ربط باحثو الأمن الموجة الجديدة من الاختراقات الجماعية التي تستهدف أداة شائعة لنقل الملفات وهي MOVEit بعصابة Clop ransomware سيئة السمعة ، حيث بدأ الضحايا الأوائل للهجمات في الإعلان عن ذلك.
تم الكشف الأسبوع الماضي أن المخترقين يستغلون ثغرة أمنية تم اكتشافها حديثا في أداة MOVEit Transfer ، وهي أداة لنقل الملفات تستخدمها الشركات على نطاق واسع لمشاركة الملفات الكبيرة عبر الإنترنت. تسمح الثغرة الأمنية للمخترقين بالحصول على وصول غير مصرح به إلى قاعدة بيانات خادم MOVEit . أصدرت شركة Progress Software ، التي تطور برنامج MOVEit ، بالفعل بعض التحذيرات وطرق للحماية.
ظهور الضحايا الأوائل للهجمات
أكدت شركة Zellis ، وهي شركة تصنيع برمجيات الموارد البشرية ومزود كشوف المرتبات ومقرها المملكة المتحدة ، في بيان أن نظام MOVEit الخاص بها قد تعرض للاختراق ، حيث أثر الحادث على "عدد صغير" من عملائها من الشركات.
أحد هؤلاء العملاء هو شركة الخطوط الجوية البريطانية العملاقة في المملكة المتحدة ، والتي أكدت أن الانتهاك شمل بيانات كشوف المرتبات لجميع موظفيها المقيمين في المملكة المتحدة.
حيث قال المتحدث باسم الخطوط الجوية البريطانية جيسون تورنيدج بيتس "لقد تم إبلاغنا بأننا إحدى الشركات التي تأثرت بحادث الأمن السيبراني ل Zellis والذي وقع عن طريق أحد مورديها الخارجيين المسمى MOVEit". "توفر Zellis خدمات دعم كشوف المرتبات لمئات الشركات في المملكة المتحدة ، ونحن واحدة منها. لقد أبلغنا الزملاء الذين تم اختراق معلوماتهم الشخصية لتقديم الدعم ".
لم تؤكد الخطوط الجوية البريطانية عدد الموظفين المتأثرين ، ولكن لديها حاليًا حوالي 35000 موظف حول العالم.
وأكدت هيئة الإذاعة البريطانية (BBC) أنها تأثرت بالحادثة التي طالت Zellis . ,قال متحدث باسم بي بي سي ، رفض الكشف عن اسمه : "نحن على علم بحدوث خرق للبيانات في موردنا الخارجي ، Zellis ، ونعمل عن كثب معهم حيث يحققون على وجه السرعة في تحديد مدى الاختراق. نحن نتعامل مع أمان البيانات بجدية بالغة ونتبع إجراءات إعداد التقارير المعمول بها ".
وقالت حكومة Nova Scotia نوفا سكوتيا (مقاطعة في كندا) ، التي تستخدم MOVEit لمشاركة الملفات عبر الإدارات ، في بيان إن المعلومات الشخصية لبعض المواطنين ربما تعرضت للاختراق. قالت حكومة نوفا سكوتيا إنها أوقفت نظامها المتأثر بالإختراق ، وتعمل على تحديد "ما هي المعلومات التي سُرقت بالضبط ، وعدد الأشخاص الذين تأثروا".
لم يكن من الواضح في البداية من يقف وراء هذه الموجة الجديدة من الاختراقات ، لكن باحثي الأمن في مايكروسوفت Microsoft ينسبون الهجمات الإلكترونية إلى مجموعة باسم "Lace Tempest". هذه العصابة هي فرع معروف لمجموعة Clop ransomware المرتبطة بروسيا ، والتي كانت مرتبطة سابقا بهجمات جماعية تستغل الثغرات الموجودة في أداة نقل الملفات GoAnywhere من Fortra وتطبيق نقل الملفات من Accellion.
وأكدت مايكروسوفت أنّ استغلال ثغرة MOVEit غالبا ما يتبعه سرقة البيانات.
Microsoft is attributing attacks exploiting the CVE-2023-34362 MOVEit Transfer 0-day vulnerability to Lace Tempest, known for ransomware operations & running the Clop extortion site. The threat actor has used similar vulnerabilities in the past to steal data & extort victims. pic.twitter.com/q73WtGru7j
— Microsoft Threat Intelligence (@MsftSecIntel) June 5, 2023
وأكد تشارلز كارماكال Charles Carmakal ، كبير مسؤولي التكنولوجيا في Mandiant ،أن الشركة "شاهدت دليلا على سرقة البيانات لعدد كبير من الضحايا ". ومن المحتمل أن يظهر المزيد من ضحايا اختراق MOVEit خلال الأيام القليلة المقبلة.
وأظهر Shodan ، وهو محرك بحث للأجهزة وقواعد البيانات المكشوفة للجمهور ، أنه يمكن اكتشاف أكثر من 2500 خادم MOVEit Transfer على الإنترنت.