات عند تخزين جميع أنواع البيانات معًا. أما في حالة التشغيل التشغيلي (OT)، فإن الهجوم الذي ينطوي على شبكة أو نظام أو حتى خرق تطبيق يمكن أن يؤدي إلى سلسلة من الأحداث التي تؤدي إلى حدث حركي.

تشير مثل هذه الأحداث إلى الحاجة الملحة لفحص الأنظمة العامة التي يمكن الوصول إليها مباشرة أو غير مباشرة عبر الإنترنت. يجب تحديد البيانات والأنظمة المعرضة للخطر واتخاذ تدابير إضافية لتأمينها (المزيد عن هذا لاحقاً).  

الجهة المهاجمة: التحديد

حتى الآن، لم يعلن أي فريق فدية محدد أو جهة مدعومة من الدولة عن مسؤولته عن خرق Eurail على مواقع التسريبات المعروفة مثل BreachForums أو RansomFeed. وهذا قد يعني:

·       الجهة تبحث عن نافذة مناسبة لنشر أو بيع البيانات المسروقة

·       قد يرغبون في البقاء في الظل أثناء سير التحقيق في الحادث

·       هناك جهة مدعومة من الدولة متورطة وهي تدرس البيانات المخترقة حاليًا لتحديد بيانات الأفراد المهمين

·       هناك جهات لا تبحث عن غلق أي قطار، بل تسعى لبيع هويات الركاب للمحتالين من "المرحلة الثانية".

الصمت بالتأكيد صاخب.

مع ذلك، إذا نظرنا إلى "طريقة العمل" المتعلقة باستهداف البنية التحتية الأوروبية لجمع بيانات الهوية عالية الدقة، فإن هذا الحادث يشبه بشكل ملحوظ النشاط الأخير من قبل Scattered Lapsus$ Hunters و IntelBroker. غياب الفدية يستبعد جماعات مثل Clop.

لكن في ضوء غياب الادعاء و/أو توقيع رسمي، لا يمكن التنبؤ بشيء بثقة عالية. قد يكون هذا فاعل متوسط المستوى اكتشف الثغرة وقرر استغلالها.  

الوقاية: بناء بنية تحتية للسكك الحديدية أكثر مرونة

يبرز خرق Eurail B.V أن الوقاية ليست فقط عن وجود جدران نارية مع قوانين مخصصة؛ بل تتعلق بتخفيف المخاطر عن البنية التحتية ككل.

التدابير التقنية

• تخزين المعرفة الصفرية: يجب على المنظمات عدم تخزين نسخ مرئية من المعرفات إذا كان بإمكانها استخدام خدمة طرف ثالث للتحقق (مثل Onfido أو Jumio) التي توفر "رمز تحقق" بدلاً من الوثيقة الفعلية.

• كشف وتجاوب تهديدات الهوية (ITDR): حيث من المرجح أن يستخدم المهاجمون حسابات صالحة أو تصعيدية (T1078) بمجرد دخولهم، كان استخدام التحليلات السلوكية قد أشار إلى استخراج جماعي لبيانات جوازات السفر كظاهرة شاذة.

• تدوير أوراق الاعتماد بحزم: التدوير التلقائي لأسرار حساب الخدمة ومفاتيح الـ API وليس فقط كلمات مرور المستخدم يمكن أن "يقلل" جوهريًا من استدامة المهاجم قبل أن يتمكنوا من تحديد قاعدة البيانات بالكامل.

• التقسيم المعزول للبيانات بالطريقة التي تقلل من فائدتها ينصح بها أيضاً حيثما كان ذلك ممكنًا للحد من فائدة المعلومات المسروقة

قائمة الوقاية المعتمدة على TS 50701 لمشغلي السكك الحديدية

في حين أن TS 50701 (وخلفه IEC 63452) توصف عادة بتكنولوجيا التشغيل "كطرف القطار"، فإنه يوفر إطار عمل شامل الدورة مهم لتأمين نظام السكة الحديد بالكامل، بما في ذلك إلى حد كبير التكنولوجيا المعلوماتية الموجهة للركاب.

استخدم هذه القائمة لتوجيه هندسة بيانات ركابك مع معايير الأمن الخاصة بالسكك الحديدية:

التقسيم والعزل الوصلي (القسم 6.2)

• [ ] التقسيم المنطقي: هل تمت هندسة قاعدة بيانات الركاب الخاصة بك (المنطقة العامة) بشكل منطقي وفيزيائي معزولة عن المناطق التشغيلية (إشارات/TMS)؟

• [ ] ترشيح الوسناق: هل كل اتصالات بين البوابة الإلكترونية وقاعدة البيانات الخلفية يتم ترشيحها بشكل صارم عبر جدار ناري لفحصًا عميق للحزم (DPI) أو بوابة برمجة التطبيقات التي تفرض التحقق من نظام التخطي؟

• [ ] الثقة الصفرية للشركاء: بالنسبة لعمليات التكامل مع DiscoverEU، هل الكابلات المشتركة محمية بـ TLS المتبادل (mTLS) وتقييد القائمة البيضاء لعنوان IP؟

تقليل البيانات ومستويات الأمان (SL-T)

• [ ] مستوى الأمان المستهدف (SL-T): هل حددت مستوى أمان مستهدف لا يقل عن SL-3 (الحماية من الانتهاك العمد مع موارد معتدلة) لقواعد البيانات التي تحتوي على نسخ مرئية من الهوية؟

• [ ] توريق البيانات: هل يمكنك استبدال تخزين الهوية المرئية بـ "رموز التحقق" من موفّر معتمد؟ (TS 50701 تؤكد على تقليل انطباع "النظام تحت النظر" (SuC)).

• [ ] التشفير في حالة السكون (FR 4): هل البيانات الصحية والحيوشية الحساسة مشفرة بواسطة وحدات أمان الأجهزة (HSM)، مما يضمن أن تفريغ قاعدة البيانات يكون عديم الفائدة بدون المفاتيح؟

إدارة الهوية والوصول (القسم 7.2)

• [ ] تدوير الأسرار بشكل تلقائي: هل تتغير بيانات اعتماد الحسابات الخدمية المستخدمة بواسطة التطبيق الشامل تلقائيًا كل 30 يوماً أو عند اكتشاف الظواهر الشاذة؟

• [ ] المصادقة متعددة العوامل لمدير قاعدة البيانات: هل المصادقة متعددة العوامل المقاومة للتصيّد (FIDO2/WebAuthn) مطلوبة لجميع الوصولات الإدارية إلى بيئة العميل؟

المراقبة المستمرة والصيانة (القسم 8)

• [ ] كشف الاستخراج غير المرخص: هل لديك تحليلات سلوكية معدة لاكتشاف "تصدير البيانات بالجملة"؟ (لا ينبغي لنظام الحجز العادي أن يستعلم عن 10,000 رقم جواز سفر في جلسة واحدة).

• [ ] إدارة SBOM: هل لديك قائمة مكونات برمجية (SBOM) لبوابة الإنترنت الخاصة بك لتحديد المكونات الفرعية الضعيفة (مثل Log4j أو ما شابه) قبل أن يفعل المهاجمون؟

• [ ] دفاتر الحوادث: هل يتضمن خطتك للاستجابة للحوادث فرعًا خاصًا بـ "السكك الحديدية" للإبلاغ عن حادث الكشف عن البيانات للسلطات الأوروبية في نافذة 72 ساعة وفقًا للوائح حماية البيانات العامة؟

هل ترغب في إحاطة مخصصة عن تدابير أمان محددة لتأمين شبكتك التقنية التشغيلية بناءً على TS 50701؟ تحدث مع خبيرنا.

جرب حلولنا لفحص أنظمة تقنية السكة الحديد القيام باختبار محلل الشبكة، هنا.

مهتم بإحاطة عميقة حول هذا الحادث، أخبرنا هنا.