تعرض عشرات الآلاف من الموظفين في بعض أكبر الشركات البريطانية للاختراق بياناتهم الشخصية من قبل عصابة إجرامية ناطقة بالروسية في اختراق واسع النطاق من المتوقع أن ينتشر إلى الولايات المتحدة ويوقع المزيد من الضحايا.
كانت الخطوط الجوية البريطانية وبوتس وبي بي سي من بين المجموعات التي حذرت الموظفين يوم الاثنين من تأثرهم بالاختراق الذي أصاب البرامج التي تستخدمها Zellis ، مزود الرواتب في المملكة المتحدة والذي يخدم ما يقرب من نصف شركات FTSE 100.
قامت بي بي سي ، الإذاعة الوطنية التي تضم حوالي 20000 عامل ، وشركة بوتس ، بائع الصيدلة بالتجزئة الذي يعمل به أكثر من 50000 ، بتنبيه الموظفين إلى الانتهاك المحتمل الذي أثر على أسمائهم وتواريخ ميلادهم وأرقام التأمين الوطني. قالت الخطوط الجوية البريطانية ، التي تم تغريمها في عام 2020 بمبلغ 20 مليون جنيه إسترليني لتسريب بيانات العملاء ، إنها “ستقدم الدعم والمشورة” للموظفين المعنيين.
استغل الاختراق نقطة ضعف غير معروفة في جزء يُفترض أنه آمن من برنامج نقل الملفات ، مما يسلط الضوء على الضعف المتزايد للعديد من الشركات أمام الهجمات الإلكترونية المعقدة التي تستهدف العيوب على طول سلسلة توريد البرامج الخاصة بهم.
وقال باحثون أمنيون إنه من المتوقع أن يستخدم المتسللون البيانات لشن ما يسمى بهجمات “الاختراق والتسريب” ، مهددين بنشر معلومات حساسة ما لم تدفع الشركات مبالغ كبيرة.
قالت شركة الأمن سوفوس إن خمس الشركات البريطانية على الأقل سُرقت بياناتها على يد مهاجم خارجي في العام الماضي. يمكن تغريم الشركات البريطانية بنسبة تصل إلى أربعة في المائة من إيراداتها السنوية لسوء التعامل مع البيانات.
كانت الطلبات السابقة من العصابة الروسية المشتبه بها ، والتي أطلق عليها خبراء الأمن السيبراني اسم Clop ، تزيد بانتظام عن مليون دولار وتصل إلى 35 مليون دولار. وقال شخص مقرب من زيليس إنه لم تعلن أي جماعة مسؤوليتها وإن الدافع وراء الانتهاك غير واضح.
تم استخدام البرنامج المستهدف ، MOVEit ، من إنتاج شركة Progress Group للتكنولوجيا ومقرها ماساتشوستس ، بواسطة Zellis في بعض أنظمتها. وقال شخص مطلع على الحادث إن ثمانية عملاء في مجموعة الرواتب في المملكة المتحدة تأثروا.
قال باحثون في Secureworks ، وهي مجموعة للأمن السيبراني ، إن البرنامج أكثر شيوعًا في الولايات المتحدة ، حيث يكون الكشف التنظيمي أبطأ ، مما يجعل من المرجح أن قائمة الضحايا ستزداد على مدار الأسبوع. وقال باحثون آخرون إن من المتوقع أيضًا أن تتأثر الشركات في كندا والهند.
قال مارتن رايلي ، مدير Managed Security Services في Bridewell ومقره القراءة ، الذي شاهد الهجوم خلال عطلة نهاية الأسبوع.
من المعروف أن مجموعة Clop للقرصنة تبحث عن نقاط الضعف في برامج نقل الملفات الآمنة ، نظرًا لأن الشركات غالبًا ما تكون مطالبة بموجب القانون بمعالجة بعض بياناتها الأكثر قيمة مع هؤلاء المزودين.
قال Rafe Pilling ، كبير الباحثين الأمنيين في Secureworks ، إن هذا يجعل الاختراقات أكثر ربحًا ، كما حدث عندما هاجمت المجموعة نفسها برنامجًا مشابهًا يسمى Accellion في عام 2021 و GoAnywhere في وقت سابق من هذا العام. وقال إن هذا يجعل الأمر شبه مؤكد أن المتسللين لديهم دوافع مالية وليست سياسية.
وقال: “المجموعة تتحدث الروسية ، لكن هذه ليست الدولة الروسية ، هذه ليست موجهة من روسيا وتسبق الغزو الأوكراني”. “هذه ليست روسيا تهاجم الغرب.”
نظرًا لأن الشركات بدأت في الاعتماد على النسخ الاحتياطية لمنع حجب بياناتها في حوادث برامج الفدية ، فقد انتقلت العصابات لاختراق الهجمات وتسريبها في الأشهر الأخيرة.
قال جون هولتكويست ، كبير المحللين في Mandiant Intelligence: “نحن نحدد بالفعل عمليات التطفل النشطة على العديد من العملاء ونتوقع المزيد على المدى القصير”. “الجميع بحاجة إلى التحرك بسرعة للتصحيح. . . وفي الحالات التي يشتبهون فيها بالاستغلال ، استعد للإفراج العلني المحتمل عن بياناتهم “.
غالبًا ما يتم مشاركة مثل هذه الثغرات الأمنية داخل العصابات الإجرامية ، ومقرها في الغالب في روسيا ، مما يعني أنه كان من الممكن استغلالها من قبل مجموعات مختلفة من المتسللين في الأسابيع الأخيرة.
أبلغت الشركة المصنعة لـ MOVEit العملاء في 31 مايو أن برمجياتها بها نقطة ضعف غير معروفة تسمح للمتسللين بسرقة كميات كبيرة من البيانات. رفضت الشركة الإجابة عن أسئلة حول عدد عملائها الذين تأثروا على مستوى العالم ، ولا ما إذا كانت قد حددت الجاني.
لقد تعاملنا مع وكالات إنفاذ القانون الفيدرالية ووكالات أخرى. . . مع خبراء الأمن السيبراني الرائدين في الصناعة ، “قال بروجرس.
قال التقدم إن الخروقات قد لوحظت في مايو ، واقترح تعديلات على الإعدادات على برامجهم لقطع تسريب البيانات أثناء انتظار تحديث أكثر فعالية. وقالت إنها أصدرت تحديثًا برمجيًا سيسمح للشركات بإصلاح الخلل في أنظمتها.
تم الإبلاغ عن الشركات البريطانية التي تأثرت بالاختراق لأول مرة بواسطة صحيفة ديلي تلغراف.
قال زيليس: “جميع البرامج المملوكة لشركة Zellis لم تتأثر ولا توجد حوادث أو تنازلات مرتبطة بأي جزء آخر من ملكية تكنولوجيا المعلومات لدينا” ، مضيفًا أنها أبلغت مكتب مفوض المعلومات في المملكة المتحدة ، ومدير النيابات العامة والمركز الوطني للأمن السيبراني. ، وكذلك ما يعادلها في أيرلندا.