جرت العادة ان نشاهد افلام الاثارة التي تدور حول قصص السطو المسلح على الكازينوهات الكبرى في لاس فيغاس, قصص سطو خيالية كما في سلسة افلام اوشنز او كازينو رويال, لكن في الواقع هذه الكازينوهات وشركات القمار في لاس فيغاس تمتلك تحصينات امنية كبيرة. حيث يحتوي كل كازينو على حوالي 2000 كاميرا مراقبة وأنظمة حماية متطورة وحرس كبير. نادرًا ما تحدث حوادث أمنية، ويتم التعامل معها بسرعة وفعالية.
ومع ذلك، في عصر التكنولوجيا والتحول الرقمي، ظهرت تهديدات جديدة، وهي الهجمات السيبرانية. تعتمد الكازينوهات في لاس فيغاس بشكل كبير على الخدمات عبر الإنترنت وخدمات الحوسبة السحابية للحجوزات والألعاب والترفيه. في هذه الحلقة، سنتحدث عن هجوم سيبراني حدث الشهر الماضي على أكبر الكازينوهات في لاس فيغاس. أدى الهجوم إلى تعطيل كامل لمرافق وألعاب الكازينوهات، مما تسبب في خسائر بملايين الدولارات.
تسلسل الاحداث
- حدث الهجوم السيبراني على ام جي ام ( MGM Resorts International) في 10 ايلول الشهر الفائت وتم الافصاح عن الهجوم من قبل الكازينو في 12 ايلول بعد يومين, مازال التحقيق مستمرا حتى اللحظة في الحادثة بالتنسيق مع اف بي اي (FBI), في ايام الهجوم الاولى سادت حالة من الفوضى بين زبائن الكازينو والبعض بدأ بمشاركة صور وفيديو عل السوشال ميديا حول تعطل انظمة ومرافق الكازينو قبل الافصاح عن الحادثة بشكل رسمي.
في ام جي ام تعطلت:
- مفاتيح الدخول الالكترونية للغرف
- أجهزة الصراف الالي (ATM)
- اجهزة والعاب القمار Slot Machines
- المواقع الالكترونية وانظمة الدفع والحجوزات عبر الانترنت
- تطبيقات الموبايل
لاحتواء الهجوم اضطرت الشركة لاغلاق(shutdown) للعديد من الخوادم لتجنب حدوث ضرر اكبر.و بعد ١٠ ايام من التعطل شبه الكامل اعلنت ام جي ام عن استعادة جزء من الخدمات. فمثلا بعض خدمات الصراف الالي لم يتم استعادتها وتم اصدار مفاتيح يدوية للغرف عوضا عن المفاتيح الالكترونية, لم اتخيل في حياتي ان ادخل منتجع 5 نجوم بمفتاح يدوي هههه. من الواضح ان هنالك قصور في مرونة برنامج ام جي ام (MGM) الامني السيبراني فلا يجب ان يحدث هكذا انقطاع طويل للاعمال نتيجة الهجوم السيبراني.
بعد يومين من إعلان كازينو MGM Resorts International عن تعرضهم لهجوم سيبراني، أعلنت شركة Caesars Entertainment وهي اكبر سلسلة كازينوهات في العالم، أنها تعرضت أيضًا لهجوم مماثل. وأكدت أنها دفعت مبلغ 15 مليون دولار لمجموعة القراصنة مقابل فك تشفير بياناتها. وفقا لبعض التقارير فان الهجوم بدا على سيزرز في ٢٧ اغسطس ٢٠٢٣. من الواضح ان خسائر هذه الكازينوهات تقدر بملاين الدولارات نتيجة ايام التعطل, فخسائر ام جي ام تفوق 300 مليون دولار خلال العشرة ايام تعطل.
تعمد عصابات الاختراق السيبراني على اتباع اسلوبين في الغالب في هجمات الفدية وعملية الابتزاز: فاما ان تهدد بنشر المعلومات المسربة للعامة او تشفير معلومات الضحية وطلب مبلغ مقابل التزويد بمفتاح فك التشفير
العنكبوت المتناثر - Scattered Spider
هذا الهجوم الكبير تم عن طريق مجموعة اختراق حديثة نسبيا تدعى العنكبوت المتناثر [[Scattered Spider]] وكما ذكرت بعض مصادر الاخبار على منصة اكس ان عملية الاختراق الاولى حدثت من خلال الهندسة الاجتماعية وعن طريق اللينكدان وانتحال شخصية موظفي الدعم الفني. تعد LinkedIn منصة جذابة للمهاجمين السيبرانيين لأنها توفر معلومات قيمة حول الأفراد والشركات. يمكن للمهاجمين استخدام هذه المعلومات لشن هجمات الهندسة الاجتماعية والهجمات السيبرانية الأخرى.
تعرف مجموعة سكاترد سبايدر برقم ترميز UNC 3944 و تسعى هذه المجموعة للكسب المادي, يتوزع اعضاؤها ما بين الولايات المتحدة وبريطانيا ويتحدثون اللغة الانجليزية بطلاقة وانها لغتهم الام, ويتراوح اعمارهم ما بين 19 و 22, وتشبه لحد كبير مجموعة لابسوس خصوصا في استخدام عمليات الهندسة الاجتماعية في تنفيذ الاختراقات السيبرانية.
اول ما ظهرت هذه المجموعة كان في شهر مايو 2022 من خلال هجماتها على شركات الاتصالات الكبرى, من حينها لوحظ تطور مستمر للتكتيكات والوسائل المستخدمة من قبل المجموعة, اكثر وسائل الاختراق التي تنفذها هذه المجموعة:
- احتيال تبادل بطاقات السيم SIM Swapping
- ارهاق الضحية في رسائل التعريف المتعددة
- رسائل التصيد عبر تيليغرام والواتساب
- استغلال الثغرة على انتيل اثرنت درايفر CVE-2015-2291 لتنفيذ اوامر بصلاحيات ادمن
- استخدام ادوات ادارة الشبكة عن بعد RMM Tools في نشر برامج التشفير المالوير
لاقت المجموعة شهرة كبيرة بعد هجومها السيبراني الاخير على كازينوهات لاس فيغاس. تمتلك مهارات عالية فيما يختص تحديدا بتكنولوجيا مايكروسوفت ايجور (Azure)كلاود وتنفيذ مهام استطلاعية من خلال خدمات الكلاود المتعددة, تحديدا ايضا استخدام الدمج بين لينكدان و cloud AD.
ترتبط مجموعة العنكبوت المتناثر بمجموعة اكبر روسية المنشأ تدعى الفا في او بلاك كاتALPHV / Black Cat وتقدم خدمات الفدية ransomware as a service على موقها اصدرت مجموعة الفا في تهديد وتحذير ل ام جي ام تطالبها بدفع الفدية والى سيتم توسعة نطاق الهجوم السيبراني! وفقا للمجموعة انه تم تشفير بيانات 100 ESXi hypervisors والذي يحتوي على غالبية حواسيب ام جي ام
تعتبر مجموعة سكاترد سبايدر من اخطر مجموعات الاختراق السيبراني في العالم حاليا فهي انتقلت مؤخرا لاستهداف المستشفيات والقطاع التعليمي. اصدرت عدة شركات متخصصة في المهام الاستخباراتية السيبرانية كمانديانت تريليكس و كراودسترايك (‘ِMandiant, Trelix, CrowdStrike’) تقارير متعلقة حول خطورة المجموعة. اشارت كراود سترايك ان مجموعة سكاترد سبايدر نفذت هجمات في مختلف القارات واستهدفت الولايات المتحدة و المملكة المتحدة و استراليا و اليابان والبرازيلو كندا و فرنسا وسويسرا
التعامل الامثل مع الرانسموير
في حال التعرض لهجوم رانسموير لايجب التفاعل مع المهاجمين وتجنب فتح اي رابط او مرفق مرسل من طرفهم, ويجب ابلاغ السلطات الرسمية في اسرع وقت, والاهم لا يجب ارسال اي اموال للمخترقين مهما كانت المعلومات المسربة او المشفرة حساسة
لماذا يجب ألا تدفع مبلغ الفدية: هناك عدة أسباب لعدم دفع مبلغ الفدية لمهاجمي برامج الفدية، منها:
- لا يوجد ضمان بأنك ستحصل على بياناتك مرة أخرى. قد يأخذ المهاجمون أموالك ولا يقومون بفك تشفير بياناتك.
- قد يستمر المهاجمون في ابتزازك. بعد دفع الفدية، قد يطلب المهاجمون المزيد من المال أو تهديدك بنشر بياناتك.
- دعم الأنشطة الإجرامية. عندما تدفع الفدية، فأنت تساعد المهاجمين على تمويل أعمالهم الإجرامية.
قانون الولايات المتحدة الجديد فيما يتعلق بالامن السيبراني والدفع للفدية
في نفس السياق, سيتم في الولايات المتحدة هذا العام مناقشة مشروع قانون اقترحه البيت الابيض يجرم الدفع لهجمات الفدية رانسموير, وذلك للحد من انتشار هذه الهجمات، والتي أصبحت أكثر شيوعًا في السنوات الأخيرة. وفقا لتقرير لشركة سوفس (SOPHOS) ان حوالي 46% من المؤسسات التي تتعرض لهجوم فدية تقوم بدفع مبالغ الفدية لمنفذي الهجوم.
المخاطر المحدقة من التحول الرقمي
واخيرا, هناك فوائد جمى من التحول الرقمي الذي هو عملية دمج التكنولوجيا الرقمية في جميع جوانب الأعمال. وهو يشمل استخدام تقنيات مثل الحوسبة السحابية، والذكاء الاصطناعي، وإنترنت الأشياء، لتحسين الكفاءة والإنتاجية.على الرغم من الفوائد العديدة للتحول الرقمي، إلا أنه يحمل معه أيضًا بعض المخاطر السيبرانية. تتمثل بعض هذه المخاطر في:
- زيادة نطاق الهجوم: حيث أن التحول الرقمي يتطلب اعتماد أنظمة وتطبيقات جديدة، مما يزيد من نطاق الهجوم الالكتروني على المنظمات.
- الاعتماد المتزايد على الإنترنت: حيث أن التحول الرقمي يتطلب اتصال جميع الأنظمة والتطبيقات بالإنترنت، مما يجعلها أكثر عرضة للهجوم.
- استخدام التقنيات الجديدة: حيث أن التحول الرقمي يتطلب استخدام تقنيات جديدة، والتي قد تكون أكثر عرضة للثغرات الأمنية. فالتغيرات المتسارعة على مستوى كود البرامج يعني ضمنيا زيادة الثغرات السيبرانية.
لابد من التحول الرقمي في عصرتا, لكن يجب الاخذ بعين الاعتيار هذه المخاطر ومعالجتها, فحوادث الامن السيبراني كلفها باهظة!
اعداد وتقديم: رامي أحمد
رابط البودكاست: https://podcast.7awadeth.com
References
https://twitter.com/Adam_Cyber/status/1702772894709780744 https://www.bloomberg.com/news/articles/2023-09-13/caesars-entertainment-paid-millions-in-ransom-in-recent-attack https://www.datacenterdynamics.com/en/news/cyber-attack-on-mgm-resorts-brings-down-slot-machines/ https://www.reuters.com/technology/hackers-who-breached-casino-giants-mgm-caesars-also-hit-3-other-firms-okta-says-2023-09-19/ https://www.securityweek.com/mgm-resorts-computers-back-up-after-10-days-as-analysts-eye-effects-of-casino-cyberattacks/ https://www.reuters.com/technology/mgm-says-its-hotels-casinos-operating-normally-after-cyberattack-2023-09-20/ https://www.scmagazine.com/news/tactics-of-mgm-caesars-attackers-were-known-for-several-months https://www.mandiant.com/resources/blog/sim-swapping-abuse-azure-serial https://www.sophos.com/en-us/press/press-releases/2023/05/data-encryption-ransomware-reaches-highest-level-in-four-years