الأخبار

مع تهديدات مثل Lapsus$، "اخرج من النافذة" كتيبات قواعد الأمان

عالم الأمن السيبراني world of cybersecurity مشهور بالتغير السريع. لكن الخبراء قالوا إن التكتيكات مثل تلك التي عرضتها مجموعة المتسللين Lapsus$ في سلسلة من الانتهاكات خلال الشهر الماضي تشير إلى أن الفرق الأمنية قد تشعر بقدر أقل من اليقين بشأنها.

كمثال واحد فقط: بعد سرقة البيانات والتهديد بتسريبها من Nvidia في فبراير، طلب Lapsus$ في وقت ما من صانع شرائح الرسومات "مفتوح المصدر تمامًا" برامج تشغيل GPU الخاصة به لنظام التشغيل Windows و macOS و Linux. وكما قال Lapsus$ على Telegram، فإن Nvidia بحاجة إلى القيام بذلك "من الآن فصاعدًا وإلى الأبد".

قال Brett Callow محلل التهديدات في Emsisoft، إن "السلوك الغريب" للمجموعة يميل إلى "تعقيد استجابات الشركات".

وقال Callow إن الشركات "ستكون قد خططت لما يجب القيام به في حالة مواجهة طلب نقدي قدره مليون دولار". "ومع ذلك، من شبه المؤكد أن كتيبات اللعب الخاصة بهم لن تغطي سيناريو مجنون حيث يُطلب منهم جعل برامج تشغيلهم مفتوحة المصدر".

كان Lapsus$ مسؤولاً عن سلسلة من الانتهاكات المؤكدة خلال الشهر الماضي، بما في ذلك ضد Nvidia و Samsung و Microsoft ومزود دعم Okta من جهة خارجية.

أفادت بلومبرج Bloomberg يوم الأربعاء أن Lapsus$ يرأسه شاب يبلغ من العمر 16 عامًا يعيش مع والدته في إنجلترا. واليوم، ذكرت بي بي سي أن شرطة مدينة لندن ألقت القبض على سبعة مراهقين على صلة بمجموعة Lapsus$. ولم يعرف ما اذا كان زعيم الجماعة من بين المعتقلين.

ولكن في حين أن استمرار Lapsus$ نفسه قد يكون غير مؤكد، فإن أي جهات تهديد أخرى تسعى إلى محاكاة نهجها ستكون بمثابة نوع مختلف من التهديد الذي يجب تعديله.

قال Callow: "يمكن التنبؤ بعصابات برامج الفدية في المدارس القديمة، ويمكن للشركات التخطيط مسبقًا لاستجاباتها". "باستخدام Lapsus$ et al، تخرج كتيبات اللعبة من النافذة".
 
رشوة المطلعين Bribing insiders
في منشورها حول Lapsus$ في وقت سابق من هذا الأسبوع، أشارت Microsoft إلى عدد من التكتيكات غير التقليدية التي تستخدمها المجموعة، لا سيما عندما يتعلق الأمر بالوصول الأولي. قال باحثو مايكروسوفت، لسبب واحد، أن المجموعة مغرمة برشوة المطلعين.

وفقًا لباحثي Microsoft، للحصول على وصول مبدئي، لوحظ Lapsus$ "يدفع للموظفين أو الموردين أو شركاء الأعمال للمؤسسات المستهدفة للوصول إلى بيانات الاعتماد والمصادقة متعددة العوامل (MFA) Multifactor authentication".

على موقع KrebsOnSecurity الخاص به، شارك Brian Krebs أيضًا تفاصيل حول تكتيكات الرشوة التي يستخدمها Lapsus$. وفقًا لمصادر Krebs، تعمل المجموعة على تجنيد المطلعين عبر وسائل التواصل الاجتماعي منذ عدة أشهر. كشف Krebs أن الرسائل التي نشرتها المجموعة على Reddit عرضت على الموظفين في شركات الاتصالات الكبرى ما يصل إلى 20000 دولار في الأسبوع للقيام "بوظائف داخلية".

نظرًا لأن Lapsus$ كان يدفع للوصول إلى بيئات الشركات، فإن هذا يعني "أنهم لا يستخدمون الثغرات الأمنية، ولا ينشرون برامج ضارة لاختراق المنظمة وإحداث أضرار"، كما قال Shahar Vaknin، الذي يرأس فريق مطاردة التهديدات. في شركة الأمن السيبراني Hunters.

وقال Vaknin إن هذا يجعل العديد من أدوات الأمان التي تستخدمها الشركات "غير ذات صلة"، نظرًا لأنه "لا توجد شركات IOC [مؤشرات الاختراق] ولا برامج ضارة".

وقال: "نحن بحاجة إلى تقديم حجة أقوى لمفهوم عدم الثقة- لنفترض في الواقع المطلعين الضارين والمعرضين للخطر- وأن نكون قادرين على اكتشافهم".

ومع ذلك، من الصعب جدًا تحقيق ذلك من الناحية العملية، نظرًا لأن هذا النهج يميل إلى إنشاء الكثير من الإشارات الإيجابية الخاطئة، على حد قول Vaknin.
 
مخاطر الطرف الثالث Third-party risk
أشار Yoni Shohet، الشريك المؤسس والرئيس التنفيذي لشركة Valence Security الإلكترونية، إلى أن استخدام المجموعة لطرف ثالث كوسيلة للوصول إلى كبار البائعين، كما في حادثة Okta، ليس بالأمر الجديد.

"نظرًا لأن المؤسسات تمر بعملية التحول الرقمي وإضفاء الطابع الديمقراطي على تكنولوجيا المعلومات، فإنها تصبح معتمدة بشكل كبير على عمليات تكامل الجهات الخارجية. لا يسعنا إلا أن نفترض أن المهاجمين سيركزون بشكل متزايد على الوصول إلى سلسلة التوريد وبائعي الطرف الثالث".

قال الخبراء إن شركة Lapsus$ اقترضت للتو هذا النهج ووضعت أسلوبها الخاص غير العادي في الأشياء.

في حادثة Okta، لم تقدم Lapsus$ أي مطالب على الإطلاق- على الأقل ليس على قناتها Telegram - قبل نشر لقطات الشاشة كدليل على الاختراق هذا الأسبوع.

أقرب شيء إلى دليل على الدافع هو بيان المجموعة، في منشور Telegram حول Okta، أنه "بالنسبة للخدمة التي تدعم أنظمة المصادقة للعديد من أكبر الشركات (والتي تمت الموافقة عليها من قبل FEDRAMP)، أعتقد أن هذه الإجراءات الأمنية سيئة للغاية".

أعقب Lapsus$ منشورًا آخر يوم الثلاثاء، ينتقد Okta لعدد من إجراءاتها الأمنية.

لكن الدافع الظاهري والهدف اختلفا باختلاف الهجوم، كما أشارت مايكروسوفت. يعتقد الباحثون في Microsoft- الذين أكدوا أن Lapsus$ سرق بعضًا من كود المصدر الخاص به- أن Lapsus$ "مدفوعة بالسرقة والتدمير". قال الباحثون إن الجماعة قامت في بعض الحالات بابتزاز الضحايا لمنع الإفراج عن البيانات، لكن في حالات أخرى سربت البيانات دون تقديم أي مطالب.

في اتصالاتها حول اختراق Nvidia، طالب Lapsus$ أن تقوم Nvidia بإزالة ميزة GPU المضادة للتشفير، مما يشير إلى أن الدوافع المالية هي عامل إلى حد ما. لكن الصورة العامة تظل غامضة عندما يتعلق الأمر بـ Lapsus$.

مع مزيج من الاستهداف المالي واختراق الملكية الفكرية، قال Oliver Pinson-Roxburgh، الرئيس التنفيذي لشركة خدمات الأمن السيبراني Bulletproof، "لم يكن هناك اتجاه أو دافع واحد واضح للمجموعة".

وقال إنه في حين أن مستقبل Lapsus$ نفسه قد يكون موضع شك، فقد تمكنت المجموعة من أن تصبح "قوة لا يستهان بها" في فترة زمنية قصيرة من خلال وسائل غير تقليدية. سواء كانت Lapsus$ نفسها، أو أي شخص آخر يحاكي المجموعة، "يجب أن تكون الشركات مستعدة وتعلم تكتيكاتها وتقنياتها وإجراءاتها ومراقبة الهجوم".