هويات مسروقة، وجدران حماية مختطَفة: داخل الموجة الجديدة من هجمات SSO على الشركات

يستغلّ مجرمو الإنترنت على نطاق واسع بيانات اعتماد حصدتها برمجيات سرقة المعلومات وأجهزة أمنية مخترَقة لشنّ هجمات تخمين قسري تفتح لهم الطريق إلى أكبر مؤسسات العالم.

بدأ الأمر بقطرات - ثم تحوّل إلى سيل. كانت عمليات تسجيل دخول تبدو شرعية تضرب بوابات تسجيل الدخول الموحّد (SSO) للشركات حول العالم، ولم يكن السبب وباءً مفاجئًا من إهمال الموظفين. بل كان عملًا منسّقًا لمجرمي الإنترنت، تغذّيه سلسلة توريد صناعية من بيانات اعتماد مسروقة وأجهزة شبكة مختطَفة. ومع انقشاع الغبار، تجد فرق الأمن نفسها أمام حقيقة مرعبة: الباب الأمامي مفتوح على مصراعيه، والمفاتيح في كل مكان.

حقائق سريعة

تم تتبّع 77% من بيانات الاعتماد المستخدمة في هجمات التخمين القسري الأخيرة على SSO إلى إصابات ببرمجيات سرقة المعلومات.
تشمل الضحايا البارزين رولز-رويس، وجونسون آند جونسون، وإريكسون، وديلويت، وعدة وكالات لإنفاذ القانون.
يستغل المهاجمون جدران حماية مخترَقة كخوادم وسيطة لإخفاء مصادرهم وزيادة حجم الهجوم.
تقوم برمجيات سرقة المعلومات مثل RedLine وRaccoon وVidar بحصد بيانات الاعتماد المخزّنة في المتصفح بصمت من أجهزة الموظفين.
باتت هجمات حشو بيانات الاعتماد تستهدف أنظمة المصادقة (مثل F5 BIG-IP وADFS وOWA) بدلًا من استغلال الثغرات التقنية.

تشريح هجوم حديث قائم على بيانات الاعتماد

لم تبدأ الطفرة الأخيرة في هجمات SSO باختراق أجهزة F5 نفسها. بدلًا من ذلك، حصد المهاجمون بيانات الاعتماد من أجهزة موظفين مصابة باستخدام برمجيات سرقة المعلومات - وهي برامج خفية صُممت لجمع كل تسجيل دخول محفوظ في المتصفح. ثم تُباع هذه “السجلات” الرقمية بالجملة في الأسواق السرية، حيث يلتقطها مجرمو الإنترنت ووسطاء الوصول الأولي (IABs) مقابل بضعة دولارات لكل ضحية.

ومع امتلاك أسماء مستخدمين وكلمات مرور حقيقية، يطلق المهاجمون حملات ضخمة لحشو بيانات الاعتماد ضد بوابات المصادقة المؤسسية. هدفهم: العثور على كلمة مرور مُعاد استخدامها أو ضعيفة - أو مستخدم أنهكته مطالبات المصادقة متعددة العوامل (MFA) - تتيح لهم الانزلاق عبر المحيط دون أن يُكتشفوا. وقد تتبعت شركة الأمن Defused Cyber إحدى هذه الحملات، وربطت 77% من بيانات اعتماد الهجوم مباشرة بإصابات معروفة ببرمجيات سرقة المعلومات، ما يورّط قطاعات تمتد من الطيران والفضاء إلى إنفاذ القانون حول العالم.

تحويل وسائل الدفاع إلى أسلحة

لكن المهاجمين لم يتوقفوا عند بيانات الاعتماد المسروقة. ففي منعطف مقلق، تبيّن أن مصدر العديد من محاولات الهجوم يعود إلى جدار حماية Fortinet مخترَق في اليابان. ومن خلال اختطاف مثل هذه الأجهزة، لا يكتفي المهاجمون بإخفاء مصادرهم، بل يسلّحون البنية التحتية ذاتها المفترض أن تحمي المؤسسات، محوّلين جدران الحماية إلى منصات إطلاق غير واعية لهجمات التخمين القسري على الآخرين.

والنتيجة هي سلالة جديدة من الهجمات السيبرانية: ليست استغلالًا، بل إساءة استخدام للمصادقة. فبدلًا من الاختراق، يقوم المجرمون بتسجيل الدخول - باستخدام بيانات الاعتماد نفسها التي يستخدمها الموظفون يوميًا. ويكشف هذا النموذج، “الهوية بوصفها المحيط الجديد”، حدود الاعتماد على الترقيع وتقسية الأجهزة وحدهما. فإذا سُرقت هويتك، فلن يمنع أي جدار حماية أو تحديث برمجي الدخيل من الدخول.

ما التالي بالنسبة للمدافعين؟

هذه الحملة جرس إنذار. يجب على فرق الأمن مراقبة انكشاف بيانات الاعتماد باستمرار، وفرض MFA قوية ومتكيّفة، وتتبع نشاط الويب المظلم بحثًا عن بيانات مؤسستهم. لقد انتهت أيام الاعتماد على الدفاعات التقنية وحدها. في هذا العصر الجديد، المعركة تدور حول الثقة، لا التكنولوجيا فقط - والمهاجمون موجودون بالفعل في الداخل.

WIKICROOK

Infostealer: إنفوسطيلر هو برمجية خبيثة صُممت لسرقة بيانات حساسة - مثل كلمات المرور أو بطاقات الائتمان أو المستندات - من أجهزة الكمبيوتر المصابة دون علم المستخدم.
Credential Stuffing: حشو بيانات الاعتماد هو عندما يستخدم المهاجمون أسماء مستخدمين وكلمات مرور مسروقة من موقع ما لمحاولة الوصول إلى حسابات على مواقع أخرى.
Single Sign: يتيح تسجيل الدخول الموحّد (SSO) للمستخدمين الوصول إلى خدمات متعددة بتسجيل دخول واحد، ما يبسّط الوصول لكنه يزيد المخاطر إذا تم اختراق بيانات الاعتماد.
Initial Access Broker (IAB): وسيط الوصول الأولي هو مجرم إلكتروني يقتحم الأنظمة ويبيع ذلك الوصول لآخرين، بما يتيح هجمات سيبرانية لاحقة.
Multi: يشير Multi إلى استخدام مزيج من تقنيات أو أنظمة مختلفة - مثل أقمار LEO وGEO - لتحسين الاعتمادية والتغطية والأمان.