بدءًا من نوفمبر 2023، تمكن أحد ممثلي تهديد الدولة القومية من الوصول إلى المعلومات وتسللها من عدد صغير من حسابات البريد الإلكتروني لموظفي Microsoft. شركة التكنولوجيا تم اكتشاف ممثل التهديد في 12 يناير، وفقًا لما قدمته 8-K لدى هيئة الأوراق المالية والبورصة الأمريكية. وفي منشور بالمدونة تم نشره يوم 19 يناير، قالت Microsoft حددت جهة التهديد مثل Midnight Blizzard، ممثل روسي ترعاه الدولة ومسؤول عن العديد من الهجمات الإلكترونية البارزة الأخرى.
الجهات الفاعلة التي تهدد الدولة القومية الاستمرار في تكثيف نشاطهم. كيف نفذت Midnight Blizzard هذا الهجوم على مايكروسوفت؟ ما الذي يمكن لقادة الأمن فعله لتقليل المخاطر التي تواجهها مؤسساتهم؟
الاختراق
“لم يكن الهجوم نتيجة لثغرة أمنية في منتجات أو خدمات Microsoft. حتى الآن، لا يوجد دليل على أن جهة التهديد لديها أي إمكانية الوصول إلى بيئات العملاء أو أنظمة الإنتاج أو التعليمات البرمجية المصدر أو أنظمة الذكاء الاصطناعي. وتشير الشركة في مدونتها 8-K إلى أنها ستقوم بإخطار عملائها في حالة الحاجة إلى اتخاذ أي إجراء.
تمكن ممثل التهديد من الحصول على موطئ قدم في أنظمة Microsoft ليس من خلال استغلال الثغرة الأمنية ولكن من خلال تنفيذ هجوم رش كلمة المرور. أدى هذا الهجوم إلى اختراق “حساب مستأجر اختباري قديم غير إنتاجي”، وفقًا لمدونة الشركة. ومن هناك، استخدم ممثل التهديد أذونات الحساب المخترق للوصول إلى عدد من حسابات البريد الإلكتروني للموظفين الذين ينتمون إلى أعضاء القيادة العليا للشركة والموظفين في وظائف الأمن السيبراني والقانونية. استفاد ممثل التهديد من وصوله للبحث عن معلومات عن نفسه.
تستفيد هجمات رش كلمة المرور من الخطأ البشري: الميل إلى اختيار كلمات مرور ضعيفة. تتضمن التقنية محاولة تسجيل الدخول إلى مجموعة مستهدفة من الحسابات باستخدام كلمة مرور شائعة الاستخدام، مثل “12345”. “من خلال محاولة تسجيل الدخول إلى قائمة الحسابات باستخدام كلمة مرور مشتركة واحدة، قبل الانتقال إلى أخرى، تتجنب الطريقة إثارة عمليات إغلاق الحساب التي قد تحدث بعد عدة محاولات تسجيل دخول فاشلة متتالية،” كاران سوندي، كبير مسؤولي التكنولوجيا للقطاع العام في الأمن السيبراني. شركة تريليكس“، يوضح عبر البريد الإلكتروني.
“يبدو أن المشكلة الأكثر ترجيحًا… هي أنه كان هناك نظام قديم لا يحتوي على أسلوب MFA [multifactor authentication]يقول أوليغ كولسنيكوف، نائب رئيس أبحاث التهديدات في شركة سيكيورونكس، شركة تحليلات أمنية وإدارة العمليات.
يمكن أن يؤدي المصادقة متعددة العوامل (MFA) والنظافة الأقوى لكلمة المرور إلى التخفيف من مخاطر هجمات رش كلمة المرور. “على الرغم من أنه من غير الواضح إلى حد ما المدة التي تمكن فيها المهاجمون من الإفلات من الكشف، إلا أنه ربما كانت هناك فرصة عبر مراقبة السجل لاكتشاف وجودهم وطردهم بشكل أسرع،” كما قال بادرايك أورايلي، كبير مسؤولي الابتكار في الشركة. سايبر سانت، وهي شركة برمجيات لإدارة المخاطر السيبرانية، تقول لـ InformationWeek في مقابلة عبر البريد الإلكتروني.
ممثل التهديد
Midnight Blizzard هي “… مجموعة من الجهات الفاعلة مقرها روسيا وتتألف من بعض التهديدات السيبرانية الأكثر تطوراً والتهديدات التشغيلية للولايات المتحدة وحلف شمال الأطلسي والاتحاد الأوروبي وشركائهم الدوليين،” كما قال أندرو بورين، المدير التنفيذي للأمن العالمي في Global. شركة استخبارات التهديد نقطة الوميض، يقول InformationWeek عبر البريد الإلكتروني. المجموعة التي ترعاها الدولة الروسية، والمعروفة أيضًا باسم NOBELIUM، وAPT 29، وDukes، وCozyBear، هي تابعة لجهاز المخابرات الخارجية الروسية (SVR).
المجموعة مسؤولة عن العديد من الهجمات الإلكترونية البارزة، بما في ذلك تلك التي تعرضت لها سولارويندز في عام 2020 و اللجنة الوطنية الديمقراطية في عام 2015.
بعد أيام قليلة من كشف شركة مايكروسوفت عن اختراق جهة التهديد لحسابات البريد الإلكتروني للموظفين، قدمت شركة Hewlett Packard Enterprise (HPE) شكوى 8-K تكشف عن قيام Midnight Blizzard تمكنت من الوصول إلى بيئة البريد الإلكتروني السحابية الخاصة بها. تمكنت الجهات الفاعلة التهديد من الوصول إلى بيئة البريد الإلكتروني Microsoft Office 365 من HPE، بحسب موقع Bleeping Computer.
أفادت HPE أنه تم إخطارها بوصول جهة التهديد في 12 ديسمبر 2023. وفي تحقيقها، قررت HPE أن Midnight Blizzard تمكنت من الوصول إلى البيانات وسحبها بدءًا من مايو 2023، وفقًا لـ 8-K.
تستخدم المجموعة مجموعة متنوعة من التقنيات، وغالبًا ما تستفيد منها هندسة اجتماعية للوصول إلى أنظمة الضحايا. وكانت مايكروسوفت عن كثب تتبع نشاط Midnight Blizzard ونشر نظرة ثاقبة لتكتيكاتها وهجماتها. “إنهم لا يحبون عندما يتم الكشف عن أساليبهم، من الواضح. يقول كوليسنيكوف: “إنهم يلاحقون الباحثين، ويجب على الباحثين أن يكونوا على دراية بذلك”.
بحث ممثل التهديد عن معلومات عن نفسه بمجرد حصوله على حق الوصول إلى حسابات البريد الإلكتروني للموظفين، مما يشير إلى اهتمامه بمدى معرفة مايكروسوفت به.
يعد الهجوم على مايكروسوفت جزءًا من الاتجاه الأكبر المتمثل في استمرار نشاط الجهات الفاعلة التي تهدد الدولة القومية. يقول أورايلي: “إنه يتماشى مع نوع الألاعيب التي تنخرط فيها الجهات الفاعلة التي ترعاها الدولة. ويبدو أن هناك العديد من الدوافع في اللعب: الابتزاز، والإحراج، والتجسس تلوح في الأفق بشكل كبير”.
من المحتمل أن تستمر Midnight Blizzard وغيرها من المجموعات التي ترعاها الدولة في استهداف شركات القطاع الخاص، مثل Microsoft.
يقول بورين: “أنا شخصياً أعتقد أن هذا مجرد حدث واحد في نمط يمكن ملاحظته من العدوان الروسي”. “سنشهد اهتمامًا متزايدًا بكفاءة الأمن السيبراني في القطاع الخاص بما يتجاوز مدراء أمن المعلومات وقياس الأمن الشامل على مستوى المؤسسة، ليشمل أعضاء مجالس الإدارة غير التنفيذيين والمستثمرين وغيرهم من أعضاء الإدارة التنفيذية.”
النشاط المستمر للجهات الفاعلة في مجال تهديد الدولة القومية
يتزايد التوتر الجيوسياسي في جميع أنحاء العالم ويصاحبه نشاط الجهات الفاعلة التي تهدد الدولة القومية. يقول سوندي: “لقد شهد مركز الأبحاث المتقدمة الخاص بنا ارتفاعًا بنسبة 50% في الأشهر الستة الأخيرة من نشاط الدولة القومية النابعة من روسيا وأوكرانيا، وإسرائيل وحماس، وتايوان والصين”.
مع استمرار استهداف شركات القطاع الخاص من قبل الجهات التي تهدد الدولة القومية، تحتاج فرق القيادة إلى التفكير في كيفية استمرار مؤسساتهم في القيام بالأعمال التجارية أثناء إدارة هذه المخاطر.
“كيف يمكنك السماح بتشغيل العمليات التجارية العادية مع الحفاظ على الأمان؟ يقول كوليسنيكوف: “في بعض الأحيان يكون هذان الهدفان متعارضين”. “أحد أهم الأمور التي يجب على مسؤولي أمن المعلومات هنا أن يبذلوها هو أنه ربما يتعين عليهم في بعض الأحيان أن يبذلوا جهدًا أكبر قليلاً.”
مع استفادة العديد من الهجمات التي ترعاها الدولة من الخطأ البشري، يمكن لرؤساء أمن المعلومات تسليط الضوء على أهمية التدريب وإدارة كلمات المرور. يقول أورايلي: “إن التدريب الأفضل حول التصيد الاحتيالي وإدارة كلمات المرور بشكل أفضل – هذه ليست إصلاحات باهظة الثمن بالنسبة للمؤسسات الحديثة، وتحسينها يمكن أن يقلل بشكل كبير من التعرض للخسارة”.
يؤكد بورين على أهمية “…اتخاذ تدابير دفاعية استباقية مثل الحفاظ على الأنظمة مصححة ومحدثة، والعمل مع أفضل مقدمي خدمات استخبارات التهديدات السيبرانية والنظام البيئي الموثوق به لموفري الأمن السيبراني.”
وكل هجوم جديد ترعاه دولة يتم الكشف عنه يكون بمثابة تذكير. يقول سوندي: “بالنسبة للشركات على مستوى المؤسسات، آمل أن يكون هذا بمثابة دعوة للاستيقاظ بأنه لا يوجد أحد محصن ضد هذه الهجمات، أو أي هجوم إلكتروني، في هذا الشأن”.
