وسيط وصول روسي يقود حملة اختراق ضخمة
رصدت شركة الاستخبارات الأمنية SOCRadar حملةً إجرامية منظمة باتت تُعرف بـ«FortiBleed»، ينفّذها وسيط وصول أولي (IAB) يُرجَّح أنه ناطق بالروسية، ويستهدف ما يزيد على 430,000 جهاز من أجهزة جدار الحماية FortiGate المكشوفة على الإنترنت حول العالم. وتكشف تقارير الشركة أن الحملة لم تقتصر على منتجات Fortinet كما اعتُقد في البداية، بل هي عملية واسعة لسرقة بيانات الاعتماد تطال موردين متعددين.
بدأت الحملة في فبراير الماضي على الأقل، وإن كُشف عنها رسمياً الأسبوع الماضي فحسب. ويصف المحققون منهجية المهاجمين بأنها سلسلة متكاملة: اختراق الأجهزة المكشوفة، والتقاط حركة المصادقة والبيانات العابرة عبرها، وكسر ما يُجمع منها، ثم بيع صلاحيات الوصول المكتسبة في الأسواق السرية.
أداة FortigateSniffer وآليات الاختراق
يتمحور عمل المهاجمين حول أداة مكتوبة بلغة Go تدعى FortigateSniffer، وهي أبرز أدوات العملية وأشدها خطورة. تستغل الأداة أمر تشخيص مشروعاً مدمجاً في نظام تشغيل FortiOS لاعتراض حركة المصادقة سلبياً عبر 24 بروتوكولاً مختلفاً، دون إثارة تنبيهات واضحة. ويُرجَّح أن بناءها جرى بمساعدة وكيل اختبار الاختراق الذاتي المدعوم بالذكاء الاصطناعي المعروف بـ«CyberStrike».
لكشف الأجهزة الضعيفة، يلجأ المهاجمون إلى أدوات المسح الشهيرة Masscan وShodan، ثم يشنّون هجمات القوة الغاشمة عبر بروتوكول SSH للنفاذ إلى الأجهزة. بعدها يزرعون أدوات التنصت الشبكي لاصطياد بيانات الاعتماد بنصها الصريح وتجزئات كلمات المرور، ليُجروا عليها عمليات الكسر والتحقق، ثم يتحركوا جانبياً داخل شبكات Active Directory والخدمات المرتبطة. وفي المرحلة الأخيرة، يُسرَّب البيانات الحساسة من مشاركات الشبكة، فيما تُوظَّف ملفات تعريف الارتباط (Session Cookies) المسروقة لضمان وصول دائم إلى البيئات المخترقة.
كشف التحقيق حتى الآن عن مئات الخوادم التي تشغّل أكثر من 650 خط أنابيب لسرقة بيانات الاعتماد، فيما تجاوز مجموع البيانات المُخترقة 110 ملايين سجل. ومن بين 80,000 هدف مُحدَّد الهوية، لا تزال أكثر من 19,000 جهاز تخضع للتنصت الفعّال.
نطاق الحملة وأبعادها الجيوسياسية
لا تقتصر الحملة على أجهزة Fortinet؛ إذ تمتد لتشمل بوابات Sophos SSL-VPN وبوابات RDWeb، فضلاً عن بروتوكولات Citrix SSL-VPN وRDP وMSSQL، إلى جانب بيانات RADIUS وNTLM وKerberos. ويعتمد المهاجمون على مصدرَي بيانات: الأول يدمج تسريبات سابقة مع مجموعات بيانات مُشتراة موجّهة لموردين متعددين، والثاني يضمّ 16 قاموساً مُصمَّماً خصيصاً لاستهداف حسابات مسؤولي FortiGate.
تصاعدت خطورة الحملة في 15 يونيو الجاري، حين تمكّن المهاجمون من كسر تجزئات Kerberos دون اتصال بالشبكة، وسرقة بيانات نسخ احتياطية من نظام ملفات DFS لدى مقاول دفاعي يعمل تحت مظلة حلف شمال الأطلسي (NATO). ويفتح هذا الاختراق الباب أمام تساؤلات جدية حول احتمال تعاون الجهة المنفّذة — الموصوفة بأنها وسيط وصول روسي — مع مجموعات مدعومة من الدولة الروسية، وإن كان بيع صلاحيات الوصول لعصابات برامج الفدية (Ransomware) يبقى احتمالاً قائماً.
تكشف البيانات أن الحملة تُركّز بشكل لافت على المؤسسات الصغيرة والمتوسطة (SMBs) التي يقل عدد موظفيها عن 200 شخص، وتطال قطاعات ومناطق جغرافية متعددة، مع تركيز ملحوظ على الولايات المتحدة والهند. وتُشكّل شركات الخدمات المُدارة (MSPs) وشركات تقنية المعلومات التي تُدير أجهزة Fortinet نيابةً عن عملائها ناقلاً خطيراً، إذ يتيح اختراق هذه الشركات التسلل إلى سلاسل إمداد رقمية بأسرها.
توصيات
- **مراجعة إعدادات SSH فوراً**: تعطيل الوصول عبر SSH للواجهات الخارجية على أجهزة FortiGate ما لم يكن ضرورياً، وتطبيق سياسات كلمات مرور صارمة لمكافحة هجمات القوة الغاشمة.
- **رصد حركة المصادقة**: مراقبة أوامر التشخيص على أجهزة FortiOS والتنبيه لأي استخدام غير معتاد لأوامر تصوير حزم البيانات.
- **تحديث البرامج الثابتة**: التحقق من تطبيق آخر تحديثات FortiOS وإغلاق الثغرات المعروفة.
- **حماية حسابات Active Directory**: تدوير كلمات مرور الحسابات المميزة وتفعيل المصادقة متعددة العوامل (MFA) على جميع الخدمات الحرجة.
- **تقييم صلاحيات MSPs**: مراجعة صلاحيات الوصول الممنوحة لمزودي الخدمات المُدارة والتحقق من ممارساتهم الأمنية.
