مراجعة هامة عن أهم الأحداث في عالم أمن المعلومات لهذا الأسبوع.
خلال الفترة من 14 إلى 20 أغسطس ، وقع عدد من الأحداث المثيرة للاهتمام في عالم أمن المعلومات - أول هجوم في العالم على منزل ذكي باستخدام إعلانات خبيثة ، وسرقة بيانات 100 مليون مشترك في T-Mobile بدافع الانتقام ، و تسرب قائمة المطلوبين من مكتب التحقيقات الفدرالي للإرهابيين وأكثر من ذلك بكثير. اقرأ عن هذه الحوادث الأمنية وغيرها في مراجعتنا.
أعلنت شركة أمن المعلومات الإسرائيلية GeoEdge عن الكشف عن أول هجوم إلكتروني في العالم على أجهزة إنترنت الأشياء المنزلية باستخدام إعلانات ضارة. منذ يونيو من هذا العام ، قام فريق من المتخصصين من الشركة بالتحقيق في هجمات باستخدام إعلانات ضارة (ما يسمى بهجمات الإعلانات الخبيثة) على أجهزة المنزل الذكي IoT. إنها الهجمات الأولى في العالم التي تستخدم الإعلانات عبر الإنترنت لتثبيت التطبيقات بشكل غير مرئي على الأجهزة المنزلية المتصلة بشبكة Wi-Fi.
المتخصصين في قسم Insikt المجموعة من شركة أمن المعلومات الأميركية المسجلة المستقبل وتحدث عن ما يسمى "عملية طويلة الأمد مع روسيا" على التضليل يسمى عملية الثانوية Infektion. أبلغت مجموعة Insikt عن ذلك لأول مرة في أبريل 2020 وأصدرت الآن تفاصيل جديدة ، بما في ذلك تحليل التكتيكات والتقنيات والإجراءات (TTP).
في الأسبوع الماضي ، اخترق مجرمو الإنترنت منصة تداول العملات المشفرة اليابانية Liquid. نتيجة للهجوم الإلكتروني ، سُرقت أصول في عملات البيتكوين والإيثر و XRP و TRX بمبلغ 74 مليون دولار. وفقًا لممثلي البورصة ، يتتبع الخبراء حركة الأصول ويعملون مع البورصات الأخرى من أجل تجميد الأموال المسروقة وإعادتها إلى أصحابها. تمكن المتسللون من تحويل جزء من الأموال التي تم الحصول عليها بشكل غير قانوني إلى حسابات أخرى.
الباحثون أمن Volexity شركة أمن المعلومات سجلت هجمات من قبل مجموعة القراصنة كوريا الشمالية المعروفة على عدد محدود من الضحايا باستخدام يستغل نقاط الضعف في متصفحات الويب مايكروسوفت. تمكنت مجموعة قراصنة تدعى InkySquid من اختراق موقع جديد في كوريا الجنوبية وحقن شفرة ضارة فيه. تم استخدام هذا الاستغلال منذ عام 2020 في هجمات ضد متصفح Internet Explorer من أجل تنزيل شفرة جافا سكريبت المبهمة المخبأة داخل الكود الشرعي. تم استخدام أسلوب الهجوم نفسه ضد مستخدمي Edge من الجيل الأول ، ولكن من خلال ثغرة أمنية مختلفة.
اكتشف باحث أمني يستخدم الاسم المستعار Imp0rtp3 إطارًا لهجوم الويب يُزعم أنه طوره قراصنة تمولهم الحكومة الصينية. وفقًا للباحث ، تم استخدام أداة تسمى Tetris لاستغلال نقاط الضعف في 58 موقعًا لتعقب المعارضين السياسيين. 57 منها عبارة عن بوابات صينية شهيرة ، وآخر هو موقع صحيفة نيويورك تايمز الأمريكية. بالإضافة إلى استغلال الثغرات الأمنية ، تستخدم Tetris أيضًا وظائف المتصفح المشروعة لتسجيل ضغطات المفاتيح على لوحة المفاتيح ، وسرقة التفاصيل حول نظام التشغيل المستخدم وبيانات تحديد الموقع الجغرافي ، والتقاط لقطات لوجه الضحية باستخدام كاميرا الويب.
كما أصبح معروفًا الأسبوع الماضي ، في 11 يناير 2020 ، اخترق المتسللون خوادم مكتب الإحصاء الأمريكي. استغل المهاجمون ثغرة يوم الصفر الخطيرة ( CVE-2019-19781 ) في Citrix Application Delivery Controller (ADC) ، لكنهم فشلوا في تثبيت الباب الخلفي.
كما هو الحال دائمًا ، لم يكن هذا الأسبوع بدون أخبار عن هجمات برامج الفدية. أبلغت الحكومة البرازيلية عن هجوم إلكتروني على أنظمة الكمبيوتر في وزارة الخزانة الوطنية باستخدام برامج الفدية الضارة. وفقًا لممثلي وزارة الاقتصاد البرازيلية ، تم اتخاذ الإجراءات الأولية لإزالة عواقب الهجوم الإلكتروني على الفور. في التقييمات الأولى ، لم يكن هناك أي ضرر لأنظمة هيكلة الخزانة الوطنية.
يُزعم أن مشغلي Ransomware Hive قاموا باختراق وتشفير أنظمة الكمبيوتر الخاصة بنظام Memorial Health System غير الربحي ، مما أجبر الموظفين على التبديل إلى الوضع اليدوي. نظام ميموريال الصحي عبارة عن شبكة صغيرة من ثلاثة مستشفيات (مستشفى ماريتا التذكاري ومستشفى سيلبي العام ومستشفى سيسترزفيل العام) في أوهايو وفيرجينيا الغربية (الولايات المتحدة الأمريكية) وخدمات العيادات الخارجية والعيادات. أدى الهجوم إلى اضطرابات سريرية ومالية ، مما أدى إلى إلغاء العمليات الجراحية العاجلة وفحوصات الأشعة السينية.
اكتشف المتخصصون في شركة Heimdal Security لأمن المعلومات عائلة جديدة من برامج الفدية التي تستخدم تقنية تشفير بيانات نادرة ولكنها مزعجة في البيئة التي تعرضت للهجوم. أوضح الخبراء أنه بدلاً من تشفير الملفات على نقاط النهاية ، كما تفعل معظم برامج الفدية ، يهاجم DeepBlueMagic محركات الأقراص الثابتة على خوادم الشركات.
في أحد منتديات المتسللين ، تم نشر أرشيف بسعة 7 جيجا بايت من البيانات السرية ، والتي يُفترض أنها تابعة لشركة تصنيع أجهزة الكمبيوتر التايوانية GIGABYTE. يشار إلى أن تسرب البيانات حدث بعد الهجوم الأخير من قبل مشغلي برامج الفدية RansomEXX. تم نشر الأرشيف في الأصل على موقع ransomEXX العام ، على الأرجح بعد أن رفضت GIGABYTE دفع رسوم الفدية.
يستغل مشغلو الروبوتات الجديدة المسماة HolesWarm أكثر من 20 نقطة ضعف لاختراق خوادم Windows و Linux من أجل تثبيت برامج ضارة لتعدين العملات المشفرة . وفقًا لتقرير صادر عن متخصصين في الأمن السيبراني من Tencent ، تم تسجيل الهجمات بشكل أساسي في جميع أنحاء الصين ، ولكن في الأشهر المقبلة ، من المفترض أن يبدأ المجرمون في اختراق الأنظمة في جميع أنحاء العالم. يستغل مشغلو Botnet الثغرات الأمنية في برامج مثل Docker و Jenkins و Apache Tomcat و Apache Struts و Apache Shiro و Apache Hadoop Yarn و Oracle WebLogic و Spring Boot و Zhiyuan OA و UFIDA و Panwei OA و Yonyou GRP-U8.
العمود التقليدي للحوادث الأمنية الأسبوعية هو خروقات البيانات. على سبيل المثال ، ترسل شركة Colonial Pipeline ، أكبر مشغل لخطوط أنابيب الوقود في الولايات المتحدة ، إشعارات إلى الأشخاص المتأثرين بالهجوم الإلكتروني لشهر مايو من برنامج الفدية DarkSide. وقالت الشركة إنها "علمت مؤخرًا" أنه خلال الهجوم ، تمكن مشغلو DarkSide ، من بين أمور أخرى ، من جمع واستخراج مستندات تحتوي على معلومات شخصية لـ 5810 أشخاص. تتضمن البيانات المسروقة الاسم الأول والأخير ومعلومات الاتصال والمعلومات الصحية (بما في ذلك التأمين) وأرقام دافعي الضرائب والهوية العسكرية وأرقام الضمان الاجتماعي ، إلخ.
تحقق شركة T-Mobile ، وهي شركة اتصالات أمريكية كبرى ، في تسرب بيانات بعد أن أعلن أحد المتسللين عن اختراق خوادم T-Mobile وسرقة قواعد البيانات التي تحتوي على معلومات شخصية لنحو 100 مليون مشترك. ظهرت التقارير الأولى عن التسريب المزعوم على أحد منتديات الهاكرز يوم السبت 14 أغسطس. طرح المخترق قاعدة بيانات T-Mobile للبيع بسعر 6 عملات بيتكوين (حوالي 280 ألف دولار). وبحسبه ، تحتوي قاعدة البيانات على تواريخ الميلاد وأرقام رخصة القيادة وأرقام التأمين الاجتماعي لـ 30 مليون شخص. طلب الفدية لم يكن هدف المتسلل. وفقًا للمهاجم ، قام باختراق خوادم T-Mobile بدافع الانتقام.
اخترق متسلل غير معروف موقع Legalizer ، وهو أحد أشهر مواقع توزيع الأدوية في رابطة الدول المستقلة. قدم المهاجم رابطًا إلى الموقع يحتوي على معلومات حول منشئي الموقع مجهولي الهوية ، بما في ذلك الاسم الكامل ورقم الهاتف والعنوان وبلد الإقامة وبيانات جواز السفر. قدم المخترق أيضًا أمثلة على المراسلات في الرسائل الخاصة ، والتي يتم فيها ، من بين أمور أخرى ، إعطاء ألقاب المستخدمين أنفسهم. يقال ، في الوقت الحالي ، يشير كل عضو من أعضاء فريق المنتدى إلى بعضهم البعض ، ويدعو مؤسس الآخر.
لا يخلو من التجاوزات. على سبيل المثال ، منشئ Raccoon info-stealer "سرب" عن طريق الخطأ معلومات عنه إلى خبراء أمن المعلومات. أثناء الاختبار ، أصاب المطور جهاز كمبيوتر اختباري ببرامج ضارة ، وتم التقاط البيانات المتعلقة به بواسطة منصة الأمن السيبراني Hudson Rock Cavalier.
أفاد الباحث الأمني بوب دياتشينكو عن اكتشاف نسخة من قاعدة بيانات الإرهابيين المطلوبين لمكتب التحقيقات الفيدرالي على عنوان IP في البحرين. وقال إن مجموعة Elasticsearch غير المؤمنة تحتوي على 1.9 مليون سجل. يقول دياتشينكو إن أي جزء من قاعدة البيانات بأكملها يشكله هذا التجمع غير معروف ، لكن من المحتمل أن تكون هذه هي قاعدة البيانات بأكملها. تتضمن المعلومات المسربة: الأسماء الكاملة والألقاب ، والمعرف في قائمة TSC ، ومعلومات الجنسية والجنس ، وتواريخ الميلاد ، وأرقام جوازات السفر ، والبلدان التي صدرت فيها جوازات السفر ، ومعرف عدم الطيران.
0 تعليقات