تتزايد الهجمات السيبرانية على المؤسسات الكبرى، حيث تكشف الأبحاث عن دور غياب المصادقة متعددة العوامل في تسهيل هذه الاختراقات.
غياب المصادقة متعددة العوامل كخيط مشترك في سرقة بيانات السحابة
لقد نجح أحد المهاجمين في استخدام برامج سرقة المعلومات في العشرات من الهجمات ضد منظمات عالمية بارزة لسرقة بيانات الاعتماد ثم اختراق شبكاتها عبر منصات التعاون المستخدمة على نطاق واسع، ويرجع ذلك أساسًا إلى عدم تمكين الشركات المتأثرة للمصادقة متعددة العوامل (MFA)، حسبما يدعي الباحثون.
اكتشفت شركة الأمن السيبراني هودسون روك أن مهاجمًا واحدًا، يُعرف إما باسم “زستكس” أو “سنتاب”، كان يبيع بيانات مسروقة من حوالي 50 مؤسسة، وفقًا لتقرير نُشر يوم الثلاثاء على موقع الشركة الخاص ببرامج سرقة المعلومات.
قام باحثو هودسون روك بالتحقيق في الاختراقات المزعومة ووجدوا أن المهاجم اعتمد على توزيع برامج سرقة المعلومات مثل ريدلاين، ولما، أو فيدار على منظمات لديها عادات كلمات مرور ضعيفة لجمع بيانات الاعتماد. ثم استخدم زستكس بيانات الاعتماد للوصول إلى منصات مشاركة الملفات والتعاون مثل شيرفيل، وأون كلاود، ونكست كلاود باستخدام بيانات اعتماد صالحة بدلاً من استغلال ثغرات البرمجيات.
“بينما تم جمع بعض بيانات الاعتماد من آلات مصابة مؤخرًا، كانت أخرى موجودة في السجلات لسنوات، تنتظر مهاجمًا مثل زستكس لاستغلالها”، كما ذكرت هودسون روك في التقرير.
تسلط الاختراقات الضوء على “فشل واسع في إدارة بيانات الاعتماد؛ لم يتم تدوير كلمات المرور، ولم يتم إبطال الجلسات أبدًا، مما حول عدوى قديمة إلى كارثة حالية”، وفقًا للتقرير.
كيف تتعرض المنظمات للاختراق
تشمل المنظمات المتأثرة العديد من الصناعات – بما في ذلك الطيران، والبناء، والخدمات القانونية، والروبوتات، والبنية التحتية الحيوية – وتضم شركة الطيران الإسبانية إبيريا، ومتكامل الأنظمة سيبر سي، وشركة البناء اليابانية سيكيسوي هاوس، وشركة تطوير البرمجيات K3G Solutions، من بين آخرين.
تبدأ العدوى عندما يقوم موظف عن غير قصد بتنزيل ملف ضار يتخفى كبرنامج سرقة معلومات، والذي ينفذ ويجمع جميع بيانات الاعتماد المحفوظة وسجل التصفح. ثم يتم تجميع هذه السجلات في قواعد بيانات ضخمة على الويب المظلم، حيث يمكن للمهاجمين مثل زستكس الوصول إليها.
يقوم المهاجم بتحليل السجلات بحثًا عن عناوين URL السحابية الخاصة بالشركات، مثل تلك المستخدمة في منصات التعاون مثل شيرفيل ونكست كلاود. بمجرد أن يحصل زستكس على بيانات الاعتماد لمنصة الشركة، يستخدم اسم المستخدم وكلمة المرور الصالحة المستخرجة من السجلات لتسجيل الدخول إلى الأنظمة دون تمكين المصادقة متعددة العوامل للوصول إلى البيانات الحساسة المخزنة والمتبادلة عبر هذه المنصات.
“لأن المنظمات المذكورة أدناه لم تفرض المصادقة متعددة العوامل، فإن المهاجم يدخل مباشرة من الباب الأمامي”، وفقًا للتقرير. “لا استغلالات، لا ملفات تعريف الارتباط – فقط كلمة مرور.”
نطاق أوسع وسبل التخفيف
علاوة على ذلك، فإن عددًا لا يحصى من المنظمات العالمية الأخرى معرضة للخطر من المهاجم، وفقًا لهودسون روك، التي استخدمت منصتها للاستخبارات التهديدية كافاليير لتحديد آلاف المنظمات التي تستخدم شيرفيل، وأون كلاود، ونكست كلاود مع بيانات اعتماد مخترقة تتداول في سجلات برامج سرقة المعلومات.
تشمل الشركات التي لديها بيانات اعتماد مكشوفة شركات استشارية وتكنولوجية كبرى، وعمالقة التجزئة، والوكالات الحكومية، من بين الكثيرين. “تحتوي هذه المنظمات على موظفين أو شركاء تم إصابتهم، مما يترك جلسات صالحة أو بيانات اعتماد لمستودعات الملفات الحساسة معرضة لمهاجمين مثل زستكس”، وفقًا للتقرير.
يعد تمكين المصادقة متعددة العوامل هو الطريقة الأكثر وضوحًا لتجنب الاختراق في هذا السيناريو، حيث إن تنفيذها وسياسات تدوير كلمات المرور كانت ستمنع كل مجموعة الاختراق، حسبما قالت هودسون روك. في الواقع، تُظهر الاختراقات أن المهاجمين لا يحتاجون إلى استغلالات صفرية اليوم أو هجمات معقدة لاختراق أنظمة المؤسسات عندما لا يتم فرض المصادقة متعددة العوامل وغيرها من عادات إدارة كلمات المرور بشكل صارم.
“تراجيديا محفظة زستكس ليست في تعقيد الهجوم، ولكن في بساطته”، وفقًا للتقرير. “لم يتم اختراق هذه الشركات بواسطة كمبيوتر كمومي يكسر التشفير؛ لقد تم اختراقها لأن موظفًا أصاب جهازهم ببرنامج سرقة معلومات، وفشلت المنظمة في تفعيل المصادقة الثنائية.”
في الواقع، قالت هودسون روك إنه ليس فقط مقلقًا، ولكن أيضًا دعوة كبيرة للصحوة للمنظمات التي تقدر بمليارات الدولارات والتي لا تزال لم تنفذ المصادقة متعددة العوامل على بوابات السحابة الحرجة للقيام بذلك على الفور، حيث لا يوجد عذر لارتكاب مثل هذا الفشل الأمني الواضح والكبير في عام 2026. ورغم أن المصادقة متعددة العوامل ليست خالية من العيوب، إلا أنها لا تزال يمكن أن تكون رادعًا ضد الهجمات البسيطة ولكن الفعالة مثل حملة زستكس.
يجب على المؤسسات أن تتخذ خطوات فورية لتفعيل المصادقة متعددة العوامل وتعزيز أمان بياناتها لحماية نفسها من الهجمات المستقبلية.
