قالت رويترز أن متسللون روس مشتبه بهم وصلوا إلى أنظمة مزود خدمة إنترنت أمريكي وحكومة مقاطعة في ولاية أريزونا كجزء من حملة تجسس إلكتروني واسعة النطاق تم الكشف عنها هذا الأسبوع ، وفقًا لتحليل لسجلات الويب المتاحة للجمهور.
يعد الاختراق ، الذي اختطف برامج إدارة الشبكة في كل مكان من إنتاج شركة SolarWinds Corp لتسوية مجموعة من الوكالات الحكومية الأمريكية وأبلغت عنه رويترز لأول مرة ، أحد أكبر الاختراقات التي تم اكتشافها على الإطلاق وأرسلت فرق أمنية حول العالم جاهدة لاحتواء الضرر.
تُظهر عمليات التطفل على الشبكات في كوكس كوميونيكيشنز والحكومة المحلية في مقاطعة بيما بولاية أريزونا أنه إلى جانب الضحايا بما في ذلك وزارة الدفاع الأمريكية ووزارة الخارجية والأمن الداخلي ، تجسس المتسللون أيضًا على منظمات أقل شهرة.
وقال متحدث باسم كوكس كوميونيكيشنز إن الشركة تعمل “على مدار الساعة” بمساعدة خبراء أمنيين خارجيين للتحقيق في أي عواقب لتسوية سولارويندز. قال: “أمن الخدمات التي نقدمها هو أولوية قصوى”.
وقال دان هانت ، كبير مسؤولي المعلومات في مقاطعة بيما ، في تعليقات عبر البريد الإلكتروني تم إرسالها إلى رويترز ، إن فريقه اتبع نصيحة الحكومة الأمريكية بإيقاف برنامج SolarWinds فور اكتشاف الاختراق. وقال إن المحققين لم يعثروا على أي دليل على حدوث خرق آخر.
تحديد ضحايا القرصنة
حددت رويترز الضحايا من خلال تشغيل نص ترميز صدر يوم الجمعة من قبل باحثين في شركة الأمن السيبراني Kaspersky ومقرها موسكو لفك تشفير سجلات الويب عبر الإنترنت التي تركها المهاجمون.
نوع سجل الويب ، المعروف باسم CNAME ، يتضمن معرفًا فريدًا مشفرًا لكل ضحية ويظهر أيًا من آلاف “الأبواب الخلفية” المتاحة لهم اختار المتسللون فتحها ، كما قال الباحث في Kaspersky Igor Kuznetsov.
قال: “معظم الوقت تنام هذه الأبواب الخلفية”. “ولكن هذا هو الوقت الذي يبدأ فيه الاختراق الحقيقي.”
تم تضمين سجلات CNAME المتعلقة بـ Cox Communications و Pima County في قائمة المعلومات الفنية المنشورة هنا من قبل شركة الأمن السيبراني الأمريكية FireEye Inc ، والتي كانت أول ضحية تكتشف وتكشف عن اختراقها.
قال جون بامبنيك ، الباحث الأمني ورئيس شركة Bambenek Consulting ، إنه استخدم أيضًا أداة Kaspersky لفك تشفير سجلات CNAME التي نشرتها FireEye ووجد أنها مرتبطة بشركة Cox Communications و Pima County.
تظهر السجلات أنه تم تفعيل الأبواب الخلفية في كوكس كوميونيكيشنز ومقاطعة بيما في يونيو ويوليو من هذا العام ، وهي ذروة نشاط القرصنة التي حددها المحققون حتى الآن.
ليس من الواضح ما هي المعلومات ، إن وجدت ، التي تم اختراقها.
قالت شركة SolarWinds ، التي كشفت عن دورها غير المقصود في مركز الاختراق العالمي يوم الاثنين ، إن ما يصل إلى 18000 مستخدم لبرنامج Orion الخاص بها قاموا بتنزيل تحديث مخترق يحتوي على تعليمات برمجية ضارة زرعها المهاجمون.
تأكيد حدوث اختراق في وزارة الطاقة الأمريكية
مع استمرار التداعيات في واشنطن يوم الخميس ، مع تأكيد حدوث خرق في وزارة الطاقة الأمريكية ، حذر المسؤولون الأمريكيون من أن المتسللين استخدموا أساليب هجوم أخرى وحثوا المنظمات على عدم افتراض أنها محمية إذا لم يستخدموا الإصدارات الأخيرة من برنامج SolarWinds.
وقالت مايكروسوفت ، التي كانت واحدة من آلاف الشركات التي تتلقى التحديث الضار ، إنها أبلغت حاليًا أكثر من 40 عميلًا تم اختراق شبكاتهم بشكل أكبر من قبل المتسللين.
وقالت إن حوالي 30 من هؤلاء العملاء كانوا في الولايات المتحدة ، وتم العثور على الضحايا الباقين في كندا والمكسيك وبلجيكا وإسبانيا وبريطانيا وإسرائيل والإمارات العربية المتحدة. عملت معظم شركات تكنولوجيا المعلومات ، وكذلك بعض مراكز الفكر والمنظمات الحكومية.
قال رئيس شركة مايكروسوفت براد سميث في منشور على مدونة هنا: “من المؤكد أن عدد وموقع الضحايا سيستمر في الازدياد”.
تابع:”خلق تثبيت هذا البرنامج الضار فرصة للمهاجمين للمتابعة والاختيار من بين هؤلاء العملاء المؤسسات التي يريدون شن مزيد من الهجمات عليها ، ويبدو أنهم فعلوا ذلك بطريقة أضيق وأكثر تركيزًا.”
المصدر : رويترز