استمع إلى المقال

في يوم الخميس الماضي الموافق لـ 24 مارس / آذار، ألقت شرطة لندن القبض سبعة أشخاص تتراوح أعمارهم بين 16 و21 عاما في أعقاب سلسلة من عمليات الاختراق التي نفذتها مجموعة القرصنة لابسوس “LAPSUS $” التي استهدفت شركات كبرى من بينها Okta ومايكروسوفت، وتم إطلاق سراحهم جميعا، ولكنهم ما زالوا قيد التحقيق.

في وقت لاحق أكدت كل من شركتي Okta ومايكروسوفت تعرض بياناتهم للاختراق والسرقة بعد أن أعلنت مجموعة تطلق على نفسها لابسوس عن استهدافها، لكن الشركات تدعي أن التأثير محدود.

في المقابل ادّعت مجموعة لابسوس أن مقرها في البرازيل وزعمت شن هجمات على العديد من الشركات الكبرى، بما في ذلك سامسونج وإنفيديا وفودافون ويوبي سوفت. وصفهم البعض بأنهم مجموعة برامج الفدية، بينما كان الوصف الأكثر دقة من شركة استخبارات التهديدات Flashpoint إلى أنهم مجموعة ابتزاز لأن هجماتهم لا تتضمن برامج ضارة لتشفير الملفات.

من هم لابسوس؟

قبل بضعة أشهر لم يكن هناك أي نوع من الهجمات أو القرصنة يحمل هذا الاسم، أو على أقل تقدير لم يكون لابسوس من الأسماء المعروفة مثل أنونيموس أو كونتي، ولكن من خلال سلسلة من الهجمات الإلكترونية ضد مجموعة من الأهداف البارزة. في غضون أيام قليلة فقط، كشفت مجموعة تُعرف باسم لابسوس أنها سرقت بيانات من مؤسسات ذات أسماء كبيرة من بينها مايكروسوفت و Okta والمزيد.

يبدو أن الهدف من حملة لابسوس هو الحصول على مبالغ نقدية عن طريق الابتزاز، وذلك عبر إطلاقهم لتهديدات بتسريب المعلومات المسروقة إذا لم تتم تلبية المطالب. من الواضح أن هذا التكتيك مألوف بعض الشيء، وغالبًا ما تستخدمها عصابات برامج الفدية كوسيلة ضغط إضافية لإجبار الضحايا على دفع فدية مقابل مفتاح فك التشفير، ولكن في حالة مجموعة لابسوس، لا توجد علامة على أن برامج الفدية جزء من الهجمات نظرًا لعدم تشفير أي بيانات. وتشمل الهجمات سرقة البيانات والمطالبة بدفع فدية فقط.

لكن هذا لا يعني أن الهجمات ليست ضارة، فقد لاحظ Microsoft Security أن هناك دليلًا على وجود عنصر مدمّر للهجمات على الضحايا الذين لن يستسلموا لمطالب الابتزاز.

ضحايا لابسوس

إن ادعاء Okta ومايكروسوفت باختراقات وسرقة بياناتهم من خلال مجموعة تدعى لابسوس، لفتت الكثير من الأنظار إلى لابسوس، وأوضحت بعض التصريحات بأن المجموعة ليست جديدة تمامًا، حيث كانت نشطة منذ ديسمبر / كانون الأول 2021 على الأقل وحصدت عددًا من الضحايا في الأشهر الأخيرة.

وزارة الصحة البرازيلية

كانت وزارة الصحة البرازيلية من أوائل ضحايا المجموعة، حيث سُرقت بيانات يزيد حجمها عن 50 تيرابايت وحُذفت من أنظمتها. من بينها بيانات متعلقة بجائحة COVID-19، بما في ذلك الحالات والوفيات والتطعيمات والمزيد. استغرق الأمر شهرًا قبل أن يتم تشغيل الأنظمة مرة أخرى.

Okta

تعد شركة Okta التي توفر برامج سحابية تساعد الشركات على إدارة وتأمين مصادقة المستخدم في التطبيقات، أحد أكبر ضحايا لابسوس، في حادثة تقول الشركة إن المهاجمين ربما تمكنوا من الوصول إلى معلومات حوالي 2.5% من عملاء Okta، وهو رقم يمثل 366 من عملائها المكونين من منظمات ومؤسسات وشركات وغيرها.

The LAPSUS$ ransomware group has claimed to breach Okta sharing the following images from internal systems. pic.twitter.com/eTtpgRzer7

— Bill Demirkapi (@BillDemirkapi) March 22, 2022

وصرحت Okta، يوم الثلاثاء 22 مارس / آذار، إنها تعرضت لهجوم من قبل المتسللين. وأضافت الشركة إنها احتوت محاوِلة خرقاً أمنياً في يناير / كانون الثاني الماضي. ورغم هذه التصريحات أدّعى لابسوس منذ ذلك الحين أنه كان قادرًا على الوصول إلى كمبيوتر محمول لمهندس دعم ونشر لقطات شاشة تدعي الوصول إلى الأنظمة. ومن خلال منشور على مدونتها أكدت Okta إن الكمبيوتر المحمول ينتمي إلى مهندس دعم يعمل لدى مزوّد تابع لجهة خارجية وأن Okta نفسها لم تتعرض للاختراق.

وأدت أنباء هذا الهجوم إلى انخفاض حصة Okta بنحو 11 في المئة وسط انتقادات لبطء استجابة الشركة للاختراق. وانخفضت أسهم Okta بنسبة 4.8% يوم الخميس الماضي.

مايكروسوفت

The LAPSUS$ ransomware group appear to be incredibly inexperienced with OPSEC. They posted their message boasting about access to Microsoft's internal DevOps environment *while still exfiltrating source code*. We can tell by looking at the timestamp of the files in their leak. 🤦‍♂️ https://t.co/NaU38cypUw pic.twitter.com/AryXJS12A1

— Bill Demirkapi (@BillDemirkapi) March 22, 2022

أكدت مايكروسوفت أيضًا أنه تم اختراقها بواسطة لابسوس بينما تقول الشركة إن المهاجمين حصلوا على وصول محدود، ونشر المتسللون ملف تورنت يزعمون أنهم يمتلكون كود المصدر من Bing و Bing Maps و Cortana. فيما زعمت مجموعة لابسوس بأنهم سرّبوا ما يقرب من 40 جيجا بايت من الملفات التي تخص عملاق التكنولوجيا مايكروسوفت.

إنفيديا

من بين الضحايا الآخرين لهجمات لابسوس في الأشهر الأخيرة عدد من شركات التكنولوجيا والألعاب. في فبراير / شباط، وَقعت إنفيديا “Nvidia” ضحية لحادث أمن إلكتروني نُسب إلى لابسوس. تدّعي المجموعة أنها سرقت أكثر من بيانات الشركة التي تُعتبر من أكبر الشركات إنتاجا لمعالجات الرسومات وبطاقات العرض المرئي ومجموعات الشرائح للكومبيوتر وأنظمة ألعاب الفيديو، وبدأت مجموعة لابسوس في تسريب بيانات اعتماد الموظفين ومعلومات الملكية كملفات قابلة للتنزيل على الإنترنت. علمت إنفيديا بالخرق في 23 فبراير / شباط تحديدًا. وقالت الشركة أيضًا إن الخرق لن يعطّل أعمالها.

سرق لابسوس واحد تيرابايت من البيانات، بما في ذلك قدر كبير من المعلومات الحساسة حول تصميمات GPU، ورمز المصدر لنظام تقديم NVIDIA AI وكلمات مرور أكثر من 71000 موظف من إنفيديا

في أعقاب الاختراق، صعّدت إنفيديا من الأمن، وتواصلت مع سلطات إنفاذ القانون، وتعمل الآن مع خبراء الأمن السيبراني للتعامل مع الهجوم.

سامسونج

ضحية أخرى رفيعة المستوى للابسوس هي شركة سامسونج الكورية الجنوبية، التي أكدت أن بياناتها قد تم اختراقها من خلال هجوم إلكتروني، بما في ذلك كود المصدر المتعلق بهواتف سامسونج جالاكسي الذكية. وتقول شركة سامسونج إنه لم تتم سرقة أي معلومات شخصية في الهجوم، وامتنعت الشركة عن توجيه أصابع الاتهام إلى جهة محددة.

#Lapsus group claims they breached #Samsung#CyberAttack #ThreatHunting @SOSIntel @Cyberknow20 @GossiTheDog @campuscodi pic.twitter.com/AQvQNLF8M1

— Soufiane (@S0ufi4n3) March 4, 2022

صرحت بعضُ المصادر أن مجموعة لابسوس قد تمكنت من الحصول على 190 غيغابايت من البيانات المتعلقة بالأمان، وإن هذه البيانات متاحة للتنزيل في ثلاث ملفات كتورنت. تحتوي على رمز مصدر للعديد من البرامج المملوكة لشركة سامسونج. والكود المصدري لكل تطبيق Samsung Trusted Applet، والذي يؤثر أيضًا على تشفير الأجهزة.

علاوة على ذلك، تحتوي الملفات على خوارزميات لآليات فتح المقاييس الحيوية لأجهزة سامسونج. تم أيضًا إصدار كود مصدر أداة تحميل التشغيل لجميع أجهزة سامسونج الحديثة، وكذلك كود المصدر السري من كوالكوم. بالإضافة إلى البيانات هناك أيضًا رمز المصدر الكامل الذي يصف نظام مصادقة سامسونج.

يوبي سوفت “Ubisoft”

تدعي لابسوس أيضًا أنها اخترقت مطوّر ألعاب الفيديو يوبي سوفت. وأشارت الشركة إنها تعرضت “لحادث أمن إلكتروني” الأسبوع الماضي شهد تعطّلاً مؤقتًا لبعض ألعابها وأنظمتها وخدماتها. ولم تحدد الشركة الشخص المسؤول عن الحادث، ولكن بعد يوم واحد فقط.

ولكن بعد أن نشر موقع The Verge مقال حول الحادث، نشرت قناة على تطبيق التيليجرام يُزعم أنها تدار من قبل المجموعة، رابطًا للمقال ورمز تعبيري لوجه مبتسم، مما يشير إلى أنها تعلن مسؤوليتها عما حدث. وقالت أيضًا إنها لم تستهدف بيانات المستخدم في الاختراق.

وأوضحت يوبي سوفت أنها تعمل الآن مع فرق تكنولوجيا المعلومات لديها، ومع خبراء خارجيين بارزين للتحقيق في المشكلة. كما وأكدت أن جميع ألعابها وخدماتها تعمل بشكل طبيعي، وأنه حتى هذه اللحظة لا يوجد دليل على أن أي معلومات شخصية للاعبين قد تم الوصول إليها أو كشفها.

فودافون

أعلنت شركة فودافون “Vodafone” أنها بدأت تحقيقًا بعد أن زعمت مجموعة لابسوس أنها سرقت وما يقارب من 200 غيغابايت من شفرة المصدر الخاصة بها.

وصرّح متحدث باسم فودافون لقناة CNBC. إن الشركة تحقّق في الموضوع بالتعاون مع سلطات إنفاذ القانون، وأضاف أنهم في هذه المرحلة لا يمكنهم التعليق على مصداقية الادعاء. وبالرغم من ذلك، أن أنواع البيانات المشار إليها في المطالبة تحتوي بصورة عامة على كود مصدر خاص ولا تحتوي على بيانات العملاء.

تجدر الإشارة إلى أنه في فبراير/ شباط الماضي، عانت شركة فودافون في البرتغال من هجوم إلكتروني كبير تسبب في انقطاع الخدمة في البلاد، حسبما أفادت وسائل الإعلام أن الانقطاع تسبب توقفاً مؤقتاً لخدمات الاتصالات لشبكة الجيل الرابع والخامس.

رأي المحرر:

عندما يتعلق الأمر بتنفيذ الهجمات، يبدو أن لابسوس مثل العديد من العمليات الإجرامية الإلكترونية الأخرى، حيث يستغل إمكانات بروتوكول سطح المكتب البعيد (RDP) وينشر رسائل البريد الإلكتروني للتصيد الاحتيالي للوصول إلى الحسابات والشبكات. وتشتري المجموعة أيضًا بيانات اعتماد مسروقة من المنتديات السرية وتبحث عن كلمات المرور لبيانات الاعتماد التي يمكن استغلالها للوصول إلى الحسابات.

على عكس عصابات برامج الفدية التي تستخدم مواقع الويب المظلمة لنشر البيانات المسروقة، تستخدم لابسوس قناة تيليجرام لمشاركة المعلومات حول هجماتها، والمعلومات المسروقة من ضحاياه، مباشرةً مع أي شخص مشترك في القناة.

من غير المحتمل أن تتوقف الهجمات فجأة، وبالعكس فقد تتشجع المجموعة بعد حصولها على مبالغ نقدية بعد مطالبة العديد من الضحايا البارزين، ولكن هناك خطوات يمكن للشركات اتخاذها للمساعدة في تجنّب الوقوع ضحية للهجمات الإلكترونية من قبل لابسوس أو مجموعات قرصنة إجرامية أخرى.

يتضمن ذلك تأمين تقنيات العمل عن بُعد مثل VPN و RDP باستخدام كلمات مرور قوية يصعب تخمينها وتعزيز هذا الدفاع بمصادقة متعددة العوامل. بالإضافة إلى أن أي مستخدمين يعتقدون أن حساباتهم تعرضت للاختراق يجب تغيير كلمة المرور الخاصة بهم على الفور. يجب على الشركات أيضًا تدريب الموظفين على تحديد رسائل البريد الإلكتروني المخادعة والإبلاغ عنها.