كارثة إلكترونية: مجموعة قرصنة تستغل ثغرة في حزمة "إن إكس إن بي إم" للسيطرة على حسابات أمازون ويب سيرفيس خلال ٧٢ ساعة
كشفت معلومات حصرية عن هجوم إلكتروني مدمر نفذته مجموعة تهديدات معروفة باسم "يو إن سي ٦٤٢٦". حيث استغلت المجموعة هجوماً سلسلة التوريد عبر حزمة برمجية شائعة تسمى "إن إكس إن بي إم" لتسيطر بالكامل على بيئة سحابة أمازون ويب سيرفيس الخاصة بالضحية في غضون ثلاثة أيام فقط.
بدأ الهجوم العام الماضي عندما قام القراصنة بتسميم تحديث للحزمة البرمجية "إن إكس". حيث قام البرنامج الضار، المُسمى "كوآيت فولت"، بالانتظار بهدوء حتى قام موظف في مؤسسة كبرى بتشغيل التحديث. عندها نفذ البرنامج الضار خطوته وسرق رمز وصول حساساً خاصاً بمنصة "جيت هاب".
استخدم القراصنة الرمز المسروق كمفتاح رئيسي للانتشار. خلال ٧٢ ساعة مروعة، تمكنوا من التحول من اختراق أولي إلى الحصول على صلاحيات المسؤول الكاملة على الحساب السحابي للضحية. لم يقتصر الأمر على سرقة البيانات، بل قاموا بتنفيذ ما يسميه الخبراء "تدمير البيانات" في الأنظمة التشغيلية الحية.
صرح مسؤول استخباراتي رفيع المستوى يعمل مع فريق التهديدات في شركة جوجل: "هذا هو سيناريو الكارثة. لقد استغلوا ثغرة يوم صفري في سير عمل موثوق، ثم حوّلوا أدوات شائعة موجودة على النظام إلى أسلحة. كانت صلاحيات الدور السحابي المخترق واسعة بشكل مفرط لدرجة أنها سلمتهم مفاتيح التحكم الكاملة". وحذر المصدر من أن سلسلة الاستغلال هذه يمكن تكرارها ضد آلاف الشركات.
يجب أن يهتم كل من يستخدم حزم "إن بي إم" أو يعتمد على "أمازون ويب سيرفيس"، حيث أصبحت عملياته معرضة لهذا النمط من الهجوم. يتجاوز الأمر برامج الفدية إلى السيطرة الشاملة. يمكن سرقة أو محو بيانات العملاء والسجلات المالية ونماذج الأمان الخاصة في وقت قصير جداً.
التوقعات قاتمة وحاسمة: سنشهد موجة هائلة من هجمات التقليد تستهدف منصات التشفير وشركات التكنولوجيا المالية خلال الربع الحالي. بيئاتها السحابية المعقدة ناضجة لهذا الاستغلال. مرحلة الاستطلاع الخفية باستخدام أدوات مثل "نورد ستريم" تعني أن المهاجمين قد يكونون داخل الأنظمة الآن دون أن يتم اكتشافهم حتى فوات الأوان.
