الكشف عن هجمة أمنية اخترقت «المصادقة الثنائية» في 10 دول

في واقعة تعد الأولى من نوعها، تمكنت مجموعة مشهورة من القراصنة الصينيين، من شن هجمة معلومات أمنية نجحت خلالها في كسر أنظمة التأمين والحماية المتقدمة، المعروفة باسم أنظمة المصادقة الثنائية، التي تضم طبقتين للحماية، الأولى كلمات المرور واسم المستخدم، والثانية الرموز والبصمات الحيوية، كبصمات الأصابع، والرموز الإضافية التي ترسل عبر الهواتف المحمولة، وتنتمي الهجمة الجديدة لنوعية الهجمات «الصامتة» التي يتم شنها دون أن يشعر بها الضحايا.

وكشف عن الواقعة الجديدة فريق من الخبراء في شركة «فوكس آي تي» الهولندية، المتخصصة في أمن المعلومات، ونشر تفاصيلها في تقرير بموقع الشركة الرسمي.

وأوضح الخبراء أن الهجمة تحمل اسم «واساو»، وهو رمز يشير إلي «اللعنة»، معربين عن اعتقادهم أن الهجمة مستمرة منذ عامين، واستهدفت مؤسسات كبرى في 10 دول على الأقل، بمجالات الطيران والرعاية الصحية والمالية والتأمين والطاقة.

مجموعة معروفة

وأفاد خبراء «فوكس آي تي» بأن مجموعة القراصنة التي شنت الهجوم، هي المجموعة الصينية المعروفة باسم «إيه بي تي 20»، ولها تاريخ سابق معروف يعود إلى عام 2011، في شن الهجمات المعقدة الخطرة بعيدة المدى، التي عادة ما تستهدف اختراق الكيانات الحكومية ومقدمي الخدمات المدارة.

وأضاف الخبراء أن هذه المجموعة تمكنت من تعمية ومحو آثار العديد من هجماتها التي شنتها خلال عامي 2016 - 2017، بعدما غيرت طريقة عملها، ما يجعل الكشف عن الواقعة الجديدة أمراً مهماً، يحاول تغطية الفجوة المعرفية الخاصة بهذه المجموعة من القراصنة، خلال العامين الأخيرين، لاسيما أن هذه الهجمة يعتقد أنها مستمرة منذ عامين علي الأقل.

ووثق تقرير «فوكس آي تي» المتعلق بالواقعة، ما قامت به المجموعة خلال العامين الماضيين وكيف كانت تفعل ذلك.

سيناريو

ووفقاً للخبراء، فليس من الواضح حتى الآن ما التفاصيل الدقيقة، والخطوات التقنية الكاملة التي تمكن بها القراصنة من تجاوز أنظمة المصادقة الثنائية، لكنهم وضعوا سيناريو نظرياً عاماً لهذا الأمر، استناداً إلى بعض الدلائل الأولية، حيث يفترض هذا السيناريو أن القراصنة استخدموا حاسبات الـ«ويب» الخادمة التابعة للجهات الضحية، كنقطة أولية للدخول إلى الأنظمة المستهدفة، مع التركيز بشكل خاص على المواقع والأنظمة التي تستخدم منصة برمجية معروفة باسم «جي بوس»، وهي منصة خاصة بالتطبيقات التي تديرها المؤسسات والشركات الكبيرة وشبكات المعلومات الحكومية الضخمة.

وبينوا أن مجموعة «إيه بي تي 20» اكتشفت بعض نقاط الضعف الأمنية، ما مكتها من الوصول إلى تلك الحاسبات الخادمة، وثبتت ما أطلق عليه «قذائف الويب»، ثم نشرتها أفقياً على الأنظمة الداخلية للضحايا، وحينما وصلت إلى الأنظمة الداخلية بحثت عن حسابات مديري ومسؤولي النظم، من أجل زيادة وصولها إلى الحد الأقصى من الصلاحيات، إذ كان شغلها الرئيس الحصول على بيانات الاعتماد الخاصة بالشبكات التخيلية الخاصة المؤمنة (في بي إن)، التي تستخدم في تشفير وتأمين الاتصالات الداخلية عالية الحساسية بنظم المعلومات المستهدفة، حتى يمكنها تعميق تسللها والوصول إلى أكثر المناطق تأميناً في البنية التحتية المعلوماتية للضحية، واستخدام حسابات شبكات «في بي إن» خلفية مستقرة للتعمية والتخفي.

تجاوز المصادقة الثنائية

وتوصل خبراء أمن المعلومات إلى دلائل تشير إلى أن القراصنة يسرقون رمزاً مميزاً لبرنامج يحمل اسم «آر إس إيه سيكيور آي دي»، من حاسب مخترق، ثم يستخدمونه لإنشاء رموز صالحة للاستخدام لمرة واحدة، يمكن من خلالها تجاوز أنظمة المصادقة الثنائية حسب الرغبة.

وأوضحوا أن تنسيق الهجمة على هذا النحو يعني استخدام أدوات شرعية، يتم تثبيتها بالفعل على أجهزة مخترقة، بدلاً من اللجوء إلى تنزيل البرامج الخبيثة والضارة التي يمكن اكتشافها ببرامج التأمين والحماية، حيث شكّل هذا الأمر حركة التفاف وخداع ناجحة لأنظمة المصادقة الثنائية، ولم يصطدم بها نشاط المهاجمين مباشرة، لكون هذا النشاط صادراً عن عمليات شرعية داخل النظام.

المصادقة الثنائية

تُعرف أنظمة الحماية والتأمين ثنائية المصادقة اختصاراً بأنظمة «2 إف إيه»، ويقصد بها الأنظمة التي تتعرف إلى هوية مستخدميها من خلال طبقتين للمصادقة والتحقق، الأولى تعتمد على اسم المستخدم وكلمة المرور أو السر، وهي طبقة الأمان التقليدية شائعة الاستخدام طوال العقود الماضية، حيث إنه بعد تأكد نظام الحماية من أن كلمة المرور صحيحة واسم المستخدم صحيح، وتطابق الاثنين، كما هو موضوع في إعدادات الأمان، لا يسمح النظام للمستخدم بالدخول إلى النظام وممارسة صلاحياته، بل يعد ذلك غير كافياً للتحقق من الهوية، ويقوم باستخدام عامل آخر للمصادقة والتحقق، إما يكون عبارة عن «كود» يرسل للمستخدم في رسالة نصية إلى هاتفه المحمول، أو بريده الإلكتروني، أو يكون رمزاً أو بصمة حيوية، مثل بصمات الأصابع أو قزحية العين، أو غيرها، وهذه هي الطبقة الثانية. وبعد حصول النظام على العنصر أو المكون الثاني الصحيح للمصادقة، يقوم بمضاهاة مكونات العنصر الأول مع العنصر الثاني معاً.