الأمن السيبراني للولايات المتحدة قال المسؤولون أمس إن “عددًا صغيرًا” من الوكالات الحكومية عانى من خروقات للبيانات كجزء من حملة قرصنة واسعة النطاق والتي من المحتمل أن ينفذها نادي عصابات برامج الفدية الفدية ومقره روسيا. كانت مجموعة مجرمي الإنترنت مستغلة في استغلال ثغرة أمنية في خدمة نقل الملفات MOVEit للحصول على بيانات قيمة من الضحايا بما في ذلك شركة شل والخطوط الجوية البريطانية وبي بي سي. لكن ضرب أهداف الحكومة الأمريكية لن يؤدي إلا إلى زيادة رقابة أجهزة إنفاذ القانون العالمية على مجرمي الإنترنت في فورة القرصنة البارزة بالفعل.
قامت شركة Progress Software ، التي تمتلك MOVEit ، بتصحيح الثغرة الأمنية في نهاية مايو ، وأصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية تقريرًا استشاريًا مع مكتب التحقيقات الفيدرالي في 7 يونيو يحذر من استغلال Clops والحاجة الملحة لجميع المنظمات ، وكلاهما العام والخاص ، لتصحيح الخلل. صرح مراسل إخباري رسمي رفيع المستوى في CISA أمس أنه تم الآن تحديث جميع حالات MOVEit التابعة للحكومة الأمريكية.
ورفض مسؤولو CISA الكشف عن الوكالات الأمريكية التي وقعت ضحية للهجوم ، لكنهم أكدوا أن وزارة الطاقة أخطرت CISA بأنها من بينهم. ذكرت شبكة CNN ، التي أبلغت لأول مرة عن الهجمات على الوكالات الحكومية الأمريكية ، اليوم أن فورة القرصنة أثرت على بيانات رخصة القيادة وبيانات الهوية الخاصة بملايين السكان في ولايتي لويزيانا وأوريغون. كما أعلن كلوب في السابق مسؤوليته عن الهجمات على حكومتي ولايتي مينيسوتا وإلينوي.
وصرح مدير CISA جين إيسترلي للصحفيين يوم الخميس: “نحن نقدم حاليًا الدعم للعديد من الوكالات الفيدرالية التي شهدت تدخلات أثرت على تطبيقات MOVEit الخاصة بهم”. “استنادًا إلى المناقشات التي أجريناها مع شركاء الصناعة في التعاونية المشتركة للدفاع الإلكتروني ، لم يتم الاستفادة من هذه التدخلات للحصول على وصول أوسع ، لاكتساب المثابرة في الأنظمة المستهدفة ، أو لسرقة معلومات محددة عالية القيمة – باختصار ، نحن نفهم ذلك ، هذا الهجوم انتهازي إلى حد كبير “.
وأضاف إيسترلي أن CISA لم تشهد Clop يهدد بنشر أي بيانات مسروقة من الحكومة الأمريكية. وقال المسؤول الكبير في CISA ، الذي تحدث للصحفيين حول شرط عدم ذكر أسمائهم ، إن CISA وشركائها لا يرون حاليًا دليلًا على أن Clop ينسق مع الحكومة الروسية. من جانبها ، أكدت Clop أنها تركز على استهداف الشركات وستحذف أي بيانات من الحكومة أو جهات إنفاذ القانون.
ظهر Clop في عام 2018 كممثل قياسي لبرامج الفدية يقوم بتشفير أنظمة الضحية ثم يطالب بالدفع لتوفير مفتاح فك التشفير. تُعرف عصابة برامج الفدية أيضًا بالعثور على الثغرات الأمنية في البرامج والمعدات المستخدمة على نطاق واسع واستغلالها لسرقة المعلومات من مجموعة متنوعة من الشركات والمؤسسات ثم إطلاق حملات ابتزاز البيانات ضدهم.
يقول آلان ليسكا ، المحلل بشركة ريكورديد فيوتشر الأمنية المتخصصة في برامج الفدية ، إن Clop كان “ناجحًا إلى حد ما” في نهج برامج الفدية. في نهاية المطاف ، ميزت نفسها ، على الرغم من ذلك ، من خلال الابتعاد عن برامج الفدية القائمة على التشفير وتوجيهها نحو نموذجها الحالي لتطوير عمليات استغلال الثغرات الأمنية في برامج المؤسسة ثم استخدامها لتنفيذ عمليات سرقة البيانات الجماعية.
وعلى الرغم من أنه قد لا يكون هناك تنسيق مباشر بين الكرملين وكلوب ، فقد أظهرت الأبحاث مرارًا وجود روابط بين الحكومة الروسية ومجموعات برامج الفدية. وبموجب هذا الترتيب ، يمكن لهذه العصابات العمل انطلاقاً من روسيا مع الإفلات من العقاب طالما أنها لا تستهدف الضحايا داخل البلاد وتذعن لنفوذ الكرملين. إذن ، هل يقوم Club بالفعل بحذف البيانات التي يجمعها ، حتى بالمصادفة ، من ضحايا الحكومة؟
لا نعتقد أن الوكالات الحكومية الأمريكية كانت مستهدفة على وجه التحديد. يقول ليسكا عن حملة موفيت: “لكن من المحتمل جدًا أن أي معلومات جمعها Clop من حكومة الولايات المتحدة أو أهداف أخرى مثيرة للاهتمام قد تمت مشاركتها مع الكرملين.”
