الأمن السيبراني للولايات المتحدة قال المسؤولون أمس إن “عددًا صغيرًا” من الوكالات الحكومية قد عانى من خروقات للبيانات كجزء من حملة قرصنة واسعة النطاق والتي من المحتمل أن تنفذها عصابة برامج الفدية Clop ومقرها روسيا. كانت مجموعة مجرمي الإنترنت مستغلة في استغلال ثغرة أمنية في خدمة نقل الملفات MOVEit للحصول على بيانات قيمة من الضحايا بما في ذلك شركة شل والخطوط الجوية البريطانية وبي بي سي. لكن ضرب أهداف الحكومة الأمريكية لن يؤدي إلا إلى زيادة رقابة أجهزة إنفاذ القانون العالمية على مجرمي الإنترنت في فورة القرصنة البارزة بالفعل.
قامت شركة Progress Software ، التي تمتلك MOVEit ، بتصحيح الثغرة الأمنية في نهاية شهر مايو ، وأصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية تقريرًا استشاريًا مع مكتب التحقيقات الفيدرالي في 7 يونيو يحذر من استغلال Clop والحاجة الملحة لجميع المنظمات ، سواء العامة. والخاصة ، لتصحيح الخلل. صرح مسؤول كبير في CISA للصحفيين أمس أنه تم الآن تحديث جميع حالات MOVEit التابعة للحكومة الأمريكية.
ورفض مسؤولو CISA الكشف عن الوكالات الأمريكية التي وقعت ضحية للهجوم ، لكنهم أكدوا أن وزارة الطاقة أخطرت CISA بأنها من بينهم. ذكرت شبكة CNN ، التي أبلغت لأول مرة عن الهجمات على الوكالات الحكومية الأمريكية ، اليوم أن فورة القرصنة أثرت على بيانات رخصة القيادة وبيانات الهوية الخاصة بملايين السكان في ولايتي لويزيانا وأوريغون. كما أعلن كلوب في السابق مسؤوليته عن الهجمات على حكومتي ولايتي مينيسوتا وإلينوي.
وصرح مدير CISA جين إيسترلي للصحفيين يوم الخميس: “نحن نقدم حاليًا الدعم للعديد من الوكالات الفيدرالية التي شهدت تدخلات أثرت على تطبيقات MOVEit الخاصة بهم”. “استنادًا إلى المناقشات التي أجريناها مع شركاء الصناعة في التعاونية المشتركة للدفاع السيبراني ، لم يتم الاستفادة من هذه التدخلات للحصول على وصول أوسع ، لاكتساب المثابرة في الأنظمة المستهدفة ، أو لسرقة معلومات محددة عالية القيمة – باختصار ، كما نفهم هذا الهجوم انتهازي إلى حد كبير “.
وأضاف إيسترلي أن CISA لم تشهد Clop يهدد بنشر أي بيانات مسروقة من الحكومة الأمريكية. وقال المسؤول الكبير في CISA ، الذي تحدث إلى المراسلين بشرط عدم ذكر أسمائهم ، إن CISA وشركائها لا يرون حاليًا دليلًا على أن Clop ينسق مع الحكومة الروسية. من جانبها ، أكدت Clop أنها تركز على استهداف الشركات وستحذف أي بيانات من الحكومات أو جهات إنفاذ القانون.
ظهر Clop في عام 2018 كممثل قياسي لبرامج الفدية يقوم بتشفير أنظمة الضحية ثم يطالب بالدفع لتوفير مفتاح فك التشفير. تُعرف عصابة برامج الفدية أيضًا بالعثور على الثغرات الأمنية في البرامج والمعدات المستخدمة على نطاق واسع واستغلالها لسرقة المعلومات من مجموعة متنوعة من الشركات والمؤسسات ثم إطلاق حملات ابتزاز البيانات ضدهم.
يقول آلان ليسكا ، المحلل بشركة ريكورديد فيوتشر الأمنية المتخصصة في برامج الفدية ، إن Clop كان “ناجحًا إلى حد ما” في نهج برامج الفدية. في نهاية المطاف ، ميزت نفسها ، على الرغم من ذلك ، من خلال الابتعاد عن برامج الفدية القائمة على التشفير وتوجيهها نحو نموذجها الحالي لتطوير عمليات استغلال الثغرات الأمنية في برامج المؤسسة ثم استخدامها لتنفيذ عمليات سرقة جماعية للبيانات.
وعلى الرغم من أنه قد لا يكون هناك تنسيق مباشر بين الكرملين وكلوب ، فقد أظهرت الأبحاث مرارًا وتكرارًا العلاقات بين الحكومة الروسية ومجموعات برامج الفدية. وبموجب هذا الترتيب ، يمكن لهذه العصابات أن تعمل انطلاقاً من روسيا مع الإفلات من العقاب طالما أنها لا تستهدف الضحايا داخل البلاد وتذعن لنفوذ الكرملين. إذن ، هل يقوم Clop بالفعل بحذف البيانات التي يجمعها ، حتى بالمصادفة ، من ضحايا الحكومة؟
لا نعتقد أن الوكالات الحكومية الأمريكية كانت مستهدفة على وجه التحديد. يقول ليسكا عن حملة موفيت: “لكن من المحتمل جدًا أن أي معلومات جمعها Clop من حكومة الولايات المتحدة أو أهداف أخرى مثيرة للاهتمام قد تمت مشاركتها مع الكرملين.”