تضرر 1500 عمل تجاري حول العالم من برمجيات خبيثة ضربت شركة كاسيا للصناعات التكنولوجية، واستغلت البرمجية الخبيثة إمكانية الوصول للإيقاع بعملاء كاسيا في هجمة تعد إحدى أشنع هجمات برامج الفدية عبر التاريخ.

شُنت الهجمة ظهر يوم الجمعة في قبل إجازة الثلاثة أيام ليوم الاستقلال في الولايات المتحدة. استغل المهاجمون المنتسبون إلى آر إيفيل ثغرة في خوادم VSA والتي أدلت الشركة بأنه قيد استخدام 35 ألف عميل، وتعد آر إيفيل إحدى أخطر عصابات برامج الفدية على الإطلاق، ومن ثم استغل مهاجمو آر إيفيل تحكمهم في البنية التحتية للعملاء التي تديرها كاسيا، ومن الجدير بالذكر أن العملاء كافة ينتمون إلى شريحة الأعمال الصغيرة ومتوسطة الحجم.

يسفر الضرر الجماعي الملحق بالأعمال عن سلسلة من الآثار المتعاقبة واحدة تلو الأخرى حول العالم.

تصعيد مستمر:

صرحت كاسيا في بيان لها بتعرض 50 عميلًا بالكاد للتسلل، وقالت الشركة إنه أصيب ما بين 800 إلى 1500 عمل تجاري تحت ريادة عملاء الشركة.

زعم موقع آر إيفيل على الويب المظلم إصابة ما يربو على مليون هدف في الهجمة ويطالبون في موقعهم بفدية قدرها 70 مليون دولار لفك الشفرة عالميًا.

حُدث موقع آر إيفيل، فحُذفت الصورة المزعومة بعرض الأقراص الصلبة المأخوذة رهينة التي تصل سعتها إلى 500 جيجا بايت، عادة تحذف جماعات برامج الفدية المعلومات المرفوعة على موقعهم عقب بدء المفاوضات كإشارة إلى حسن النية، فبدت الصورة مسبقًا على النحو الآتي:

يكتب خبير الأمن السيبراني والباحث المستقل كيفن بومونت: «ليست علامة مبشرة أن عصابة لبرامج الفدية تخترق دون انتظار منتجًا يُستخدم بشيوع بين مزودي الخدمات المدارة، وأوضح أن هذا التصعيد مستمر لعصابات برامج الفدية الذي سبق وكتبت عنه».

كان للهجمة الجماعية آثار متعاقبة في جميع أرجاء العالم، وما زالت سلسلة البقالة السويدية Coop تحاول التعافي بعد إيقافها معظم متاجر السلسلة عن العمل والبالغ عددها 800 متجر جراء توقف سجلات النقد الخاصة وآلات الدفع الذاتي. تعرضت أيضًا عدد من المدارس ورياض الأطفال للهجوم الإلكتروني، كما طالت الإصابة بعض مكاتب الإدارة العامة في رومانيا.

صرحت هيئة مراقبة الأمن السبراني في ألمانيا -المكتب الفيدرالي لأمن المعلومات- أنها كانت تعلم بإصابة ثلاثة مزودين لخدمات تقنية المعلومات.

توضح الخارطة أدناه كيف ترى شركة الأمن الكاسبرسكي الإصابات:

استحقت آر إيفيل سمعتها الموسومة بالوحشية والتعقيد حتى في أوساط برامج الفدية المعروفة بسمعتها الرديئة، وآخر ضحايا آر إيفيل عملاق صناعة تعبئة اللحوم على مختلف أنواعها فريبوي JBS، فقدت كمًّا هائلًا من عملياتها الدولية بعد إحباط برامج الفدية عملياتها الآلية، وانتهى الأمر باضطرار فريبوي دفع ما يبلغ 11 مليون دولار إلى آر إيفيل.

ومن ضحايا آر إيفيل السابقين، الشركة التايوانية متعددة الجنسيات أيسر المتخصصة في صناعة الحواسيب وعتادها في مارس فضلًا عن ابتزاز أبل عبر هجمة فدية برمجية استهدفت أحد شركاء آبل.

اخترقت آر إيفيل أيضًا شركة المحاماة غرابمان شير ميسلاس وساكس وهي شركة المحاماة المعنية بالمشاهير، التي تمثل من المشاهير ليدي غاغا ومادونا ويو تو وغيرهم من فناني الطراز الرفيع، وحين طلبت آر إيفيل 21 مليون دولار مقابل عدم نشر البيانات ردت الشركة المحاماة بعرض قدره 365 ألف دولار؛ ما أسفر عن رفع آر إيفيل سقف الفدية إلى 42 مليون دولار، فنجم عن ذلك نشر 2.5 جيجا بايت من سجلات موثقة احتوى بعضها على وثائق قانونية تخص ليدي غاغا.

تطول قائمة الضحايا، فمنهم كينيث كوبلاند، وشركتي سوفت ويير ون وكويست للبرمجيات، وشركة ترافلكس لصرف العملات الأجنبية.

هجمات دقيقة

نُفذت هجمة أخرى دقيقة، فأصبح لتابعي آر إيفيل حق الوصول أولًا للبيئات المستهدفة ومن ثم استغلت ثغرة دون انتظار في مراقب وكيل كاسيا لاكتساب حق التحكم الإداري في شبكة الهدف، بعد كتابة كود إلى ملف من نوعٍ من أحصنة طروادة التي تثبت البرامج الضارة.

وهذا هو مسار الهجمة:

تُوقِع شهادات ويندوز الموثقة برامج الفدية من Agent.exe التي تحمل الاسم المسجل «PB03 TRANSPORT LTD»، يمكن للمهاجمين قمع أي تحذيرات حماية تظهر عند تثبيت البرمجيات الخبيثة عبر توقيع البرمجية الخبيثة رقميًا، وفقًا لما وجدته سايبرسون، فإن الشهادة وظفتها برمجية آر إيفيل الخبيثة خلال الهجمة حصريًا.

استخدم المهاجمون تقنية التحميل المتوازي التي تضع ملفًا منتحلًا خبيثًا على نسق في DLL في مجلد WinSxS على نظام ويندوز، فلا يحمّل نظام التشغيل الملف الفعلي بل يحمل الملف المنتَحل، وفي هذه الحالة يسقط Agent.exe نسخة منتهية الصلاحية تحتوي على ثغرة لملف DLL Side-Loading من نوع «msmpeng.exe» لينفذها ويندوز ديفيندر، وأتاح ما سبق المزيد من النفاذية والتسلل إلى كاسيا.

تغير البرمجة الخبيثة إعدادات جدار الحماية فور تنفيذ ما سبق ليتيح اكتشاف أنظمة الويندوز المحلية، ثم تبدأ في تشفير الملفات في النظام وتظهر رسالة الفدية الآتية:

صرحت كاسيا بأن كل الهجمات المكتشفة إلى اليوم استهدفت البرمجيات المحلية على جهاز العميل on-premises.

شددت الشركة في لهجة تنم عن النصح: «على كل خوادم VSA المثبتة محليًا على جهاز العميل البقاء دون اتصال حتى إشعار آخر من كاسيا عما إذا كان من الآمن معاودة التشغيل أم لا. سيتطلب تثبيت حزمة التصحيح Patch قبل معاودة تشغيل خوادم VSA ومرفق معها مجموعة من التوصيات حول كيفية زيادة أمن الوضع السيبراني».

لم تعثر الشركة على أي دليل يثبت تعرض أي عميل من عملاء الخدمات السحابية للتسلل.

استغل تابعو آر إيفيل ثغرةً دون انتظار عند كاسيا كانت على بُعد أيام من التصحيح عند وقوع الهجمة، تتبع الثغرة CVE-2021-30116 التي اكتشفها باحثو المعهد الهولندي للإفصاح عن الثغرات الأمنية، وأخطر الباحثون الشركة عن الثغرة سريًا، وكانوا يراقبون تقدم كاسيا في إصلاحها.

كتب ممثلو المعهد: «أظهرت كاسيا اهتمامًا صادقًا بعمل الصواب، لكن لسوء الحظ هجمت آر إيفيل في آخر مراجعة شهرية، فأمكنهم استغلال الثغرة قبل أن يُحمل العملاء حزمة التصحيح».

تمثل تلك الهجمة آخر مثال على هجمات سلسلة التوريد التي يصيب فيها المهاجمون مزود خدمة أو منتجًا شائعًا بهدف التسلل إلى قاعدة الهرم وهم الزبائن الذين يستهلكون الخدمات أو المنتجات، ففي هذه الحالة، أصاب المهاجمون عملاء كاسيا حتى يتيح ذلك لهم إصابة الأعمال التجارية القائمة على خدمات كاسيا.

يعد التسلل المكتشف إلى سولارويندز SolarWinds في ديسمبر أحد أمثلة هجمات سلسلة التوريد، استخدمت البنية التحتية لبرمجية سولارويندز المخترقة لنشر تحديث برمجي خبيث في 18 ألف منظمة تستعمل أدوات إدارة الشبكات التابعة لسولارويندز، أعقب ذلك استلام 9 وكالات فيدرالية و100 مؤسسة خاصة إصابات.

إذا حامت الشكوك حول ما إذا كانت الشبكة مصابة بأي صورة في هذه الهجمة فيجب على الفور بدء التحقيق في ذلك، وأعلنت كاسيا عن حزمة أدوات تتيح لعملاء خوادم VSA تفحص وجود إصابات محتملة في شبكاتهم، وأصدر كلٌ من مكتب التحقيقات الفيدرالي ووكالة الأمن السيبراني وأمن البنية التحتية توصيات مشتركة لعملاء كاسيا لا سيما من تعرض إلى التسلل منهم.

اقرأ أيضًا:

تعرّف على أوّل هجومٍ إلكترونيٍ في العالم

هل من الممكن قرصنة هاتفك باستخدام تقنية البلوتوث؟

ترجمة: مي مالك

تدقيق: مازن النفوري

المصدر