هجوم إلكتروني ضخم يضرب العالم ومديرية أمن نظم المعلومات بالمغرب تحذر المؤسسات الحكومية
زنقة 20 | خالد أربعي
أصدرت المديرية العامة لأمن نظم المعلومات (DGSSI) تحذيراً أمنياً يتعلق بحملة اختراق واسعة استهدف أجهزة حماية Fortinet ، استهدفت البوابات الخاصة بالشبكات الافتراضية الخاصة (VPN) التابعة للشركة.
وبحسب بوب دياتشينكو، رئيس أبحاث الأمن السيبراني، والمؤسس المشارك لـ”SecurityDiscovery.com”، فإن البيانات تكشف تعرض نحو 74 ألف جهاز “فورتي نت” للاختراق، موزعة على أكثر من 21 ألف عنوان IP في 194 دولة، مع تسريب بيانات الاعتماد الخاصة بها بصيغتها الأصلية غير المشفرة عبر الإنترنت.
وقد حملت هذه الحملة اسم “FortiBleed”، وهي عملية يُشتبه في أنها أدت إلى تسريب واسع لبيانات اعتماد الدخول الخاصة بعدد كبير من الأجهزة المتصلة بالإنترنت.
تشير التقارير الصادرة عن جهات متخصصة في استخبارات التهديدات، من بينها SocRadar، إلى أن نطاق هذه الحملة قد يكون واسعاً للغاية، حيث يُقدَّر تأثر عشرات الآلاف من الأجهزة حول العالم، مع احتمال وجود أنظمة تابعة لجهات حكومية ومؤسسات خاصة ضمن قائمة المتضررين.
وتوضح هذه التقارير أن الهجوم يعتمد على استخراج ملفات إعدادات من أجهزة FortiGate التي كانت مكشوفة عبر الإنترنت، ثم استخدام تقنيات كسر “الهاش” الخاصة بكلمات المرور في بيئة غير متصلة بالشبكة، ما سمح بالحصول على بيانات دخول صالحة وقابلة للاستخدام.
وتكمن خطورة هذا النوع من الهجمات في أنه لا يعتمد على اختراق مباشر تقليدي، بل يستغل تسريباً سابقاً أو ثغرات في الوصول إلى ملفات التكوين، مما يؤدي إلى إعادة بناء كلمات المرور أو الوصول إلى بيانات اعتماد مشفرة.
وبمجرد حصول المهاجمين على هذه البيانات، يمكنهم الدخول إلى الشبكات الداخلية عبر اتصالات VPN وكأنهم مستخدمون شرعيون، وهو ما يجعل الكشف المبكر عن هذا النوع من التهديدات أمراً بالغ الصعوبة.
وحذرت المديرية، من أن المخاطر المحتملة لا تقتصر على الدخول غير المصرح به إلى الشبكات، بل تمتد لتشمل إمكانية التصعيد داخل البنية التحتية المعلوماتية، بما في ذلك الوصول إلى أنظمة الدليل النشط (Active Directory)، وتنفيذ هجمات الفدية، أو تسريب البيانات الحساسة. كما أن وجود صلاحيات إدارية ضمن بيانات الدخول المسربة يزيد من خطورة السيناريوهات المحتملة بشكل كبير.
وفي هذا السياق، أوصت مديرية DGSSI، بمجموعة من الإجراءات العاجلة للحد من مخاطر الاستغلال، أبرزها تغيير كلمات المرور بشكل فوري لجميع حسابات الإدارة والوصول عبر VPN، وتفعيل المصادقة متعددة العوامل (MFA) على جميع نقاط الدخول، إضافة إلى تقييد الوصول إلى واجهات الإدارة بحيث لا تكون متاحة من الإنترنت العام.
كما نصحت بمراجعة السجلات الأمنية بشكل دقيق لرصد أي نشاط غير اعتيادي قد يشير إلى محاولة اختراق أو استخدام غير مشروع لبيانات الدخول.