اختراق مخطط من قبل مهاجمون للحصول على معلومات نظام الشركة عبر زرع سلسلة من هجمات طلب الفدية cring وجاء ذلك بعد اختراقهم و وصولهم إلى حساب مسؤول شبكات الشركة ،ومن خلاله استطاعوا التمتع بصلاحيات المسؤول واقتحام جميع أنظمة الشركة عبر حسابه
التحقيقات في حادثة الاختراق
توصلت التحقيقات في أمر الحادثة بان المهاجمون قبل مباشرة الهجوم الرئيسية قام بإجراءات تجريبية في بوابة VPN واكتشفوا أن البيانات تفتح ،وقد استخدموا للهجوم بعد دخولهم حساب الشركة الأداة المساعدة Mimikatz في سرقة بيانات اعتماد حساب مستخدمي Windows الذين سبق لهم تسجيل الدخول إلى النظام المخترق سابقا.
الحادثة القديمة لاختراق الشركة
لم يكن هذا الاختراق الأول فقد نفذ المهاجمون في بداية العام الحالي مجموعة اختراقات عبر استخدامهم البرنامج cring ولم يكتشف فريق حوادث أمن الحاسب سويس كوم كيف استطاعت هذه البرمجية الاختراق ، لكن بعد التحقيقات المركزة أجراه فريق للطوارئ ،تم التوصل إلى أن المهاجمون يستغلون الثغرة الموجودة في خوادم الشبكات الافتراضية VPN ،وان هذه الهجمات قد هاجمت شركات صناعية أخرى وأدت إلى اغلاق مواقع انتاجها لوقت مؤقت .
الثغرة المفضوحة والوصول إلى الشركة
اكتشف خبراء فريق الاستجابة لطوارئ الحاسوب ، أن سلسلة هجمات Cring من هجمات طلب الفدية، أن المهاجمون التخريبيون استغلوا الثغرة CVE-2018-13379 للوصول إلى شبكة الشركة فقد باتت الثغرة CVE-2018-13379 الموجودة في خوادم Fortigate VPN مكشوفة منذ العام 2019.
سبب الوصول إلى الثغرة CVE-2018-13379
رغم معالجة فريق الاستجابة لطوارئ الحاسوب لتلك الثغرة والعمل على تصحيحها إلى ان الخطأ الذي تم ارتكابه هو عدم تحديث أنظمة كافة الأجهزة التي تحتوي بداخلها على الثغرة حيث بدأت تظهر تلك الثغرة في المنتديات المظلمة من خلال قوائم بعنوان IP لجميع الأجهزة التي تحتوي الثغرة . وهذا المفتاح الذي جعلهم أن يتصلوا بالإنترنت عن البعد والوصول إلى الجهاز والحصول على على معلومات المستخدمين وكلمة المرور عبر ملفXML .
رأي الخبير الأمني في طوارئ الحاسوب حول الحادثة
وضح ياخسلاف كوبيتسيف الخبير الأمني في فريق الاستجابة لطوارئ الحاسوب لنظم الرقابة الصناعية لدى كاسبرسكي، أن المهاجمون قبل الهجوم قاموا بتحليل البنية التحتية للشركة ،و تمركزا بناء على خلفية المعلومات التي حصلوا عليها ،وان الخادم منحهم التسلل عبر عنوان IP.
تابع قوله : «اختفت تلك البرمجيات الخبيثة من خلال النصوص البرمجية، التي استخدمها المهاجمون في نشاطهم التخريبي، لتظهر وكأنها استخدام يتخذها برنامج مكافحة الفيروسات المؤسسي،
وأنهت العمليات التي نفذتها خوادم قاعدة البيانات (Microsoft SQL Server ) وأنظمة النسخ الاحتياطي (Veeam ) التي تم استخدامها في الأنظمة المختارة للتشفير،و أخيرا تبين ان المخربين قاموا بتشفير الخوادم التي باعتقادهم في حال فقدانها سيتسبب عمل الشركة بضرر كبير
ضرورة تحديث قواعد البيانات
بعد الحوادث المتكررة لسرقة بيانات الشركة من قبل المخربين ،فقد توصل الخبراء إلى ضرورة تحديث قواعد البيانات الخاصة بالحل الأمني المستخدم على الأنظمة المهاجمة ، لأنه سيعرض الموقع للاختراق مرات متعددة