تعرضت العديد من الوكالات الحكومية الفيدرالية الأمريكية لهجوم إلكتروني عالمي من قبل هاكرز استغلوا ثغرة أمنية في البرامج المستخدمة على نطاق واسع ، وفقًا لوكالة أمريكية رفيعة المستوى للأمن السيبراني.
قال إريك غولدستين ، المدير التنفيذي المساعد للأمن السيبراني في الوكالة ، في بيان يوم الخميس لشبكة CNN ، إن وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية “تقدم الدعم للعديد من الوكالات الفيدرالية التي تعرضت للتدخلات التي أثرت على تطبيقات MOVEit الخاصة بها”. . “نحن نعمل بشكل عاجل لفهم الآثار وضمان العلاج في الوقت المناسب.”
بصرف النظر عن الوكالات الحكومية الأمريكية ، يمكن أن تتأثر “عدة مئات” من الشركات والمنظمات في الولايات المتحدة بفورة القرصنة، حسبما صرح مسؤول كبير في CISA للصحفيين في وقت لاحق يوم الخميس، نقلاً عن تقديرات خبراء من القطاع الخاص.
من المعروف أن Clop، عصابة برامج الفدية المزعوم مسؤوليتها، تطالب بفدية بملايين الدولارات. وصرح المسؤول الكبير للصحافيين في إفادة صحفية بأنه لم يتم طلب فدية من الوكالات الفيدرالية.
يأتي رد CISA عندما قالت شركة Progress Software ، الشركة الأمريكية التي تصنع البرمجيات التي يستغلها المتسللون ، إنها اكتشفت ثغرة ثانية في الكود كانت الشركة تعمل على إصلاحها.
وزارة الطاقة هي من بين العديد من الوكالات الفيدرالية التي تم اختراقها في حملة القرصنة العالمية المستمرة ، حسبما أكد متحدث باسم الوزارة لشبكة CNN. تم تصوير مقر هيئة الإذاعة البريطانية (بي بي سي) في لندن في 11 مارس 2023.
تدعي عصابة إلكترونية تتحدث الروسية الفضل في اختراق بيانات موظفي بي بي سي والخطوط الجوية البريطانية
وقال مدير CISA جين إيسترلي للصحفيين ، إن الاختراق لم يكن له أي “تأثيرات كبيرة” على الوكالات المدنية الفيدرالية ، مضيفًا أن المتسللين كانوا “انتهازيين إلى حد كبير” في استخدام عيب البرامج لاقتحام الشبكات.
تضيف الأخبار إلى العدد المتزايد لضحايا حملة القرصنة الممتدة التي بدأت قبل أسبوعين وضربت الجامعات الأمريكية الكبرى وحكومات الولايات.
وصاعدت فورة القرصنة من الضغط على المسؤولين الفيدراليين الذين تعهدوا بالتغلب على بلاء هجمات برامج الفدية التي أعاقت المدارس والمستشفيات والحكومات المحلية في جميع أنحاء الولايات المتحدة.
منذ أواخر الشهر الماضي ، كان المتسللون يستغلون ثغرة في البرامج المستخدمة على نطاق واسع والمعروفة باسم MOVEit والتي تستخدمها الشركات والوكالات لنقل البيانات.
وقالت شركة Progress Software ، وهي الشركة الأمريكية التي تصنع البرنامج ، لشبكة CNN يوم الخميس إنه تم اكتشاف ثغرة أمنية جديدة في البرنامج “يمكن استغلالها من قبل جهة فاعلة سيئة”.
وقالت الشركة في بيان: “لقد تواصلنا مع العملاء بشأن الخطوات التي يتعين عليهم اتخاذها لتأمين بيئاتهم بشكل أكبر ، كما أننا اتخذنا MOVEit Cloud دون اتصال بالإنترنت لأننا نعمل بشكل عاجل على تصحيح المشكلة”.
تم الكشف عن اختراق MOVEit لأول مرة في 31 مايو عندما قالت شركة Progress Software الأمريكية إن المتسللين وجدوا طريقة لاقتحام أداة MOVEit Transfer الخاصة بها.
MOVEit هو برنامج مصمم لنقل الملفات الحساسة بأمان ويحظى بشعبية في جميع أنحاء العالم لدى معظم عملائه في الولايات المتحدة.
كانت الوكالات الـأمريكية يوم الخميس أسرع بكثير في إنكار تأثرها بالقرصنة بدلاً من تأكيدها. وقالت إدارة أمن النقل ووزارة الخارجية إنهما ليسا ضحايا الاختراق.
قال المتحدث باسم الوزارة إن وزارة الطاقة “اتخذت خطوات فورية” للتخفيف من تأثير الاختراق بعد أن علمت أن السجلات في اثنين من أقسامها قد تم اختراقها.
وقال المتحدث في بيان: “أخطرت الوزارة الكونجرس وتعمل مع سلطات إنفاذ القانون وسلطة CISA والكيانات المتضررة للتحقيق في الحادث والتخفيف من آثار الانتهاك”.
قال مصدر مطلع على التحقيق لشبكة CNN إن أحد ضحايا وزارة الطاقة هو متعاقد مع مختبر أوك ريدج الوطني ، والذي تم الإبلاغ عنه لأول مرة بواسطة شبكة الأخبار الفيدرالية.
قالت جامعة جونز هوبكنز في بالتيمور والنظام الصحي الشهير بالجامعة في بيان هذا الأسبوع إن “المعلومات الشخصية والمالية الحساسة” ، بما في ذلك سجلات الفواتير الصحية ، ربما تكون قد سُرقت في الاختراق.
في غضون ذلك ، أكد نظام الجامعات على مستوى الولاية في جورجيا – والذي يمتد على 40 ألف طالب في جامعة جورجيا إلى جانب أكثر من اثنتي عشرة كلية وجامعة حكومية أخرى – أنه يحقق في “نطاق وشدة” الاختراق.
أعلنت CLOP الأسبوع الماضي مسؤوليتها عن بعض عمليات الاختراق ، التي أثرت أيضًا على موظفي بي بي سي ، والخطوط الجوية البريطانية ، وشركة النفط العملاقة شل ، وحكومات الولايات في مينيسوتا وإلينوي ، من بين آخرين.
كان المتسللون الروس أول من استغل ثغرة MOVEit ، لكن الخبراء يقولون إن مجموعات أخرى قد يكون لديها الآن إمكانية الوصول إلى كود البرامج اللازمة لشن الهجمات.
منحت مجموعة برامج الفدية الضحايا حتى يوم الأربعاء للاتصال بهم بشأن دفع فدية ، وبعد ذلك بدأوا في إدراج المزيد من الضحايا المزعومين من الاختراق على موقع الابتزاز على شبكة الإنترنت المظلمة. حتى صباح الخميس ، لم يذكر الموقع المظلم أي وكالات فيدرالية أمريكية. وبدلاً من ذلك ، كتب المتسللون بأحرف كبيرة ، “إذا كنتم حكومة أو مدينة أو خدمة شرطة ، فلا داعي للقلق ، فقد محينا جميع بياناتك. لا تحتاج إلى الاتصال بنا. ليست لدينا مصلحة في فضح مثل هذه المعلومات “.
تعد مجموعة CLOP ransomware واحدة من العديد من العصابات في أوروبا الشرقية وروسيا التي تركز بشكل حصري تقريبًا على انتزاع ضحاياها من أجل الحصول على أكبر قدر ممكن من المال.
قال Rafe Pilling ، مدير أبحاث التهديدات في Secureworks المملوكة لشركة Dell ، لشبكة CNN: “إن النشاط الذي نراه في الوقت الحالي ، بإضافة أسماء الشركات إلى موقع التسريب الخاص بها ، هو تكتيك لإخافة الضحايا ، سواء كانوا مدرجين أو غير مدرجين في القائمة ، للدفع”.