أهم 10 هجمات إلكترونية على المنظمات الدفاعية والحكومية في عام 2021
يقترب عام 2021 ببطء من نهايته. لقد كان ، بكل المقاييس ، عاما مضطربا في عالم الأمن السيبراني – خاصة عندما يتعلق الأمر بسلامة شبكة الدفاع والمنظمات الحكومية ، التي كانت ، كما يبدو ، تحت ضغط مستمر تقريبا.
غالبا ما تتكون الهجمات السيبرانية ضد المنظمات الحكومية من عمليات تسلل خفية للشبكة وعمليات تسلل للبيانات الحساسة لاستخدامها للحصول على فدية في وقت لاحق ؛ ولكن هناك أيضا حالات نادرة يقرر فيها الفاعلون المهددون “اللعب” بشكل أكبر مع امتيازات الوصول التي حصلوا عليها.
وفي مثل هذه الحالات، يمكن أن تكون العواقب وخيمة من تعطيل الأداء الطبيعي لفرع كامل من فروع القطاع العام، إلى نشر معلومات مضللة خطيرة إلى جمهور من الملايين.
نظرا لأن شهر أكتوبر هو شهر الأمن السيبراني ، فقد وضعنا قائمة ببعض أبرز الهجمات الإلكترونية التي استهدفت المؤسسات الدفاعية والحكومية خلال الأشهر ال 10 الماضية ، كتذكير بمستوى التهديد الذي يمكن أن تشكله.
خرق البنك المركزي النيوزيلندي
وعد عام 2021 بعدم تقديم أي راحة من صعود الجرائم الإلكترونية في بدايته ، حيث أبلغ البنك المركزي النيوزيلندي عن اختراق ضار لأحد أنظمة البيانات الخاصة به في يناير.
على الرغم من أنه ليس إدارة حكومية بحتة ، إلا أن بنك الاحتياطي النيوزيلندي (RBNZ) كان في ملكية حكومة نيوزيلندا منذ عام 1936.
والغرض منه ثلاثة جوانب: (1) صياغة وتنفيذ السياسة النقدية؛ (2) وضع وتنفيذ السياسة النقدية. (2) تعزيز الحفاظ على نظام مالي يتسم بالكفاءة؛ (3) لتلبية احتياجات الجمهور من العملة. لذلك ، من السهل تخيل العواقب التي كان يمكن أن يحدثها هذا الخرق على اقتصاد نيوزيلندا ، إذا لم يتم اكتشافه في الوقت المناسب.
لا يزال مهاجمو بنك الاحتياطي النيوزيلندي مجهولي الهوية – ما نعرفه هو أنهم وصلوا إلى بيانات البنك من خلال تطبيق برمجي لمشاركة الملفات تابع لجهة خارجية Accellion FTA. بمجرد اكتشاف الخرق ، قامت الأطراف المسؤولة بسرعة بتأمين التطبيق وإغلاقه – لكن الضرر قد حدث بالفعل.
وبما أن الاختراق تم من خلال برنامج مشاركة الملفات، كان لدى المتسللين نظرة ثاقبة لجميع البيانات التي يتم نقلها من خلال هذا التطبيق – بما في ذلك الملفات المختلفة التي تحتوي على معلومات حساسة لكل من عملاء البنك والعمليات الداخلية للبنك.
وفي بيان أعقب الهجوم، صدر في مايو من هذا العام، قدر بنك الاحتياطي النيوزيلندي تكلفة الاختراق بنحو 3.5 مليون دولار.
وشمل ذلك ما يلي:
- 17,500 ساعة من الموارد الداخلية المعاد توجيهها للمساعدة في الاستجابة
- تم إنفاق 1,800,000 دولار على الموارد الخارجية المتخصصة ، مثل خدمات الأمن السيبراني ، ومراجعة أمنية مستقلة ، والمساعدة القانونية ، ودعم العملاء الإضافي.
حملة قراصنة المعلومات المضللة في بولندا
إحدى النتائج المخيفة لخروقات الشبكات الحكومية هي حملات برامج الفدية المستهدفة باستخدام البيانات المسروقة كوسيلة ضغط. وفي حالات أخرى، يمكن استخدام الخرق لنشر معلومات كاذبة مع استخدام “أصوات” المسؤولين. وهذا بالضبط ما حدث في مارس/آذار، عندما تسلل قراصنة إلى مواقع الوكالة الوطنية للطاقة الذرية البولندية ووزارة الصحة لنشر تنبيهات كاذبة عن تهديد إشعاعي غير موجود على الإطلاق.
يفصل تقرير DFR Lab عن عملية التضليل هذه عدد خطوات نشرها:
- إنشاء موقع إلكتروني مستنسخ لموقع مفتشية الدولة الليتوانية لسلامة الطاقة النووية (VATESI)
- تكرار المعلومات الخاطئة على مواقع الويب التي تم اختراقها: الوكالة الوطنية البولندية للطاقة الذرية وصفحات الويب الخاصة بصناديق الرعاية الصحية الأوروبية
- الاستيلاء على حساب تويتر للمحلل السياسي ماريك بودزيش ، وصفحات فيسبوك للسياسي أندريه روشمينسكي وصفحات الحزب الحاكم البولندي ، القانون والعدالة (PiS) ، والعديد من مجموعات Facebook
ويبدو أن هذه الرسالة لم تحظ باهتمام كبير من الجمهور، ولكن هذا لا يقلل من التهديد الذي كانت تحمله أي مستويات الذعر العام التي كان يمكن أن تسببها، وجميع الإجراءات التي كانت ستتبعها.
يستغل المتسللون نقاط الضعف في MICROSOFT EXCHANGE ويتسللون إلى أكثر من 30000 شبكة في الولايات المتحدة.
وفي الشهر نفسه، ذكرت شركة KrebsOnSecurity قصة عن أكثر من 30 ألف شركة صغيرة أمريكية ومنظمات حكومية محلية كانت محور حملة قرصنة كبيرة بشكل غير عادي استهدفت رسائل البريد الإلكتروني للضحايا. وقد تم تحقيق ذلك من خلال استغلال العيوب في برنامج البريد الإلكتروني Microsoft Exchange Server ، والذي استخدمته جميع هذه المؤسسات – مما يمنح الجهات الفاعلة المهددة سيطرة كاملة على الأنظمة التي تم اختراقها.
ومن المفهوم أن أنباء هذا الهجوم أزعجت جوهر الأمن السيبراني للحكومة الأمريكية، مما دفع السكرتيرة الصحفية للبيت الأبيض جين ساكي إلى إصدار بيان رسمي بشأن حجم التهديد.
وهذه ليست المرة الأولى التي يتم فيها استخدام عيوب Microsoft Exchange Server بنية خبيثة ، مع محاولات سابقة قامت بها مجموعة قراصنة مقرها الصين Hafnium.
إن عدد المتضررين من هذا الهجوم السيبراني هو ببساطة أكبر من أن يتم عددهم بدقة. تم العثور على الدليل الوحيد على اختراق النظام الذي يتم تنفيذه داخل شبكات الآلاف من البنوك الأمريكية والاتحادات الائتمانية ومقدمي خدمات الاتصالات والمرافق العامة والشرطة ورجال الإطفاء ووحدات الإنقاذ ، كما ذكر في أحد مصادر KrebsOnSecurity المجهولة.
يمكن تلخيص نتائج الاختراق على أفضل وجه على أنها خرق فوري للخصوصية وسرقة للمعلومات الحساسة – مما يؤدي إلى حملات الفدية التي يحتمل أن تكون مربحة بشكل كبير.
في الأيام التالية ، أبلغت Microsoft أن نوعا مختلفا من برامج الفدية يسمى
كان DearCry يدور حول خوادم Exchange الضعيفة. منتج آخر لهذا الاختراق الضخم كان الحوادث التي تنطوي على شبكات روبوتات تعدين العملات المشفرة.
التصيد الإحتيالي للبريد الإلكتروني يستهدف مقاول الدفاع الروسي
في حين أن الهجمات السيبرانية على المنظمات الحكومية التي هي على الجانب الإداري الأكثر تحمل بالتأكيد عواقب وخيمة من حيث المراسلات الخاصة والبيانات الحساسة التي يتم سرقتها، فإن الهجمات الأكثر تركيزا على المنظمات الدفاعية، اعتمادا على مستواها، يمكن أن يكون لها في كثير من الأحيان آثار أكثر فورية وتدميرا.
في أواخر أبريل، ذكرت Cybereason أن أحد كبار مقاولي الدفاع الروس قد تم اختراقه عبر بريد إلكتروني للتصيد الاحتيالي. سارعت وسائل الإعلام إلى التكهن بما إذا كان لهذا الخرق أي علاقة بالمشاريع الأخيرة لوكالة تصميم الغواصات هذه – وخاصة سفينة “بوسيدون” المصممة لحمل أسلحة نووية.
وكما قرر فريق استخبارات التهديدات المكلف بالقضية، تم تنفيذ الهجوم من خلال الاستفادة من سلاح “الطريق الملكي” لتنسيق النص الغني (RTF)، الذي قدم بابا خلفيا جديدا على ما يبدو لنظام ويندوز، يسمى الآن “PortDoor”.
يقال إن PortDoor تمتلك مجموعة واسعة من الميزات: من الامتيازات المتصاعدة ، وتشفير البيانات وإخراجها ، وتنفيذ الحمولات التي يقوم بها المهاجمون ، إلى تصدير النتائج مرة أخرى إلى الخادم.
لحسن الحظ، كانت أنظمة الكمبيوتر التي تم اختراقها في هذا الهجوم بعيدة كل البعد عن الشبكات التي تستخدم للتحكم في الأسلحة وإطلاقها من أي نوع – مما يجعل هذه الحالة مثالا كلاسيكيا للتجسس الإلكتروني، لحسن الحظ دون أي عواقب فورية.
إغلاق الخدمات الصحية في أيرلندا بسبب هجوم برامج الفدية
وقع أحد الهجمات المؤثرة بشكل خاص في مايو/أيار، مستهدفا الخدمة الصحية الوطنية في أيرلندا – هيئة الخدمات الصحية التنفيذية (HSE).
بعد اكتشاف الهجوم ، أغلق المسؤولون الحكوميون نظام الصحة والسلامة والبيئة الكامل – مما يعني أن العديد من الخدمات تعطلت بسبب الهجوم. تم إلغاء زيارات العيادات الخارجية وتأجيل علاجات السرطان – مما يعرض كلا الشخصين للخطر ، وفي سياق جائحة Covid-19 ، الصحة العامة.
بالإضافة إلى ذلك ، خلال هذا الهجوم السيبراني ، تم الوصول إلى المعلومات الشخصية والطبية للمواطنين العاديين وسرقتها. وبينما كان يجري التحقيق في هذه المسألة، اضطر موظفو المستشفى إلى اللجوء إلى الجدولة الورقية، مما تسبب في انخفاض المواعيد في مناطق معينة من النظام بنسبة 80 في المائة كاملة.
وما هو أسوأ: بعد خمسة أشهر، لا تزال الصحة والسلامة والبيئة تتعامل مع تداعيات هذا الهجوم بالذات. وفقا لتقرير بي بي سي الإخباري الصادر في سبتمبر ، لا تزال العديد من مواعيد الأشعة السينية ملغاة ولا يزال الموظفون غير قادرين على الوصول إلى رسائل البريد الإلكتروني الخاصة بهم.
يعزى الهجوم السيبراني على الصحة والسلامة والبيئة إلى مجموعة قراصنة RaaS وراء برامج الفدية Conti ، والمعروفة باسم Wizard Monkey. ذكرت مذكرة الفدية التي تلقاها المسؤولون التنفيذيون في مجال الصحة والسلامة والبيئة النطاق الكامل لتسلل النظام – حيث قام الفاعلون التهديديون بتشفير خوادم الملفات وخوادم SQL ، وتنزيل أكثر من 700 جيجابايت من معلومات التعريف الشخصية (PII). وشمل ذلك عناوين المرضى والموظفين وأرقام الهواتف ومعلومات كشوف المرتبات وعقود العمل.
زعمت التقارير أن المتسللين طالبوا بفدية قدرها 19،999،000 دولار – ومع ذلك ، فإن هذه القصة بالذات ، على الأقل ، كانت لها نهاية سعيدة إلى حد ما. تم إعطاء الصحة والسلامة والبيئة ، دون سبب واضح ، مفتاح فك التشفير دون الحاجة إلى دفع هذا المبلغ الابتزازي.
هجوم DDOS الضخم يؤثر على حكومة بلجيكا و 200 مؤسسة ومنظمة
أدى حادث واسع النطاق وقع في مايو إلى إرسال Belnet ومقدمي خدمات الإنترنت الآخرين إلى حالة من الفوضى ، في أعقاب موجة من انقطاع الإنترنت ضربت مساحة كبيرة من المؤسسات الحكومية والعلمية والتعليمية في بلجيكا.تمكنت شركة Belnet من استعادة الخدمة بعد هجوم
DDoS الهائل هذا ، ولكن ليس قبل أن يضرب الانقطاع برلمان البلاد والعديد من وكالات إنفاذ القانون. وتأثر نحو 200 منظمة ومؤسسة تستخدم خدمات مزود خدمة الإنترنت هذا. ناهيك عن إلغاء عدد كبير من الاجتماعات الحكومية الهامة بسبب عدم قدرتها على البث بشكل صحيح ، مع تعطل شبكة تكنولوجيا المعلومات الحكومية بالكامل تقريبا. ووفقا للمدير الفني لشركة بيلنيت، ديرك هايكس، فإن الحادث ازداد سوءا بسبب تغيير الجناة
لتكتيكاتهم باستمرار خلال الهجوم. ومع ذلك ، أضاف هايكس أنه لا توجد مؤشرات على أن مجرمي الإنترنت قد تسللوا بالفعل إلى أي من الشبكات التي استهدفوها ، بل كانوا يهدفون فقط إلى تشبع الشبكة بمثل هذا التدفق الهائل للبيانات.
ريفيل يهاجم مقاول الحكومة الأمريكية سول أورينس
على غرار حالة أخرى سبق ذكرها في هذه المقالة ، تم استهداف Sol Oriens ، وهو مقاول حكومي أمريكي ، من قبل مجموعة REvil الإرهابية السيبرانية. وتتشاور الشركة التي تضم 50 شخصا، ومقرها ألباكركي بولاية نيو مكسيكو، مع الحكومة الفيدرالية الأمريكية بشأن مثل هذه المشاريع المتعلقة بالأمن، وتعمل بشكل وثيق مع الإدارة الوطنية للسلامة النووية التابعة لوزارة الطاقة. وفي حين أن المتعاقد على السلامة النووية لم يكشف عن أي تفاصيل عن الهجوم، فقد ذكر أن فردا (أفرادا) غير مأذون لهم قد حصلوا على وثائق معينة من نظامهم. ولم يذكر سول أوريانس أي شيء عن طبيعة الوثائق المسروقة،
باستثناء التأكيد على أنه لا توجد مؤشرات على تسريب “معلومات سرية أو هامة تتعلق بالأمن تتعلق بالعملاء”. ومع ذلك ،
تم تسريب بعض وثائق العينات التي تظهر أجزاء من عرض تقديمي حول توظيف وتوظيف وتدريب القوى العاملة المتعاقدة في مختبر لوس ألاموس الوطني. تضمنت هذه الوثائق ، التي تحمل علامة “الاستخدام الرسمي فقط” ، تفاصيل مالية وتقارير أجور وحتى أرقام الضمان الاجتماعي لخمسة من موظفي الشركة. هددت REvil بتسريب هذه البيانات إلى أي منظمة تراها مناسبة، بما في ذلك الوكالات العسكرية.
قراصنة مقرها تالين تسرق ما يقرب من 300 ألف صورة هوية من قاعدة بيانات الحكومة الإستونية
وفي وقت سابق من هذا العام، أصدر المسؤولون الإستونيون بيانا قالوا فيه إنه تم القبض على مشتبه به لتورطه في سرقة ما يقرب من 300 ألف صورة هوية حكومية. وشهد هجوم يوليو 2021 سرقة 286,438 صورة هوية من قاعدة بيانات حكومية تديرها هيئة نظم المعلومات في البلاد. الجانيالجانيالجاني ، الذي يوصف فقط بأنه “
ذكر تالين” ، قد حصل بالفعل على رموز الهوية والأسماء الشخصية للمواطنين ، وتمكن من الحصول على الصور عن طريق تقديم طلبات فردية لهم من آلاف عناوين IP المختلفة.
كانت البيانات، في حد ذاتها، لا تزال غير كافية للمجرم للوصول إلى خدمات الدولة الإلكترونية، مما يعني أن رموز المصادقة المعتادة – بطاقات الهوية، ومعرف الهاتف المحمول، ومعرف SMART – لم يتم اختراقها في أي وقت.
الحكومة السلوفاكية التي تعرضت للاحتيال من قبل المجموعة المرتبطة بقوات المخابرات الروسية
ومن الأمثلة الجيدة على الهجوم السيبراني الذي يتم تنفيذه ليس كحادث معزول ، ولكن من خلال عدد من عمليات التسلل ، سلسلة من محاولات التصيد الاحتيالي التي تستهدف الحكومة السلوفاكية. وقد تم ربط هذه الهجمات، التي استمرت من فبراير إلى يوليو، بمجموعة القراصنة التي تتخذ من روسيا مقرا لها والتي تحمل أسماء Dukes و Nobelium و APT29 ، والتي بدورها العديد من المصادر المرتبطة بجهاز الاستخبارات الخارجية الروسي ، أو SVR. أوضحت ESET و IstroSec ، وهما شركتا الأمن السلوفاكيتان اللتان أعلنتا عن وقوع الهجوم ،
كيف سحبته SVR. وكان المهاجمون قد أرسلوا رسائل بريد إلكتروني إلى دبلوماسيين سلوفاكيين ينتحلون صفة هيئة الأمن القومي السلوفاكية. احتوت رسائل البريد الإلكتروني هذه على مستندات ، مثل ملف صورة ISO ، والذي من شأنه تنزيل وإعداد باب خلفي Cobalt Strike على الأنظمة التي أصيبت بالعدوى. ومن المفترض أن نفس تكتيك الهجوم استخدم في الهجمات الأخيرة على
فوليكسيتي ومايكروسوفت، فضلا عن مسؤولين في 13 دولة أوروبية أخرى.
النرويج تتعرض لهجوم من المتسللين الصينيين
ربطت النرويج مؤخرا سلسلة كاملة من السلوك الخبيث والهجمات السيبرانية، ضد كل من البنية التحتية الحكومية والخاصة لتكنولوجيا المعلومات، ب “الجهات الفاعلة السيئة” التي تعمل من الصين. واستنادا إلى أنواع الأدلة التقنية وغيرها من الأدلة التي جمعتها وكالات الاستخبارات التابعة لها، ألقت حكومة النرويج باللوم على هؤلاء الأفراد – الذين تم تمويلهم ورعايتهم وتشغيلهم من الصين – في سلسلة الهجمات الإلكترونية على مراكز إدارة الدولة في عام 2018. كما خلصت وكالة الأمن القومي النرويجية (PST) إلى أن المجموعة نفسها كانت مسؤولة عن هجوم بالبرمجيات الخبيثة ضد مجموعة برامج الأعمال Visma. كشف تحقيق PST أن
المهاجمين حصلوا على حقوق المسؤول التي وفرت لهم الوصول إلى أنظمة الكمبيوتر المركزية التي تستخدمها جميع مكاتب إدارة الدولة في النرويج. ومع ذلك ، لم يعثر محققو PST على أي دليل على أن المتسللين الصينيين قد هربوا بمعلومات شخصية لمواطنين نرويجيين أو أي أسرار دولة.
هل تبحث عن مورد مفيد لحماية عملك من مشكلات وهجمات الأمن السيبراني؟ لقد قمنا بتغطيتك.
قم بتنزيل أساسيات الأمن السيبراني الحصرية من ATS: قائمة التحقق من نقاط الضعف.
