اختراقات تطال سامسونج ولينوفو.. هجوم إلكتروني يضرب شركة أمن سيبراني رائدة

كشفت شركتا الأمن السيبراني Hudson Rock وSOCRadar عن حملة اختراق واسعة النطاق استهدفت عشرات الآلاف من جدران الحماية Firewalls وخوادم الشبكات الافتراضية الخاصة VPN، التابعة لشركة فورتينت Fortinet، والتي تستخدمها مؤسسات وشركات كبرى حول العالم.

آلاف أجهزة Fortinet حول العالم تتعرض للاختراق بسبب كلمات مرور مسربة

وبحسب التقريرين، فإن الهجمات، التي أطلق عليها اسم “FortiBleed”، لا تعتمد على استغلال ثغرات أمنية جديدة في أجهزة Fortinet، بل تستند إلى استخدام كلمات مرور مسربة أو معروفة مسبقا، إلى جانب ضعف ممارسات إدارة بيانات الاعتماد لدى بعض المؤسسات.

وتبدأ العملية بقيام المهاجمين باستخدام أدوات آلية لمسح الإنترنت بحثا عن أجهزة Fortinet المكشوفة للعامة، ثم محاولة تسجيل الدخول إليها باستخدام قوائم ضخمة من كلمات المرور التي سبق تسريبها أو كشفها في حوادث أمنية سابقة.

وبمجرد اختراق الجهاز، يتمكن المهاجمون من مراقبة حركة البيانات المارة عبره وجمع مزيد من بيانات الاعتماد الحساسة.

ووفقا لشركة SOCRadar، تستخدم كلمات المرور الجديدة التي يتم الحصول عليها في توسيع نطاق الهجمات واختراق أجهزة إضافية، ما يجعل الحملة قادرة على تغذية نفسها ذاتيا والاستمرار في الانتشار.

من جانبها، أكدت شركة Fortinet أنها على علم بحملة تستهدف جدران الحماية وبوابات VPN التابعة لها، مشيرة إلى أن التحقيقات الأولية تشير إلى أن البيانات المستخدمة في الهجمات تعود في معظمها إلى تسريبات وحوادث سابقة، إضافة إلى محاولات تخمين كلمات المرور بالقوة الغاشمة، وليست مرتبطة بأي ثغرة حديثة أو حادث أمني جديد.

وأفادت Hudson Rock بأنها رصدت مؤشرات على اختراق أكثر من 73 ألف عنوان URL فريد مرتبط بأجهزة Fortinet، بينما قدرت SOCRadar عدد الأجهزة المتضررة بأكثر من 30 ألف جهاز.

وذكرت Hudson Rock أن قائمة الضحايا تضم شركات عالمية بارزة، من بينها Accenture وComcast وفوكسكون ولينوفو وأوراكل وسامسونج وسيمنز وPwC، ولم تصدر معظم هذه الشركات تعليقات رسمية بشأن الاتهامات حتى الآن.

وعلى المستوى الجغرافي، تتركز أكبر أعداد الأجهزة المتأثرة في الهند والولايات المتحدة وتايوان والمكسيك، إلا أن الشركتين أكدتا وجود ضحايا في مختلف أنحاء العالم. كما شملت القطاعات الأكثر تضررًا خدمات تقنية المعلومات ومواد البناء والاتصالات، إضافة إلى جهات حكومية.

ورجحت شركتا الأمن السيبراني أن تكون المجموعة المسؤولة عن الهجمات ناطقة باللغة الروسية، استنادًا إلى مؤشرات وتحليلات فنية مرتبطة بالحملة.

وكان الباحث الأمني بوب دياتشينكو أول من كشف عن الحملة خلال عطلة نهاية الأسبوع، فيما أكد الباحث المستقل كيفن بومونت، بعد مراجعة البيانات المسربة، أنها “حقيقية وموثوقة”.

وتأتي هذه الحملة في وقت شهدت فيه أجهزة Fortinet عدة موجات استهداف خلال السنوات الماضية، إلا أن معظم الهجمات السابقة اعتمدت على استغلال ثغرات أمنية في الأنظمة، بينما تعتمد الحملة الحالية على أسلوب أبسط يتمثل في استغلال كلمات المرور المسربة وسوء إدارة بيانات الاعتماد.