كيف نجح مراهقون مبتدئون باختراق بعض أكبر الشركات في العالم؟
⬤ حصلت مجموعة الاختراق $Lapsus على شهرة عالمية بعد اختراقها لشركات كبرى تضمنت مايكروسوفت وإنفيديا وسواها.
⬤ رغم اختراقاتها الكبرى، معظم أعضاء مجموعة الاختراق هم شباب مراهقون مبتدئون ساعون نحو الشهرة بالدرجة الأولى.
⬤ بدلاً من طرق الاختراق المعقدة، اعتمد المخترقون اليافعون أساليب مبسطة تعتمد على الهندسة الاجتماعية بالدرجة الأولى.
ظهرت منذ أكثر من عام مجموعة من المخترقين تسمى $Lapsus اثبتت براعتها في اختراق شركات كبيرة منها مايكروسوفت وNvidia. لكن ما يثير الدهشة هو أن هذه ليست مجموعة من الخبراء، بل أغلبهم مراهقون مبتدئون يسعون للشهرة. حيث يستخدم أعضاء $Lapsus تقنيات اختراق غير معقدة لكنها أثبتت فعاليتها العالية مع بعض من الابداع. حتى أن الحكومة الأمريكية تدرس الآن أساليبهم لتقوية أمنها السيبراني.
ما تفتقر إليه $Lapsus في طرق متطورة لاختراق واستخدام البرمجيات، تعوضه بالمثابرة والإبداع. أحد الأمثلة على ذلك هو أسلوبهم في تجاوز أنظمة المصادقة متعددة العوامل في الشركات. فبدلاً من الهجوم على البنية التحتية المُستخدمة لإتمام عمليات المصادقة متعددة العوامل كما تفعل المجموعات الأكثر تقدماً، وصف أحد قادة $Lapsus العام الماضي نهجه قائلاً: “إذا اتصلت بموظف الشركة 100 مرة عند الساعة 1 ما بعد منتصف الليل أثناء محاولته النوم، على الأرجح أنه سيقبل المكالمة. وبمجرد قبوله، يمكنك الوصول إلى بوابة التسجيل في نظام المصادقة متعددة العوامل وتسجيل جهاز آخر فيه.”
يوم الخميس، أصدر مجلس مراجعة السلامة السيبرانية التابع لوزارة الأمن الداخلي الأمريكية تقريراً وثّق العديد من التكتيكات الأكثر فاعلية التي استخدمتها مجموعة $Lapsus. وحث التقرير الشركات على تطوير تدابير وقائية ضدها. إذ قال التقرير أن $Lapsus، مثل عدد قليل من المجموعات الأكثر تقدماً، أظهر مهارة في تحديد نقاط الضعف في أنظمة ضحاياها مثل البائعين الأساسيين أو مزودي خدمات الاتصالات. وكانت المجموعة بارعة في الهندسة الاجتماعية، حيث استطاعوا استدراج موظفي الشركات المستهدفة لفتح البوابات إلى شبكاتهم.
من خلال اختراق أطراف ثالثة للشركات، نجحت $Lapsus في اختراق أو سرقة بيانات قائمة مهيبة من الشركات الكبرى. ومنها مزود أنظمة المصادقة متعددة العوامل، Twilio، الذي اخترقته المجموعة عن طريق حملة تصيد احتيالي استخدمت تقنية إغراق آلية المصادقة وغيرها من التقنيات قليلة التعقيد. كما قامت المجموعة بتسريب بيانات ملكية شركة مايكروسوفت ومزود تسجيل الدخول الأحادي Okta.
ومن هجمات المجموعة البارزة هي اختراقها لشبكة شركة Nvidia وسرقتها المزعومة لتيرابايت من بيانات الشركة. إذ طلبت $Lapsus من Nvidia جعل معالجات رسومياتها تقوم بتعدين العملات المشفرة بشكل أسرع وجعل برامج تشغيل تلك المعالجات مفتوحة المصدر، وذلك مقابل عدم تسريب $Lapsus لمعلومات الشركة.
كما أشارت الإشاعات إلى اختراق $Lapsus لشركة الاتصالات T-Mobile في مارس من عام 2022. وبحسب ما ورد، استخدمت المجموعة تقنية تُعرف باسم احتيال مبادلة بطاقة SIM؛ حيث يخدع المهاجمون موظفي شركات الاتصالات أو يرشوهم لنقل رقم هاتف الضحية إلى بطاقة SIM جديدة مغايرة. وعندما تم حظر المجموعة من حساب واحد، تعاود المجموعة المحاولة على موظف مختلف في T-Mobile.
كما نجحت $Lapsus في اختراق وزارة الصحة البرازيلية وحذف أكثر من 50 تيرابايت من البيانات المخزنة على خوادم الوزارة، إضافة إلى استهداف العديد من الشركات الأخرى مثل سامسونج وفودافون البرتغال وImpresa وConfina وLocaliza. ومن الأساليب البسيطة الأخرى التي استخدمتها المجموعة هي شراء ملفات تعريف الارتباط للمصادقة وبيانات الاعتماد الأخرى من وسطاء الوصول الأولي.
قدّم تقرير مجلس مراجعة السلامة السيبرانية مجموعة متنوعة من التوصيات أبرزها التحول إلى أنظمة المصادقة بدون كلمة مرور، والتي على الأغلب تشير إلى استخدام مفاتيح المرور (Passkeys) المعتمدة على بروتوكول الأمان FIDO2، وهي تقنية شبيهة بالمصادقة الثنائية لكنها لا تعتمد على إدخال كلمة المرور الصحيحة، بل تعتمد على البلوتوث لمعرفة أن جهاز المصادقة الثاني أو “مفتاح المرور” قريب مادياً من الجهاز المُراد تسجيل الدخول إليه. مما يحمي ضد جميع هجمات التصيد الاحتيالي المعروفة.
كما أوصى مجلس الإدارة بتعزيز اللوائح المتعلقة بنقل أرقام الهواتف من بطاقة SIM إلى أخرى للحد من هجمات مبادلة بطاقة SIM. وقال التقرير: “تندرج العديد من توصيات مجلس الإدارة تحت موضوع أوسع وهو الأمان بالتصميم، مما يعكس الحوار الأوسع في الصناعة.”
