في الشهرين الأخيرين، أبلغ مجرمو الإنترنت عن بيع مئات الملايين من سجلات العملاء لنحو عدة شركات بارزة مثل “تيكتماستر” و”سانتاندير بنك” و”آيه تي اند تي”. ورغم أن خروقات البيانات الكبيرة تمثل واقعاً موجوداً منذ أكثر من عقد، إلا أن هذه الأمثلة الحديثة لها دلالة كبيرة لأنها جميعها مرتبطة ببعضها البعض.

تعرضت كل من هذه الشركات للاختراق من جانب عملائها من شركة التخزين السحابي “سنو فليك”، ولم يكن ذلك بسبب اختراق معقد، بل لأن المهاجمين تمكنوا من الحصول على بيانات تسجيل الدخول لحسابات الشركات على منصة سنو فليك. وقد أثر هذا الهجوم على ما لا يقل عن 165 عميلاً لشركة سنو فليك.

ولم يحصل المهاجمون على هذا الكم الكبير من بيانات تسجيل الدخول من اختراق سنو فليك بشكل مباشر أو عبر هجوم موجه إلى سلسلة التوريد، بل وجدوا بيانات الاعتماد ضمن مجموعة من المعلومات المسروقة من قبل باستخدام برمجيات سرقة المعلومات.

ما هي برمجيات سرقة المعلومات “إنفو ستيلر”؟

برمجيات سرقة المعلومات، كما يشير اسمها، هي نوع من البرمجيات الضارة التي تهدف إلى جمع معلومات حساسة من الأنظمة المصابة. تستهدف مثل هذه البرمجيات البيانات الشخصية والمالية والتجارية، بما في ذلك كلمات المرور وأرقام بطاقات الائتمان وسجلات التصفح وغيرها من المعلومات القيمة.

الهدف النهائي من برمجيات “إنفو ستيلر” هو نقل البيانات المسروقة إلى مجرمي الإنترنت، الذين يستخدمونها لتحقيق مكاسب مالية أو لسرقة الهويات أو لممارسة أنشطة غير قانونية أخرى.

غالبًا ما تدخل برمجيات سرقة المعلومات الأنظمة من خلال رسائل البريد الإلكتروني الاحتيالية أو المرفقات الضارة أو المواقع المقرصنة. وعندما تُقوم بتثبيتها، تعمل في الخلفية مما يجعل اكتشافها أمرًا صعباً للغاية.

تستخدم أيضاً تقنيات متنوعة لتفادي الاكتشاف وتسعى للعثور على أهداف شركة أخرى عبر الشبكة وتمكن المهاجمين من إصدار الأوامر عن بُعد.

كيف تؤثر هذه البرمجيات على الشركات العالمية؟

ينقل تشارلز كارماكال، المدير التقني لشركة مانديانت (Mandiant) للأمن السيبراني، أن برمجيات سرقة المعلومات تُستغل من قبل دول قومية وكذلك من قِبل مجرمين وفرق هاكرز شبان.

إحدى المجموعات التي تستخدم “إنفو ستيلر” هي مجموعة “إيه بي تي 29” الروسية وكذلك عصابات الجرائم السيبرانية مثل “لابسوس” و”سكاترد سبايدر”. وبعد انقطاع خدمات شركة “كراود سترايك” العالمية، قامت هذه العصابات بتطوير برمجيات إنفو ستيلر جديدة للاستفادة من الارتباك.

تنجح برمجيات سرقة المعلومات بشكل خاص في ظل ظروف العمل عن بُعد والخلط بين العمل الشخصي والمهني، حيث تتكيف الشركات لتمكين موظفيها من استخدام أجهزة الحاسوب الشخصية لدخول خدمات العمل، مما يفتح باب الاختراقات العشوائية للأجهزة الشخصية.

هذا الوضع يؤدي إلى إمكانية الوصول إلى بيانات اعتماد الشركات، نتيجة استخدام الأفراد لأنظمة العمل عبر حساباتهم الشخصية. كلما سهلت آثار ذلك على البرمجيات الخبيثة تجاوز حماية الأنظمة، خاصةً في حال كان الموظفون مستخدمين لحسابات بريد إلكتروني شخصية أو حسابات وسائط اجتماعية عبر أجهزة الشركة.

أوضح كارماكال أنه بدأ يمضي اهتمامه بهذا الموضوع عندما أصبح مشكلة مؤسسية واضحة في عام 2020، حيث شهد المزيد من اختراقات شركات بدأت في الغالب من خلال أجهزة الحاسوب المنزلية.

فيكتوريا كيفيليفيتش، مديرة أبحاث التهديدات في شركة كيلّا (KELA)، تشير إلى أن أسواق الجرائم الإلكترونية، عبر تطبيق تليغرام، شهدت مشاركة أكثر من 7 آلاف بيان اعتماد متعلق بحسابات سنوفليك المخترقة.

أحد المجرمين روج لوصوله إلى 41 شركة من قطاع التعليم، بينما يدعي آخر أنه يبيع الوصول إلى شركات أمريكية بإيرادات تتراوح بين 50 مليون دولار و8 مليار دولار.

أبرز الأحداث التي استخدمت فيها برمجيات سرقة المعلومات

استُخدمت بيانات الاعتماد عبر برمجيات سرقة المعلومات كوسيلة لتضليل الدعاية أو لتسهيل عمليات الاحتيال. وسنستعرض بعض الأمثلة الحديثة التي اكتشفتها شركة هادسون روك.

الحرب بين حماس وإسرائيل

في 13 أكتوبر/تشرين الأول 2023، خلال تصاعد النزاع بين حماس وإسرائيل، ادعت مجموعة قرصنة موالية لفلسطين تُعرف باسم”حق جويان” أنها اخترقت أكثر من 5 آلاف حاسوب إسرائيلي. وقدمت المجموعة عينة من البيانات لدعم ادعائها.

من خلال فحصٍ دقيق لبيانات الضحايا من عينة المجموعة وقاعدة بيانات استخبارات الجرائم الإلكترونية لشركة هادسون روك، التي تحتوي على سجلات لأكثر من 25 مليون حاسوب مصاب، تم اكتشاف أن الضحايا الذين زُعم أنهم تفوقوا في الحقيقة كانوا في الأصل أجهزة حاسوب قديمة تعرضت للاختراق بواسطة برامج سرقة معلومات غير مرتبطة بهجمات المجموعة المذكورة.

بيع بيانات شركة “أني ديسك” (AnyDesk)

في 5 فبراير/شباط، نشرت شركة “أني ديسك” بياناً عاماً أكدت فيه تعرضها لحدث سيبراني تم في إطاره اختراق أنظمة إنتاجها.

في الوقت نفسه، نشر هاكر غير معروف على منتدى روسي مزاعم بأنه يبيع قاعدة بيانات أني ديسك على الإنترنت المظلم، مدعياً أنه يمتلك إمكانية الوصول إلى قاعدة بيانات كبيرة في نظام إدارة السجلات، ويطلب مبلغ 15 ألف دولار عبر عملة بيتكوين أو مونيرو.

لكن من خلال التحقق المتبادل بين عينة البريد الإلكتروني للهاكر وقاعدة بيانات استخبارات الجرائم الإلكترونية في هادسون روك، تمكن الباحثون من تحديد أن البيانات المعروضة كانت نتاج إصابات سابقة ببرمجيات سرقة المعلومات، وليس لها أي صلة بالاختراق الأخير لشركة “أني ديسك”.

حملة تضليل ضد “أندرو تيت”

“أندرو تيت” هو شخصية مؤثرة على الإنترنت وملاكم سابق يحمل الجنسية الأميركية والبريطانية. في 6 فبراير/شباط هذا العام، نشر مستخدم مجهول ادعاءً بأنه سرب بيانات من موقع أندرو تيت المعروف “ذا ريال وورد”.

قدم هذا المستخدم المجهول عينة من البيانات المسربة، مما جعل الأمر يبدو كأنه قام باختراق قاعدة بيانات الموقع. وورد أن التسريب يحتوي على تفاصيل مثل عناوين البريد الإلكتروني وكلمات المرور للمستخدمين.

عند التحقيق في عنوان البريد الإلكتروني الموجود في العينة، تمكنت “هادسون روك” من تأكيد أن هذه البيانات المعروضة كانت نتيجة لإصابات سابقة ببرمجيات سرقة المعلومات، وليست مرتبطة بأي اختراق مستهدف متعلق بأندرو تيت.