أسوأ الاختراقات لعام 2024
كل عام يحمل مزيجًا خاصًا به من كوارث الأمن الرقمي، بدءًا من السخافة إلى الشريرة، لكن عام 2024 تميز بشكل خاص بنوبات القرصنة التي استغل فيها مجرمو الإنترنت ومجموعات التجسس المدعومة من الدولة بشكل متكرر نفس الضعف أو نوع الهدف لتغذية جنونهم. بالنسبة للمهاجمين، يعتبر هذا النهج فعالا للغاية، ولكن بالنسبة للمؤسسات المعرضة للخطر – والأفراد الذين تخدمهم – كان للهجمات الخبيثة عواقب حقيقية للغاية على خصوصية الأشخاص وسلامتهم وأمنهم.
مع اشتداد الاضطرابات السياسية والاضطرابات الاجتماعية في مختلف أنحاء العالم، سيكون عام 2025 عاما معقدا ــ وربما متفجرا ــ في الفضاء السيبراني. لكن أولاً، إليك نظرة WIRED على أسوأ الانتهاكات والتسريبات وحملات القرصنة التي ترعاها الدولة وهجمات برامج الفدية وحالات الابتزاز الرقمي لهذا العام. ابقَ متيقظًا، وابق آمنًا هناك.
إن عمليات التجسس هي حقيقة من حقائق الحياة، وكانت الحملات الصينية المتواصلة ثابتة في الفضاء الإلكتروني لسنوات حتى الآن. لكن مجموعة التجسس “سولت تايفون” المرتبطة بالصين نفذت عملية جديرة بالملاحظة بشكل خاص هذا العام، حيث تسللت إلى عدد كبير من شركات الاتصالات الأمريكية بما في ذلك “فيريزون” و”AT&T” (بالإضافة إلى شركات أخرى في جميع أنحاء العالم) لعدة أشهر. وقال مسؤولون أمريكيون للصحفيين في وقت سابق من هذا الشهر إن العديد من الشركات الضحية لا تزال تحاول جاهدة إزالة المتسللين من شبكاتها.
قام المهاجمون بمراقبة مجموعة صغيرة من الأشخاص – أقل من 150 شخصًا حسب الإحصاء الحالي – ولكن من بينهم أفراد كانوا خاضعين بالفعل لأوامر التنصت الأمريكية بالإضافة إلى مسؤولي وزارة الخارجية وأعضاء حملتي ترامب وهاريس الرئاسيتين. بالإضافة إلى ذلك، فإن الرسائل النصية والمكالمات من الأشخاص الآخرين الذين تفاعلوا مع أهداف Salt Typhoon كانت أيضًا محاصرة بطبيعتها في مخطط التجسس.
طوال فصل الصيف، كان المهاجمون في حالة من التمزق، حيث قاموا باختراق الشركات والمؤسسات البارزة التي كانت جميعها عملاء لشركة تخزين البيانات السحابية Snowflake. بالكاد يمكن تصنيف هذه العملية على أنها قرصنة، نظرًا لأن مجرمي الإنترنت كانوا ببساطة يستخدمون كلمات مرور مسروقة لتسجيل الدخول إلى حسابات Snowflake التي لم يتم تشغيل المصادقة الثنائية عليها. ومع ذلك، كانت النتيجة النهائية هي كمية غير عادية من البيانات المسروقة من الضحايا بما في ذلك Ticketmaster وSantander Bank وNiman Marcus. وقالت ضحية بارزة أخرى، وهي شركة الاتصالات العملاقة AT&T، في يوليو/تموز، إن “جميع” السجلات المتعلقة بمكالمات عملائها ورسائلهم النصية على مدى سبعة أشهر في عام 2022 سُرقت في عملية اقتحام ذات صلة بـ Snowflake. وقالت شركة Mandiant الأمنية، المملوكة لشركة Google، في يونيو/حزيران إن الهجوم أثر على ما يقرب من 165 ضحية.
في يوليو، أضافت Snowflake ميزة حتى يتمكن مسؤولو الحساب من جعل المصادقة الثنائية إلزامية لجميع مستخدميهم. وفي نوفمبر/تشرين الثاني، ألقت سلطات إنفاذ القانون الكندية القبض على المشتبه به ألكسندر “كونور” موكا بتهمة قيادة عملية القرصنة. تم توجيه الاتهام إليه من قبل وزارة العدل الأمريكية بتهمة تمزق ندفة الثلج ويواجه التسليم إلى الولايات المتحدة. تم أيضًا اتهام جون إيرين بينز، الذي تم القبض عليه في تركيا بتهمة انتهاك شركة T-Mobile للاتصالات في عام 2021، بتهم تتعلق بانتهاكات عملاء Snowflake.
في نهاية شهر فبراير، تعرضت شركة معالجة الفواتير والتأمين الطبي Change Healthcare لهجوم فدية تسبب في تعطيل المستشفيات ومكاتب الأطباء والصيدليات وغيرها من مرافق الرعاية الصحية في جميع أنحاء الولايات المتحدة. يعد الهجوم أحد أكبر انتهاكات البيانات الطبية على الإطلاق، حيث أثر على أكثر من 100 مليون شخص. تعد الشركة، المملوكة لشركة UnitedHealth، معالجًا مهيمنًا للفواتير الطبية في الولايات المتحدة. وقالت بعد أيام من بدء الهجوم إنها تعتقد أن ALPHV/BlackCat، وهي عصابة برامج فدية سيئة السمعة ناطقة بالروسية، كانت وراء الهجوم.
تضمنت البيانات الشخصية المسروقة في الهجوم أرقام هواتف المرضى والعناوين والمعلومات المصرفية والمالية الأخرى والسجلات الصحية بما في ذلك التشخيص والوصفات الطبية وتفاصيل العلاج. ودفعت الشركة فدية قدرها 22 مليون دولار لشركة ALPHV/BlackCat في بداية شهر مارس في محاولة لاحتواء الموقف. ويبدو أن هذا المبلغ شجع المهاجمين على ضرب أهداف الرعاية الصحية بمعدل أكبر من المعتاد. ومع استمرار الإخطارات المستمرة لأكثر من 100 مليون ضحية – مع اكتشاف المزيد – تزايدت الدعاوى القضائية وغيرها من ردود الأفعال السلبية. ففي هذا الشهر، على سبيل المثال، رفعت ولاية نبراسكا دعوى قضائية ضد شركة Change Healthcare، زاعمة أن “الإخفاق في تنفيذ تدابير الحماية الأمنية الأساسية” جعل الهجوم أسوأ بكثير مما ينبغي.
وقالت مايكروسوفت في يناير/كانون الثاني الماضي إن قراصنة “Midnight Blizzard” الروس تعرضوا للاختراق في حادث أدى إلى اختراق حسابات البريد الإلكتروني الخاصة بالمسؤولين التنفيذيين في الشركة. ترتبط المجموعة بوكالة الاستخبارات الخارجية SVR التابعة للكرملين وترتبط بشكل خاص بـ APT 29 التابع لـ SVR، والمعروف أيضًا باسم Cozy Bear. بعد التطفل الأولي في نوفمبر 2023، استهدف المهاجمون حسابات اختبار نظام Microsoft التاريخية وقاموا باختراقها مما سمح لهم بعد ذلك بالوصول إلى ما قالت الشركة إنها “نسبة صغيرة جدًا من حسابات البريد الإلكتروني لشركة Microsoft، بما في ذلك أعضاء فريق القيادة العليا لدينا والموظفين في وظائفنا المتعلقة بالأمن السيبراني والقانونية وغيرها. ومن هناك، قامت المجموعة بتسريب “بعض رسائل البريد الإلكتروني والمستندات المرفقة”. وقالت مايكروسوفت إن المهاجمين كانوا يبحثون على ما يبدو عن معلومات حول ما تعرفه الشركة عنهم، وبعبارة أخرى، تقوم شركة Midnight Blizzard باستطلاع أبحاث Microsoft حول المجموعة. وقالت شركة Hewlett-Packard Enterprise (HPE) أيضًا في يناير إنها تعرضت لاختراق البريد الإلكتروني الخاص بالشركة المنسوب إلى Midnight Blizzard.
تعرضت شركة التحقق من الخلفية National Public Data لاختراق في ديسمبر 2023، وبدأت البيانات الناتجة عن الحادث في الظهور للبيع في منتديات الجرائم الإلكترونية في أبريل 2024. وظهرت تكوينات مختلفة للبيانات مرارًا وتكرارًا خلال الصيف، وبلغت ذروتها في التأكيد العام على الانتهاك من قبل الشركة في أغسطس. وتضمنت البيانات المسروقة الأسماء وأرقام الضمان الاجتماعي وأرقام الهواتف والعناوين وتواريخ الميلاد. نظرًا لأن National Public Data لم تؤكد الاختراق حتى أغسطس، فقد زادت التكهنات حول الوضع لعدة أشهر وتضمنت نظريات مفادها أن البيانات تضمنت عشرات أو حتى مئات الملايين من أرقام الضمان الاجتماعي. على الرغم من أن الانتهاك كان كبيرًا، إلا أن العدد الحقيقي للأفراد المتأثرين يبدو أقل بكثير. وذكرت الشركة في تقرير للمسؤولين في ولاية ماين أن الاختراق أثر على 1.3 مليون شخص. في أكتوبر، تقدمت الشركة الأم لشركة National Public Data، Jerico Pictures، بطلب لإعادة تنظيم الإفلاس بموجب الفصل 11 في المنطقة الجنوبية من فلوريدا، مستشهدة بتحقيقات الولاية والتحقيقات الفيدرالية في الانتهاك بالإضافة إلى عدد من الدعاوى القضائية التي تواجهها الشركة بشأن الحادث.
تنويه مشرف: سرقة العملة المشفرة في كوريا الشمالية
يقوم الكثير من الأشخاص بسرقة الكثير من العملات المشفرة كل عام، بما في ذلك مجرمي الإنترنت في كوريا الشمالية الذين لديهم تفويض للمساعدة في تمويل المملكة المنعزلة. ومع ذلك، فإن تقريرًا صادرًا عن شركة تتبع العملات المشفرة “تشيناليسيس” صدر هذا الشهر، يؤكد مدى عدوانية المتسللين المدعومين من بيونغ يانغ. ووجد الباحثون أنه في عام 2023، سرق المتسللون المرتبطون بكوريا الشمالية أكثر من 660 مليون دولار عبر 20 هجومًا. وفي هذا العام، سرقوا ما يقرب من 1.34 مليار دولار عبر 47 حادثة. وتمثل أرقام عام 2024 20% من إجمالي الحوادث التي تتبعتها Chainalogy لهذا العام و61% من إجمالي الأموال المسروقة من قبل جميع الجهات الفاعلة.
إن السيطرة المطلقة مثيرة للإعجاب، لكن الباحثين يؤكدون على خطورة الجرائم. وكتبت تشيناليسيس: “قدر المسؤولون الأمريكيون والدوليون أن بيونغ يانغ تستخدم العملات المشفرة التي تسرقها لتمويل برامج أسلحة الدمار الشامل والصواريخ الباليستية، مما يعرض الأمن الدولي للخطر”.