المقدمة

تتعدد الدوافع وراء حوادث الامن السيبراني فمنها: 1- لاهداف عسكرية وسياسية بحتحة 2- ومنها اسباب وارباح مادية 3- والنوع الثالث يمكن ان نصنفه بدافع الشهرة والفضول والتسلية

الحادثة في هذه الحلقة هي في الاغلب من النوع الثالث والتي هي لاسباب الشهرة والاستعراض وتمت عن طريق مجموعة من الشباب في مرحلة المراهقة تدعى لابسوس والذي نفذ هذا الهجوم يبلغ من العمر 18 سنة فقط يدعى اريون كورتاج واخر قاصر يبلغ من العمر 17 سنة لم بتم اعلان اسمه بسبب عمره, الطريقة الاساسية التي استخدمها المخترقون كانت من خلال الهندسة الاجتماعية social engineering واستغلال العامل البشري. هذه الحادثة كما سنرى تؤكد على مدى الضرر الذي قد تلحقه الهجمات التي تحدث من خلال الهندسة الاجتماعية.

تفاصيل الحادثة

وقعت هذه الحادثة على اوبر في شهر سيبتمبر من عام 2022 في البداية كانت من خلال شراء حساب الدخول VPN لموظف في اوبر عن طريق الدارك ويب. حاول الهاكر الدخول للحساب لكن المحاولة فشلت بسبب ان الحساب محمي بخاصية التعريف المزدوجة MFA. لتجاوز هذه الخاصية استخدم الهاكر ما يعرف بالهندسة الاجتماعية وتواصل مع الموظف الضحية من خلال الواتسب وذلك بادعاءه انه احد موظفين اوبر من قسم IT, وطالبه بالضغط عل زر الموافقة الخاص بال ام اف ايه. لاقناع الموظف وارهاقه قام الهاكر بارسال عدد كبير جدا من الرسائل لخاصية ام اف ايه لمدة ساعة كاملة للموافقة عل طلب الدخول والضغط عل الزر الخاص قبل التواصل عبر الواتسب, تسمى هذه التقنية MFA Fatigue. بعد ان تمت الموافقة من قبل الموظف تمكن الهاكر من الدخول لشبكة اوبر الداخلية عبر VPN

هجمات الهندسة الاجتماعية تستغل حقيقة أن البشر غالباً هم الحلقة الاضعف في الأمن السيبراني. يمكن أن تكون التكنولوجيا لها دفاعات قوية، ولكن البشر يمكن أن يخدعوا بسهولة لافشاء وتسريب معلومات.

الخطير في الامر و الذي ادى لتوسعة نطاق الاختراق ان الهاكر تمكن من تصعيد صلاحيات الدخول للشبكة من خلال العثور على سكريبت او برنامج Powershell يتضمن معلومات الدخول لاحد حسابات الادمن على الشبكة لنظام PAM الذي يحتوي على مفاتيح الدخول للعديد من حسابات الادمن على انظمة الشبكة الحساسة. هذا الاكتشاف ادى لاختراق شبكة اوبر ولانظمتها الحساسة والدخول لمملكة اوبر بالكامل. ومن ضمن الانظمة التي تمكن الهاكر من الدخول اليها هو نظام مكافئة الثغرات المعروف بال bug bounty والذي يحتوي عل تقارير سرية تتضمن اهم الثغرات المكتشفة على نظام اوبر وقدر كبير منها لم يتم اصلاحه بعد في وقت الحادثة. تضمن ايضا الاختراق الدخول لانظمة الكلاود امازون ويب سيرفيز ,وايضا

• Google’s GSuite,
• VMware’s vSphere dashboard,
• the authentication manager Duo
• OneLogin

من بعدها قام الهاكر بالدخول عل حساب التواصل السلاك Slack الخاص بالموظف واعلن لموظفين اوبر عن نجاحه في الاختراق. في البداية اعتقد الموظفون انها مزحة من الموظف لكن في حقيقة الامر كان اختراقا فعليا

. خلال الحادثة تواصل الهاكر مع احد الباحثين في مجال الامن السيبراني على منصة تيليغرام وذكر تفاصيل الهجوم له, وايضا قام بالتعليق على تذكرة في حساب اوبر على منصة المكافئات هاكر ون وهو يحمل اسم مستعار Tea Pot واكد انه قام بالهندسة الاجتماعية من ثم عمل مسح scan كامل للشبكة واكتشف السكريبت الذي يحتوي على حساب الادمن.

تمكنت اوبر من احتواء الهجوم واكدت على انه لم يتم المساس او التاثير على معلومات المستخدمين لنظام اوبر وقامت بابلاغ السلطات والجهات القانونية بهذا الهجوم في الوقت المناسب. يذكر أن اوبر تعرضت لاختراق وتسريب بيانات كبير في عام 2016 حيث تسرب ما يقارب بيانات 57 مليون مستخدم حينها وحاولت اوبر اخفاء التسريب لمدة عام وتفاوضت مع منفذي الهجوم ودفع فدية بقيمة 100000 دولار حيث يعتبر ذلك مناف للقانون وتم على اثره طرد المدير التنفيذي المسؤول عن أمن المعلومات CISO وتغريم الشركة.

مجموعه الاختراق لابسوس

مجموعة اختراق تعرف بكود DEV-0537 تستهدف بشكل خاص الحكومات والشركات العالمية, افراد المجموعة هم في مرحلة سن المراهقة اقل من 20 سنة عمرا, يتوزعون بشكل اساسي بين البرازيل والمملكة المتحدة. تستخدم هذه المجموعة عدة تقنيات في شن هجماتها بالاخص الهندسة الاجتماعية social engineering. اول هجمه كبيرة نفذتها كانت على وزارة الصحة في البرازيل عام 2021. من بعد ذلك تعددت هجمات هذه المجموعة على شركات عالمية مثل مايكروسوفت انفيديا وسامسونغ و اوبر.كما اشارت بعض التقارير ان الشابين في هذه المجموعة الذين شنا الهجوم على اوبر مصابين بمرض التوحد. تتسم هذه المجموعة بردود فعل غريبة ويمكن ان تسمى بأنها هوجاء خصوصا في الاعلان عن هجماتهم بعد تنفيذها.

ذكرت عدة تقارير صحفية انه تم القاء القبض على الشاب المخترق اريون كورتاج في لندن من قبل الشرطة الانجليزية بعد حادثة اوبر بفترة وجيزة, ومعه الشاب القاصر الاخر صاحب ال 17 عام الذي تم تسريحه بكافلة مع شرط عدم استخدامه للانترنت.

بسبب هجومه على انفيديا في بداية سنة 2022 تم اعتقال اريون كورتاج ومن ثم اطلاق سراحه مع كفالة مالية وتم وضعه في فندق مع شرط عدم دخوله للانترنت, لكن كما تبين لاحقا عند القبض عليه متلبسا, انه استخدم امازون فاير ستيك وهاتف محمول حديث , وماوس وكيبورد لتنفيذ هجماته اللاحقة على شركة روكستار وتسريب اجزاء من اللعبة الشهيرة GTA6 وايضا في تنفيذ هجومه على اوبر.

الاسبوع الماضي الذي يصادف في شهر اب 2023 اقرت المحكمة في بريطانيا ان المتهمين في مجموعة لابسوس مذنبين في اختراق شركات تكنولوجيا عملاقة مثل مايكروسوف واوبر وانفيديا العام الماضي 2022 بعد الاستماع للادلة المثبته وسيتم نطق الحكم في حقيهما قريبا.

احد الادلة التي جمعتها شرطة لندن كانت من خلال احد اقرناء كورتاج وافشى عدة اسرار حول كورتاج وصور له ولعائلته بغرض اهانته.

عبر مستفادة

من اهم الدروس المستفادة هو ان شركة ضخمة بحجم اوبر وما تمتلكه من امكانيات دفاعية في مجال الامن السيبراني وشهادات ايزو و غيرها في هذا المجال تم اختراقها من شاب يبلغ من العمر 18 سنة فقط, فالامن السيبراني تحدي يجب دائما مراجعته وتحصين انظمته بشكل فعال ومستمر وكل مؤسسة معرضة للهجمات والاختراق. يجب ايضا الاستثمار بتوعية الموظفين فهم جزء مهم في عملية الحماية من الهجمات السيبرانية من الضروري جدا التركيز على زيادة الوعي بالامن السيبراني وكيفية التعرف على هذا النوع من الهجمات.

في اوبر لم تكن خاصية الام اف ايه معدة بالشكل الاكثر فعالية, فهي تتيح الدخول بمجرد الضغط على زر السماح بعد تلقي رسالة SMS , حيث يمكن بالمقابل تفعيل رقم عشوائي OTP عن طريق auth app او الافضل تطبيق معيار وبروتوكو FIDO2 passkey وايضا استخدام مفتاح دخول مادي hardware passkey, وبموضوع متصل, يجب دائما على المؤسسات التاكد من مدى فعالية انظمة وضوابط الحماية التقنية.

نصيحة مهمة للشباب المتحمسين والمقبلين على هذا المجال هو عدم الانخراط في اي اعمال تخريبية او جرائم الكترونية فيمكن توظيف هذه المهارات في العديد من المجالات بشكل قانوني سواء من خلال الشركات ومجال ال offensive security او من خلال برامج المكافئات في التبليغ عن الثغرات bug bounty. في الغالب وفي النهاية ايضا سيتم القبض على المخترق مهما كان متخفي ومتطور لذلك ايضا لاجدوى من ذلك بالاضافة للوازع الاخلاقي.

References

https://appsecphoenix.com/uber-hack-timeline/?utm_content=buffer585b7&utm_medium=social&utm_source=linkedin.com&utm_campaign=buffer

https://blog.avast.com/uber-hack

https://www.bbc.com/news/technology-66549159

https://www.uber.com/newsroom/security-update/

https://www.wired.com/story/uber-hack-mfa-phishing/

https://www.upguard.com/blog/what-caused-the-uber-data-breach