أخبارمقالات وبحوث
كيف اختُرِقَت شركة عبر كاميرا مراقبة؟
مقال: حسام خطاب
مجموعة الاختراق Akira استطاعت اختراق شبكة شركة وتجاوز أدوات الحماية الموجودة من خلال كاميرا مراقبة كانت منسية وغير محمية كما يجب.
التفاصيل:
مؤسسة الأمن السيبراني S-RM اكتشفت الاختراق بعدما استدعتها شركة للمساعدة في احتوائه. وجدوا بأن مجموعة الاختراق Akira وجهت جهودها نحو كاميرا المراقبة بعدما عجزت عن تطبيق فيروس الفدية Ransomware بالوسائل التقليدية.
الشركة كانت مطبقة لبرنامج الحماية EDR على أجهزة الشبكة، والبرنامج نجح في عزل برنامج Ransomware عندما حاولوا نشره عبر خادم ويندوز في الشبكة.
لم تستسلم مجموعة الاختراق ومسحت الشبكة بحثا عن مواطن الضعف فيها. اهتدت إلى كاميرا مراقبة متصلة بالشبكة ولكنها غير محمية.
تفاصيل الاختراق:
1️⃣ المخترقون ولجوا إلى الشبكة عبر برنامج للاتصال عن بعد بكلمة سر، وكلمة السر الراجح أنهم خمنوها بالطرق التقليدية أو من خلال تسريبها في اختراقات سابقة.
2️⃣ بعد الولوج إلى الشبكة، طبقوا برنامج AnyDesk وسرقوا بيانات الشركة.
3️⃣ تجولوا في شبكة الشركة وطبقوا برنامج فيروس الفدية Ransomware على أحد خوادم الويندوز بغية تشفير بيانات الشركة بعد سرقتها. الخادم المصاب كان يحتوي على برنامج الحماية EDR، وعزل الملف المصاب ولم تنجح المحاولة.
4️⃣ مسحوا الشبكة بحثا عن موطئ قدم آخر، وانتبهوا إلى كاميرا مراقبة متصلة بالشبكة ولكنها غير محمية، وطبقوا عبرها فيروس الفدية ونجحوا في تشفير البيانات.
أسباب اختيار كاميرا المراقبة:
1️⃣ الكاميرا احتوت على عدة ثغرات أمنية غير معالجة. مسؤولو الشركة كرسوا جهودهم نحو معالجة الثغرات على الأجهزة الحساسة وغفلوا عن الكاميرا.
2️⃣ الكاميرا كانت تعمل على نظام تشغيل Linux، ومجموعة الاختراق امتلكت نسخة من الفيروس متوافق مع نظام التشغيل Linux بعدما فشل على الويندوز.
3️⃣ الكاميرا لم تكن مسلحة ببرنامج الحماية EDR، مما جعلها غير محمية كغيرها من نقاط الشبكة.
4️⃣ الكاميرا لم تكن مراقبة؛ لذا لم ينتبه فريق أمن الشركة لزيادة البيانات المرسلة منها إلى الخادم المصاب.
الدروس المستفادة:
1️⃣ ضرورة التحديثات الأمنية لكافة النقاط المتصلة بالشبكة، وحسب الأولويات. غالبا ما يتم التركيز على الأنظمة الحساسة ويغفل المعنيون عن غيرها. وفي المقابل، المخترقون يبحثون عن أضعف نقطة في الشبكة للعبور من خلالها، وقوة أي شبكة من قوة أضعف نقطة فيها.
2️⃣ تطور أساليب الاختراق واتساع نطاقها لتشمل أنظمة التشغيل ويندوز و Linux.
3️⃣ أهمية شمول نطاق تطبيق برنامج EDR لشتى الأجهزة. كاميرات المراقبة مثلا قل ما ينتبه المعنيون إلى حمايتها.
4️⃣ تطبيق عزل آمن Network Segmentation في الشبكات، وأهمية فصل كاميرات المراقبة عن باقي الأجهزة.
5️⃣ المراقبة الدورية لنشاط الأجهزة المتصلة بالشبكة لالتقاط أي نشاط مشبوه عليها.
6️⃣ تغيير كلمات السر التلقائية Default Passwords على كاميرات المراقبة.
7️⃣ إطفاء وعزل أي جهاز مستخدم في الشبكة، وخاصة أجهزة المراقبة التي قد لا تكون محمية كما يجب.