نشر قراصنة ينتمون إلى مجموعة الجرائم الإلكترونية LAPSUS $ لقطات شاشة يُدعى أنها مأخوذة من داخل أنظمة معلومات Okta. إذا كانت الادعاءات صحيحة، فإن لهم إمكانية الوصول ليس فقط إلى موقع الشركة على الويب، ولكن أيضًا إلى عدد من الأنظمة الداخلية الأخرى، بما في ذلك الأنظمة بالغة الأهمية.
تدعي شركة LAPSUS $ أنها لم تسرق أي بيانات من الشركة نفسها، وأن أهدافها كانت أساسًا عملاء Okta. بناءً على التواريخ الموجودة في لقطات الشاشة، كان بإمكان المهاجمين الوصول إلى الأنظمة في وقت مبكر من يناير 2022.
ما Okta؟ ولماذا يمكن أن يكون الاختراق خطيرًا جدًا؟
تعمل Okta على تطوير وصيانة أنظمة إدارة الهوية والوصول. على وجه الخصوص، يقدمون حل تسجيل الدخول الفردي. يستخدم عدد كبير من الشركات الكبرى حلول Okta.
يعتقد خبراء Kaspersky أن وصول المخترق إلى أنظمة Okta يمكن أن يفسر عددًا من تسريبات البيانات البارزة من الشركات الكبيرة، التي أعلن قراصنة من LAPSUS $ مسؤوليتهم عنها.
كيف يتمكن مجرمو الإنترنت من الوصول إلى ملفات أنظمة’Okta؟
في الوقت الحالي، لا يوجد دليل قاطع على أن المخترقين تمكنوا بالفعل من الوصول. وفقًا لـ بيان رسمي من Okta، يجري المتخصصون التابعون لها حاليًا تحقيقًا وتتعهد الشركة بمشاركة التفاصيل بمجرد اكتمال التحقيق. من المحتمل أن تكون لقطات الشاشة المنشورة مرتبطة بحادث يناير، عندما حاول ممثل غير معروف اختراق حساب مهندس دعم فني يعمل لحساب مقاول فرعي تابع لجهة خارجية.
في 23 مارس 2022، نشرت LAPSUS $ ردها على بيان Okta الرسمي الذي اتهموا فيه الشركة في محاولة للحد من تأثير الاختراق.
[ ردت LAPSUS$ على البيان الرسمي من Okta]
ماذا تكون مجموعة LAPSUS $؟ وماذا نعرف عنها؟
اكتسبت LAPSUS $ شهرة في عام 2020 عندما اخترقت أنظمة وزارة الصحة البرازيلية. من المفترض أنها مجموعة من القراصنة في أمريكا اللاتينية تسرق المعلومات من الشركات الكبيرة للحصول على فدية. إذا رفض الضحايا الدفع، فإن المخترقين ينشرون المعلومات المسروقة على الإنترنت. على عكس العديد من مجموعات برامج الفدية الأخرى، لا تعمل LAPSUS $ على تشفير بيانات المؤسسات المخترقة، ولكنها تهدد ببساطة بتسريب البيانات في حالة عدم دفع الفدية.
من بين الضحايا البارزين لـ LAPSUS $: Nvidia وSamsung وUbisoft. بالإضافة إلى ذلك، فقد أصدروا مؤخرًا 37 غيغابايت من التعليمات البرمجية التي يُعتقد أنها مرتبطة بمشاريع Microsoft الداخلية.
كيف تبقى في أمان؟
في الوقت الحالي، من المستحيل أن نقول بيقين مطلق إن الواقعة قد حدثت بالفعل. يُعد نشر لقطات الشاشة في حد ذاته خطوة غريبة إلى حدٍ ما قد تهدف إلى الترويج الذاتي للمخترقين، أو الهجوم على سمعة Okta أو محاولة إخفاء الطريقة الحقيقية التي تمكنت من خلالها LAPSUS $ من الوصول إلى أحد عملاء Okta.
ومع ذلك، لتعمل بأمان، يوصي خبراؤنا عملاء Okta باتخاذ التدابير الوقائية التالية:
· فرض مراقبة صارمة على نحو خاص على نشاط الشبكة لا سيما أي نشاط متعلق بالمصادقة في الأنظمة الداخلية؛
· تزويد الموظفين بتدريب إضافي على صحة الأمن السيبراني وإعدادهم ليكونوا في حالة تأهب والإبلاغ عن أي نشاط مشبوه؛
· إجراء تدقيق أمني للبنية التحتية لتقنية المعلومات في مؤسستك للكشف عن الثغرات والأنظمة المعرضة للخطر؛
· تقييد الوصول إلى أدوات الإدارة عن بُعد من عناوين IP الخارجية؛
· التأكد من أنه يتعذر الوصول إلى واجهات التحكم عن بُعد إلا عن طريق عدد محدود من نقاط النهاية؛
· اتباع مبدأ منح الموظفين امتيازات محدودة ومنح حسابات ذات امتيازات عالية فقط لمَنْ يحتاجون إليها لأداء وظائفهم؛
· استخدام حلول مراقبة حركة مرور شبكة ICS وتحليلها والكشف عنها من أجل حماية أفضل من الهجمات التي قد تهدد العمليات التقنية والأصول الرئيسية للمؤسسة.
يمكن للشركات التي لا تمتلك الموارد الداخلية اللازمة لمراقبة النشاط المشبوه في البنية التحتية لتقنية المعلومات بها توظيف خبراء خارجيين .