ديفيد برادبري، كبير مسؤولي أمن المعلومات (CISO) في متخصص في إدارة الهوية والوصول (IAM). اوكتاأكدت وقوع هجومين إلكترونيين استهدفا مشغلي كازينو لاس فيغاس منتجعات إم جي إم و قيصر للترفيه يبدو أنه يستغل تكنولوجيا الشركة كوسيلة للوصول، مما يوفر فكرة عن كيفية بدء الهجمات السيبرانية المتزامنة.
في مقابلة نشرت حديثا مع وكالة الأنباء رويترزكشف برادبري أن كلا من MGM Resorts و Caesars Entertainment كانا من بين خمسة عملاء من Okta وقعوا ضحية لهم ممثل التهديد المعروف باسم UNC3944 – المعروف أيضًا باسم Scattered Spider وScatter Swine و0ktapus – من المحتمل أن يكون بمثابة شركة تابعة لعملية ALPHV/BlackCat Ransomware، في الأسابيع القليلة الماضية.
وقال إن أوكتا كان يعمل مع سلطات إنفاذ القانون ويتعاون مع التحقيقات الرسمية.
لقد كانت Okta محط اهتمام مستمر لـ UNC3944 لأكثر من عام. في عام 2022، استفادت العملية الإجرامية السيبرانية من علامتها التجارية في سلسلة من الهجمات على صناعة التكنولوجيا، وقبل أسبوعين فقط حذرت أن موجة جديدة من هجمات الهندسة الاجتماعية كانت تستهدف عملائها.
قال برادبري رويترز لقد شهد “تصاعدًا” في هجمات الهندسة الاجتماعية ضد عملاء Okta في العام الماضي، وتحدث عن نمط ثابت من هجمات الهندسة الاجتماعية التي خدعت مكاتب مساعدة تكنولوجيا المعلومات الخاصة بالضحايا لمنحهم إمكانية الوصول.
ولم يكشف برادبري عن هويات الضحايا الآخرين. ومع ذلك، قال الباحثون في شركة الاستشارات الأمنية DynaRisk ومقرها لندن المعلومات المنشورة في وقت سابق استنادًا إلى مسح لبياناتها، يشير إلى أن UNC3944 – أو غيرها – قد تكون بحوزتها بيانات اعتماد Okta المسروقة المرتبطة بأكثر من 500 شركة أخرى.
وزعمت DynaRisk أن هذه المنظمات تشمل شركة Adobe للتكنولوجيا، وعملاق المشروبات Diageo ومطور الألعاب Epic Games.
عصابة برامج الفدية: “لقد فعلنا ذلك، وإليك الطريقة”
إن اعتراف Okta يقطع شوطًا طويلاً في معالجة التكهنات التي أعقبت إصدار بيان من عملية برنامج الفدية ALPHV/BlackCat في 14 سبتمبر.
وقالت العصابة في البيان إن فريق تكنولوجيا المعلومات في MGM Resorts أغلق أنظمته بعد اكتشاف أن العصابة قد اخترقت خوادم Okta الخاصة بها، وعلى حد تعبيرها، كانت “تستنشق كلمات المرور للأشخاص الذين لا يمكن اختراق كلمات مرورهم من مستودعات تجزئة وحدة التحكم بالمجال الخاصة بهم”. “.
من المفترض أن يؤدي هذا إلى منع منتجعات MGM من الوصول إلى مستأجر Okta الخاص بها، بينما تمكن مهاجموها من الاحتفاظ بامتيازات المسؤول الفائق – بالضبط السيناريو الذي حذر منه أوكتا – بالإضافة إلى حقوق الإدارة العالمية لمستأجر Microsoft Azure التابع لشركة MGM Resorts.
وقالت العصابة إن فريق تكنولوجيا المعلومات حاول طردها بعد أن اكتشف أنها تمكنت من الوصول إلى مستأجر Okta التابع لشركة MGM، لكن “الأمور لم تسر وفقًا للخطة”.
بعد فترة وجيزة، في 11 سبتمبر، قالت العصابة إنها تمكنت من شن هجمات فدية ضد أكثر من 100 من برامج مراقبة الأجهزة الافتراضية ESXi بعد محاولتها الاتصال بالضحية، لكنها فشلت.
أرييل بارنز، المؤسس المشارك والرئيس التنفيذي للعمليات لأخصائي الاستجابة للحوادث السحابية معيتيقة وحذر خبير إسرائيلي سابق في الاستخبارات الإلكترونية من أن تصريحات العصابة لا ينبغي بالضرورة أن تؤخذ على أنها دقيقة.
“إن صحة المعلومات التي نشرها مهاجم MGM لا تزال غير مؤكدة. من الممكن تمامًا أن يكون هذا الكشف جزءًا من حملة نفسية محسوبة تهدف إلى ممارسة ضغط إضافي على MGM. وقال بارنز: “يمكن استخدام مثل هذه التكتيكات لزرع الشك وخلق الخلاف الداخلي وتعزيز أجندة المهاجم، مما يجعل من الضروري التعامل مع مثل هذه الادعاءات بحذر وتشكك”.
“حتى لو لم يصف البيان القصة الحقيقية، فإنه يسلط بعض الضوء على كيفية قيام المهاجمين بالاستفادة من التعقيد المتأصل في البيئات الهجينة من خلال مراكز البيانات المحلية والسحابة وSaaS [software as a service]”، قال لـ Computer Weekly في تعليقات عبر البريد الإلكتروني.
كريستوفر بود، مدير سوفوس اكس اوبس وقال الفريق: “هذا هو المحيط الحادي عشر من العصر السيبراني.”
وقال بود إنه من الواضح أن الجهات الفاعلة في مجال التهديد “توسّع لعبتها إلى مجال حرب المعلومات” وتحاول السيطرة على السرد العام. لكنه حذر من أن هذا قد يجعل من الصعب على المستجيبين للحوادث العمل بفعالية.
“هجوم الإسناد أمر صعب ومحفوف بالمخاطر. إن الاستمرار في التركيز على “من” بدلاً من “كيفية” المهاجمين يمكن أن يساعد المجرمين بالفعل، ويمكن أن يصرف تركيز المدافعين عن ما هو مهم حقًا، مثل إعداد عمليات الكشف والاستجابة والمراقبة عن كثب. مجموعات نشاط التهديدقال بود.
“في هذه المرحلة، يجب على جميع الكازينوهات أن تنتقل إلى أعلى وضع دفاعي ممكن وتتخذ تدابير فعالة للتحقق من سلامة أنظمتها وبيئتها، ومراجعة – إن لم يكن تفعيل – عمليات الاستجابة للحوادث الخاصة بها. كانت هناك هجمات ضد العديد من الكازينوهات، ومن الممكن أن نرى المزيد. وكما يقول الاقتباس حول سبب سرقة البنوك، “هذا هو المكان الذي يوجد فيه المال” – وهذا ينطبق هنا”.
منتجعات MGM تعود إلى الإنترنت
وفي وقت كتابة هذا التقرير، كانت منتجعات MGM قد تمكنت من ذلك للوقوف على موقعها على شبكة الإنترنت التي تواجه الجمهور. وقالت في بيان نُشر على موقعها على الإنترنت: “لقد حددت منتجعات MGM مؤخرًا مشكلة تتعلق بالأمن السيبراني تؤثر على بعض أنظمة الشركة. فور اكتشاف المشكلة، بدأنا بسرعة التحقيق بمساعدة خبراء خارجيين رائدين في مجال الأمن السيبراني. لقد أبلغنا أيضًا سلطات إنفاذ القانون واتخذنا إجراءات فورية لحماية أنظمتنا وبياناتنا، بما في ذلك إغلاق أنظمة معينة.
“على الرغم من أن المشكلة تؤثر على بعض أنظمة الشركة، إلا أن الغالبية العظمى من عروض العقارات لدينا لا تزال قيد التشغيل حاليًا، ونواصل الترحيب بعشرات الآلاف من الضيوف يوميًا. نحن على استعداد لاستقبالكم.”
تقبل المنظمة الحجوزات وتحترمها، وتعالج معاملات بطاقات الائتمان كالمعتاد، على الرغم من أن خدمات تسجيل الوصول عبر الهاتف المحمول وخدمات مفتاح الغرفة الرقمية تظل غير متصلة بالإنترنت. كما أنها تتنازل عن رسوم الإلغاء للضيوف الذين لديهم حجوزات حتى يوم الأحد 24 سبتمبر.
وكما ورد في الأسبوع الماضي، يبدو أن شركة Caesars Entertainment قد شهدت درجة أقل من التعطيل بعد أن دفعت فدية كبيرة.
