صباح الخير قراءنا الكرام،،
مرحبًا بكم في العدد الجديد من نشرة أمن المعلومات والتي تتناول شهريًا أهم الأحداث الخاصة بأمن المعلومات، إضافةً إلى التوعية بمخاطر الفضاء الإلكتروني.
يرصد هذا العدد مجموعة من أبرز الأحداث في مجال أمن المعلومات، فضلًا عن الثغرات والهجمات الإلكترونية التي تهم المستخدمين.
أهم الأخبار:
اختراق تطبيق “روبن هود”، والاطلاع على بيانات 7 ملايين مستخدم أمريكي.
سرقه أكثر من 55 مليون دولار من العملات المشفرة بعد تعرض مطور bZx لهجوم تصيد احتيالي.
شركة “Apple” تقاضي شركة “NSO Group” لبرامج التجسس الإسرائيلية.
خرق بيانات GoDaddy”” كشف عن أكثر من مليون من بيانات عملاء “”WordPress.
شاركبوت (SharkBot) – حصان طروادة جديد يعمل بنظام آندرويد (Android) يسرق الحسابات المصرفية والعملات المشفرة.
مخاطر وثغرات:
ثغرة بجدران الحماية (firewalls) الخاصة بشركة “CISCO”.
13 ثغرة أمنية تؤثر على معدات سيمنز الطبية والصناعية (NUCLEUS).
ثغرة في البنية التحتية للبريد الإلكتروني لمكتب التحقيقات الفيدرالي سمحت بإرسال تحذيرات كاذبة بالهجوم الإلكتروني إلى الآلاف.
تحذر الولايات المتحدة والمملكة المتحدة وأستراليا من قراصنة إيرانيين يستغلون عيوب “Microsoft” وFortinet””.
عيب أمني خطير في العديد من طرازات طابعات شركة “HP”.
معلومة أمنية:
هجمات التصيّد الإلكتروني “Phishing Attacks”.
اضغط هنا للتواصل معنا
مقتطفات من أهم الأحداث الخاصة بأمن المعلومات محليًا وعالميًا
اختراق تطبيق “روبن هود” والإطلاع على بيانات 7 ملايين مستخدم أمريكي
9 نوفمبر 2021

قام تطبيق (روبن هود) للاستثمار الأمريكي، بالإعلان عن تعرضه لاختراق أمني في الثالث من شهر نوفمبر الماضي، مما تسبب بالكشف عن بيانات سبعة ملايين مستخدم تقريبًا، أي أنه وصل إلى ثُلث المستخدمين.
وتعد (روبن هود) منصة تداول عبر الإنترنت، تسمح لعملائها بإجراء عمليات تداول في الأسهم والعملات المشفرة دون عمولة.
ويعتقد أنه تم الهجوم عن طريق استخدام الهندسة الاجتماعية لممثل خدمة العملاء للوصول إلى أنظمة الدعم الداخلية، واستخدامه للحصول على عناوين البريد الإلكتروني لخمسة ملايين مستخدم، والأسماء الكاملة لمجموعة مختلفة من حوالي مليوني شخص، ومعلومات إضافية مثل: الأسماء وتواريخ الميلاد والرموز البريدية لمجموعة محدودة من 310 مستخدمين إضافيين، تم الكشف عن تفاصيل عشرة منهم.
لكن شركة (روبن هود) أكدت أنه لم يتم الكشف في واقعة الاختراق عن أي أرقام للضمان الاجتماعي أو أرقام الحسابات المصرفية أو أرقام بطاقات الخصم.
وأعلنت أنه “طالب المتسللون بدفع مبلغ، مقابل البيانات المسروقة، مما دفع الشركة إلى إبلاغ سلطات إنفاذ القانون”. وعبر صفحة الدعم أوصت الشركة مستخدميها باستخدام المصادقة الثنائية لتأمين حساباتهم.
المصدر
سرقه أكثر من 55 مليون دولار من العملات المشفرة
بعد تعرض مطور bZx لهجوم تصيد احتيالي
7 نوفمبر 2021

نجح أحد المخترقين في سرقة الملايين من العملات المشفرة المختلفة، بعد تعرض أحد مطوري شركة “bZx” لعملية تصيد احتيالي.
قدرت شركة ” SlowMist”، وهي شركة أمنية، بأن إجمالي الخسارة (55) مليون دولار، حسبما ذكرت مدونة (The Block)، وهي مدونة تشفير.
أعلنت مدونة تشفير “The Block” أن إجمالي السحب هو مبلغ 55 مليون دولار، وأعلنت شركة Crypto bZx”” أن أحد المتسللين سرق الملايين من العملات المختلفة بعد أن وقع أحد مطوريها في عملية التصيد الاحتيالي. وتم نشر تفاصيل حسابات المتسللين، والتي تضمنت عملة إيثريوم Ethereum بقيمة إجمالية تبلغ 21 مليون دولار، وبالرغم من استمرار التحقق في الاختراق ، فإنه أثر على المقرضين والموزعين الذين لديهم أموال على منصتي”Polygon” و”Binance Smart Chain”.
فالتصيد الاحتيالي هو شكل من أشكال الجرائم الإلكترونية؛ حيث تطلب رسائل البريد الإلكتروني من مرسلين مزيفين معلوماتك الشخصية.
وأفادت شركة “bZx” أن الاختراق بدأ برسالة بريد إلكتروني تصيدية، تم إرسالها إلى جهاز الكمبيوتر الشخصي للمطور؛ حيث كان البريد الإلكتروني يحتوي على ملف ضار بداخل مستند Word مختفٍ كمرفق بريد إلكتروني شرعي، حيث قام بتشغيل نص على جهاز الكمبيوتر الشخصي الخاص بالمطور أدى ذلك إلى اختراق المحفظة الشخصية الخاصة به.
وتلقت الشركة، سلسلة من الإخطارات حول نشاط مشبوه، بما في ذلك المحفظة التي أبلغ عنها، وتتبعت الشركة محفظة المخترقين، ونشرت قائمة بالأرصدة، إلى جانب بعض المعاملات، على مدونتها. وقالت الشركة إنها ما تزال تعمل على تحديد المبلغ الإجمالي للأموال المسروقة، كما تعمل مع سلطات إنفاذ القانون لاستعادة الأموال والتعرف على المتسلل.
المصدر
شركة “Apple” تقاضي شركة “NSO Group” لبرامج التجسس الإسرائيلية
11نوفمبر2021

أطلقت شركة “Apple” دعوى قضائية ضد “”NSO Group، شركة برامج التجسس الإسرائيلية التي تم إدراجها مؤخرًا على القائمة السوداء من قبل إدارة “بايدن”؛ لعملها “المخالف للسياسة الخارجية ومصالح الأمن القومي للولايات المتحدة”.
تمثل هذه الخطوة تحولًا حادًا لشركة التكنولوجيا العملاقة، التي قللت سابقًا من التهديد الذي تشكله برامج التجسس، وتؤكد القلق والإحباط المتزايد بين شركات التكنولوجيا بشأن انتشار الهجمات ضد عملائها.
قالت شركة Apple”” في شكواها إن برنامج التجسس الذي يحمل توقيع NSO””، والذي يطلق عليه “Pegasus”، قد تم استخدامه “لمهاجمة عدد صغير من مستخدمي “Apple” في جميع أنحاء العالم ببرامج ضارة وبرامج تجسس.
تم عمل تحقيق في “NSO” بواسطة الجارديان ووسائل الإعلام الأخرى، بتنسيق من مجموعة وسائل الإعلام الفرنسية “Forbidden Stories”، بتوثيق العشرات من الأمثلة التي تم فيها استخدام برامج التجسس “NSO” لمهاجمة مستخدمي “iPhone” من “Apple”.
في بعض الحالات، تم استخدام ثغرة أمنية في خاصية “iMessage” الخاصة بالشركة، والتي يمكن أن تخترقها شركة Pegasus””، ضد الصحفيين ونشطاء حقوق الإنسان وغيرهم من أعضاء المجتمع المدني.
أعلن “إيفان كرستيتش”، رئيس أمن تكنولوجيا المعلومات بشركة Apple””، قائلًا: “تدير الشركة واحدة من أكثر العمليات الهندسية الأمنية تطورًا في العالم، وسنواصل العمل بلا كلل لحماية مستخدمينا من الجهات الفاعلة المسيئة مثل NSO Group”.
تسعى دعوى شركة Apple”” أيضًا للحصول على تعويضات من “NSO”؛ بسبب “الانتهاكات الصارخة المزعومة للقانون الفيدرالي وقانون الولاية في الولايات المتحدة، والناجمة عن جهودها لاستهداف “Apple” ومستخدميها ومهاجمتهم”.
وقال متحدث باسم “NSO Group” تم إنقاذ آلاف الأرواح حول العالم بفضل تقنيات مجموعة “”NSO التي يستخدمها عملاؤها؛ حيث يقدمون للحكومات الأدوات القانونية لمكافحة الإرهاب. وستستمر مجموعة “NSO” في الدفاع عن الحقيقة، وقد باعت الشركة برامج المراقبة الخاصة بها إلى المملكة العربية السعودية والمكسيك والإمارات العربية المتحدة ودول أخرى، ودافعت الشركة بأن أدوات المراقبة الخاصة بها تهدف إلى استخدامها من قبل عملائها للتحقيق في الجرائم الخطيرة والإرهاب، كما زعمت أنه ليس لديها معلومات حول كيفية استخدام أدواتها ضد الأهداف.
تم الاكتشاف أثناء فحص الباحثين الهاتف المحمول لناشط سعودي، ما دفع ذلك شركة “Apple” إلى إصدار تصحيح لإصلاح الثغرة الأمنية، كما أصرت الشركة على أن الهجمات كانت “تستهدف عددًا صغيرًا جدًا من المستخدمين”.
وجدير بالذكر أن شركة “”Apple ليست أول شركة تكنولوجيا أمريكية ترفع دعوى قضائية ضد NSO””، فقد تم رفع دعوى قضائية من قبل WhatsApp”” في عام 2019 بعد مزاعم باستخدام “Pegasus” لاستهداف 1400 من مستخدميها، بما في ذلك حوالي 100 فرد من الدبلوماسيين والمسؤولين الحكوميين والصحفيين والناشطين. وقد أعربت العديد من شركات التكنولوجيا الأخرى عن دعمها لتطبيق “WhatsApp” في المذكرات القانونية – بما في ذلك “Microsoft” و””Google و”Cisco” – لكن شركة “Apple” كانت غائبة بشكل ملحوظ عن دعم الشركة.
أعلنت وكالة “موديز” لخدمات المستثمرين أن شركة “NSO” تواجه خطرًا متزايدًا بالتخلف عن سداد ديون تبلغ حوالي 500 مليون دولار بعد قرار إدارة “بايدن” بإدراج الشركة في القائمة السوداء. وخفض التصنيف الائتماني للشركة بمقدار درجتين إلى Caa2، أو ثمانية مستويات أدناه.
المصدر
خرق بيانات “GoDaddy” كشف عن أكثر من مليون من بيانات عملاء “WordPress”
22 نوفمبر 2021

كشفت شركة استضافة المواقع العملاقة “GoDaddy” عن خرق للبيانات أدى إلى الوصول غير المصرح به إلى البيانات الخاصة يصل إلى 1.2 مليون عميل نشط وغير نشط، مما يجعله ثالث حادث أمني يتم الكشف عنه منذ عام 2018.
أعلن أكبر مسجل نطاقات في العالم أن طرفًا ثالثًا خبيثًا تمكن من الوصول إلى بيئة استضافة Managed WordPress بمساعدة كلمة مرور مخترقة، وذلك باستخدامها في الحصول على معلومات حساسة تتعلق بعملائها. وليس من الواضح على الفور ما إذا كانت كلمة المرور المخترقة مؤمنة بمصادقة ثنائية.
كشفت “”GoDaddy أنها اكتشفت عملية الاقتحام في 17 نوفمبر2021، وما يزال التحقيق في الحادث جاريًا، وقالت الشركة إنها “تتصل بجميع العملاء المتأثرين مباشرةً”، ويعتقد أن المعلومات التالية قد تم الوصول إليها من قبل المخترقين:
• عناوين البريد الإلكتروني وأرقام العملاء تصل إلى 1.2 مليون من عملاء “”WordPress المُدارين النشطين وغير النشطين.
• كلمة مرور المسؤول الأصلية Original WordPress Admin password.
• “sFTP” وقاعدة البيانات وأسماء المستخدمين وكلمات المرور المرتبطة بعملائها النشطين.
• مفاتيح خاصة “SSL private keys” لمجموعة فرعية من العملاء النشطين.
قالت الشركة إنها في طور إصدار شهادات جديدة وتثبيتها للعملاء المتأثرين، كإجراء احترازي، ذكرت الشركة أيضًا أنها أعادت تعيين كلمات المرور المتأثرة وتعزيز نظام التزويد الخاص بها بوسائل حماية أمنية إضافية.
وفقًا لما قاله “Mark Maunder”، الرئيس التنفيذي لشركة “Wordfence، قامت “GoDaddy” بتخزين كلمات المرور الخاصة بـ “SSH File Transfer Protocol- sFTP” دون تشفير “Plan Text”.
خروقات البيانات التي تكشف عن عناوين البريد الإلكتروني وكلمات المرور تمثل خطرًا لهجمات التصيد الاحتيالي، بالإضافة إلى تمكين المهاجمين من اختراق مواقع WordPress”” الضعيفة لتحميل البرامج الضارة والوصول إلى معلومات التعريف الشخصية الأخرى المخزنة فيها.
قد يكون اختراق البيانات في شركة استضافة الويب “”GoDaddy أعمق مما كانت الشركة مستعدة حتى الآن للاعتراف به، حيث إن العديد من الشركات التابعة لخدمات “”WordPress المُدارة للشركة، بما في ذلك “”123Reg و”Domain Factory” و”Heart Internet” و”Host Europe” و”MediaTemple” و”tsoHost” تم العثور عليها متأثرة.
المصدر
شاركبوت (SharkBot) – حصان طروادة جديد يعمل بنظام آندرويد (Android) يسرق الحسابات المصرفية والعملات المشفرة.
15 نوفمبر 2021

قام باحثو الأمن السيبراني بكشف الحقائق عن حصان طروادة جديد يعمل بنظام “Android” يستفيد من ميزات إمكانية الوصول على الأجهزة المحمولة لسحب بيانات الاعتماد من الخدمات المصرفية والعملات المشفرة في إيطاليا والمملكة المتحدة والولايات المتحدة.
تم تصميم البرنامج الضار، الذي أطلق عليه “SharkBot” لضرب مجموعه 27 هدفًا – بما في ذلك 22 بنكًا دوليًّا لم تتم تسميتها في إيطاليا والمملكة المتحدة، بالإضافة إلى خمسة تطبيقات للعملات المشفرة في الولايات المتحدة – على الأقل منذ أواخر أكتوبر 2021 ويُعتقد أنه في المراحل الأولى من تطورها، مع عدم وجود تداخلات مع تلك الموجودة في أية عائلة معروفة.
قال الباحثون “الهدف الرئيس من “”SharkBot هو بدء تحويل الأموال من الأجهزة المخترقة عبر تقنية أنظمة التحويل التلقائي (ATS) التي تتجاوز آليات المصادقة متعددة العوامل (مثل SCA).
“بمجرد تثبيت “SharkBot” بنجاح في جهاز الضحية، يمكن للمهاجمين الحصول على معلومات مصرفية حساسة من خلال إساءة استخدام خدمات إمكانية الوصول، مثل بيانات الاعتماد والمعلومات الشخصية والرصيد الحالي وما إلى ذلك، ولكن أيضًا لأداء الإيماءات على الجهاز المصاب”.
يتميز “SharkBot” أيضًا بالخطوات التي يتخذها للتهرب من التحليل والكشف، بما في ذلك إجراء فحوصات المحاكي، وتشفير الأوامر والتحكم في الخادم عن بعد، وإخفاء أيقونة التطبيق من الشاشة الرئيسة بعد التثبيت.
يتنكر SharkBot”” كمشغل وسائط أو بث تلفزيوني مباشر أو تطبيقات استعادة البيانات، مثل نظرائه من البرامج الضارة الأخرى “TeaBot” و”UBEL”، ويطالب بشكل متكرر المستخدمين الذين لديهم نوافذ منبثقة مخادعة لمنحه أذونات واسعة فقط لسرقة المعلومات الحساسة. ويتمثل الأمر في استغلال إعدادات إمكانية الوصول لتنفيذ هجمات تتيح للمشغلين “ملء الحقول تلقائيًّا في تطبيقات الخدمات المصرفية عبر الهاتف المحمول المشروعة وبدء عمليات تحويل الأموال من الأجهزة المعرضة للخطر إلى شبكة الأموال التي يتحكم فيها ممثل التهديد”.
وقال الباحثون إن اكتشاف “SharkBot” يُظهر “كيف أن البرامج الخبيثة المتنقلة تجد بسرعة طرقًا جديدة لأداء الاحتيال، في محاولة لتجاوز إجراءات الكشف السلوكية المضادة التي وضعتها عدة بنوك وخدمات مالية خلال السنوات الماضية، مع تجاوزها آليات المصادقة الثنائية التي وضعتها التطبيقات المصرفية”.
يتميز “”SharkBot أيضًا بالخطوات التي يتخذها للتهرب من التحليل والكشف، بما في ذلك إجراء فحوصات المحاكاة، وتشفير اتصالات الأمر والتحكم مع خادم بعيد، وإخفاء أيقونة التطبيق من الشاشة الرئيسة بعد التثبيت.
لم يتم الكشف عن أية عينات من البرامج الضارة على متجر “”Google Play الرسمي، مما يعني أن التطبيقات الضارة مثبتة على أجهزة المستخدمين إما عن طريق التحميل الجانبي أو الهندسة الاجتماعية.
المصدر
مخاطر و ثغرات أمنية تخص البرمجيات الأكثر استخدامًا وشيوعًا
ثغرة بجدران الحماية (firewalls) الخاصة بشركة “CISCO”
22 نوفمبر 2021

اكتشف باحث أمني ثغرة أمنية في منتجات جدار الحماية من “”Cisco يمكن استغلالها لتحقيق هجمات الحرمان من الخدمات (DoS).
تم العثور على الثغرة الأمنية التي تم تتبعها على أنها – CVE-2021-34704 – من قبل الباحث التقني “نيكيتا أبراموف” في (جدران الحماية) الخاصة بـ “”Cisco Adaptive Security Appliance ASA وCisco Firepower FTD””.
صرح “أبراموف” في بيان صحفي حول كيفية تعطيل العمليات التجارية إذا تم استغلال هذه الثغرة الأمنية، قائلًا:
“إذا عطل المتسللون تشغيل “Cisco ASA” و”Cisco FTD”، فستترك الشركة بدون جدار حماية ووصول عن بُعد (VPN). وإذا نجح الهجوم، فلن يتمكن الموظفون أو الشركاء البعيدون من الوصول إلى الشبكة الداخلية للمؤسسة، وسيتم تقييد الوصول من الخارج. وفي الوقت نفسه، سيؤدي فشل جدار الحماية إلى تقليل حماية الشركة، كل هذا يمكن أن يؤثر سلبًا على عمليات الشركة، ويعطل التفاعلات بين الإدارات، ويجعل الشركة عرضة للهجمات المستهدفة”.
ووفقًا لأبراموف، لا يحتاج المهاجم إلى امتيازات عالية أو وصول خاص لاستغلال الخلل، كل ما يتطلبه الأمر هو تكوين طلب بسيط، يكون فيه أحد الأجزاء بحجم مختلف عن المتوقع بواسطة الجهاز.
وسيؤدي التحليل الإضافي للطلب إلى buffer overflow/overrun)) تجاوز سعة الذاكرة المؤقتة؛ نظرًا لأن كمية البيانات الموجودة في الذاكرة المؤقتة تتجاوز سعته التخزينية، وسيتم بعد ذلك إيقاف تشغيل النظام المتأثر بشكل مفاجئ وإعادة التشغيل.
قال أبراموف: “إذا قام المتسللون بتعطيل عمل “Cisco ASA” و””Cisco FTD، فستترك الشركة بدون جدار حماية ووصول عن بعد (VPN)، وإذا نجح الهجوم، فلن يتمكن الموظفون أو الشركاء عن بعد من الوصول إلى الشبكة الداخلية للمؤسسة، وسيتم تقييد الوصول من الخارج. في الوقت نفسه، سيؤدي فشل جدار الحماية إلى تقليل حماية الشركة “.
حذرت شركة “Cisco” من اكتشاف العديد من الثغرات الأمنية في واجهة خدمات الويب الخاصة بـ “Cisco ASA” و””Cisco FTD، مما قد يسمح للمهاجمين غير المصرح لهم بتحقيق هجمات الحرمان من الخدمات (DoS).
أصدرت شركة “Cisco” تحديثات للبرامج تعالج هذه الثغرات الأمنية، لكن من الجدير بالذكر أنه لا توجد حلول بديلة مما يعني أنه سيتعين تثبيت تحديث البرنامج إذا كنت تمتلك جهازًا يعمل بنظام “”Cisco ASA أو “Cisco FTD”، ولهذا أوصت الشركة بتثبيت تحديثاتها في أسرع وقت ممكن لمنع الوقوع ضحية لأي هجمات محتملة تستغل هذه الثغرات الأمنية.
المصدر
13 ثغرة أمنية تؤثر على معدات سيمنز الطبية والصناعية
(NUCLEUS)
9 نوفمبر 2021

كشف باحثو الأمن عن مجموعة من 13 ثغرة أمنية تؤثر على مكتبة برامج سيمنز المضمنة في الأجهزة الطبية وأنظمة السيارات والأنظمة الصناعية.
تؤثر الثغرات الأمنية على (Nucleus NET) و(TCP/IP stack) المتضمن مع (Nucleus) وهو نظام تشغيل في الوقت الفعلي مملوك لشركة “”Siemens، والذي يعمل عادةً على لوحات نظام على شريحة (SoC) مضمنة داخل الأجهزة الطبية، والسيارات، والهواتف الذكية، وأجهزة إنترنت الأشياء، وPLCs الصناعية، وغيرها الكثير.
تم الكشف في تقرير من قبل “Forescout” و”Medigate Labs”، أنه يمكن استخدام تلك الثغرات للاستيلاء على المعلومات أو تعطيلها أو تسريبها من الأجهزة التي تعمل بإصدارات أقدم من Nucleus” RTOS”.
قال الباحثون إن أسوأ تلك الثغرات هي CVE-2021-31886، وهي مشكلة تنفيذ التعليمات البرمجية عن بُعد (RCE) التي حصلت على تصنيف نادر 9.8 من أصل 10، ويرجع ذلك أساسًا إلى شدتها.
نشرت “ICS-CERT” استشارة أمنية لزيادة الوعي بنقاط الضعف ( (NUCLEUS:13 بين المنظمات الأمريكية، بينما أصدرت شركة Siemens تحديثات أمنية عبر بوابة CERT الخاصة، لجميع عملائها.
المصدر
ثغرة في البنية التحتية للبريد الإلكتروني لمكتب التحقيقات الفيدرالي سمحت بإرسال تحذيرات كاذبة بالهجوم الإلكتروني إلى الآلاف
15 نوفمبر 2021

اعترفت الوكالة الأمريكية بأن إحدى الهجمات الإلكترونية ذات البرمجيات الخبيثة كانت قادرة على الوصول إلى خوادم مكتب التحقيقات الفيدرالي لإرسال رسائل بريد إلكتروني مزيفة من بنيتها التحتية بسبب أخطاء برمجية.
تم إرسال عشرات الآلاف من رسائل البريد الإلكتروني من عناوين مكتب التحقيقات الفيدرالي تحذر المستلمين من هجمات إلكترونية وشيكة.
وكان من بين المستهدفين الصحفي الاستقصائي “بريان كريبس”، الذي أشار إلى أن رؤوس رسائل البريد الإلكتروني “تشير إلى أنه تم بالفعل إرسالها من قبل مكتب التحقيقات الفيدرالي، ومن عنوان الإنترنت الخاص بالوكالة”.
ووفقًا لكريبس، فقد اتصل به فرد يُدعى “بومبورين”، والذي أعلن مسؤوليته عن الحادث وقال إنه استغل ثغرة أمنية في أنظمة مكتب التحقيقات الفيدرالي لتنفيذها.
قال “بومبورين”، وفقًا لكريبس: “كان بإمكاني استخدام هذا بنسبة 1000% لإرسال المزيد من رسائل البريد الإلكتروني ذات المظهر الشرعي، وخداع الشركات لتسليم البيانات وما إلى ذلك”.
أكد مكتب التحقيقات الفيدرالي في بيانه الصادر في 14 نوفمبر 2021 أن رسائل البريد الإلكتروني تم إرسالها من خادم شرعي بينما نشأ البريد الإلكتروني غير الشرعي من خادم يديره مكتب التحقيقات الفيدرالي، كان هذا الخادم مخصصًا لدفع الإخطارات ولم يكن جزءًا من خدمة البريد الإلكتروني الخاصة بمكتب التحقيقات الفيدرالي. ولم يكن أي فاعل قادرًا على الوصول إلى أي بيانات أو معلومات تحديد الهوية الشخصية على شبكة مكتب التحقيقات الفيدرالي أو اختراقها. بمجرد علمهم بالحادث، عالجوها بسرعة، وحذروا الشركاء لتجاهل رسائل البريد الإلكتروني المزيفة، وأكدوا سلامة شبكاتهم.
المصدر
الولايات المتحدة والمملكة المتحدة وأستراليا يحذرون من قراصنة إيرانيين يستغلون عيوب “Microsoft” و”Fortinet”
17 نوفمبر 2021
نشرت وكالات الأمن السيبراني من الولايات المتحدة والمملكة المتحدة وأستراليا تنبيهًا أمنيًّا مشتركًا لزيادة الوعي بالموجة المستمرة من الاختراقات التي نفذتها مجموعات القرصنة التي ترعاها الحكومة الإيرانية منذ بداية العام.
يأتي التقرير الاستشاري المشترك، الذي أعده مكتب التحقيقات الفيدرالي (FBI)، وفقًا لوكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA)، ومكتب التحقيقات والمركز الأسترالي للأمن السيبراني (ACSC) والمركز الوطني للأمن السيبراني في المملكة المتحدة (NCSC) بعد يوم واحد من نشر “”Microsoft لتقريرها الخاص حول هذه المسألة، والذي يوضح بالتفصيل زيادة في التعقيد وعدد الهجمات التي نفذتها الجماعات الإيرانية.
تحذر الاستشارات المشتركة من استغلال “”Fortinet و “Exchange” وتتضمن تفاصيل حول الهجمات التي استهدف خلالها قراصنة إيرانيون خوادم Fortinet”” وMicrosoft Exchange”” كطريقة لاختراق شبكات الشركات، وقدمت الوكالات الأربع أمثلة على الهجمات السابقة؛ حيث استخدمت الجماعات الإيرانية هاتين التقنيتين كنقطة دخول.
وكذلك يتضمن التقرير الاستشاري المشترك، المتاح على مواقع CISA”” و”ACSC”، تفاصيل حول التقنيات والأدوات التي استخدمها المتسللون الإيرانيون بعد اختراق خوادم “Fortinet” وExchange””، والأدوات التي استخدموها للتنقل عبر الشبكة. كذا أيضًا أنه في بعض الحالات، قامت المجموعات الإيرانية بنشر برامج الفدية داخل بعض الشبكات المخترقة، وتم استخدام سلالات متعددة، بما في ذلك بعض السلالات التي تم تطويرها داخليًّا.
كان تقرير Microsoft”” أكثر شمولًا من تنبيهات “FBI” و”CISA” و”NCSC” وACSC”” المشتركة ويركز على شرح كيف تطورت ست مجموعات إيرانية في السنوات الأخيرة لتصبح تهديدات شديدة التعقيد يمكن أن تنوع تقنياتها وتمتلك ترسانة واسعة من البرامج الضارة.
يتضمن ذلك استخدام البرامج الضارة للـ “desktop” والأجهزة المحمولة، ومساحات القرص، وبرامج الفدية، وتقنيات التصيد المتطورة، وهجمات القوة الغاشمة وكلمات المرور، وبعض حيل الهندسة الاجتماعية الأكثر تعقيدًا اليوم، واستغلال الشبكة.
المصدر
عيب أمني خطير في العديد من طرازات طابعات شركة HP
30 نوفمبر 2021

اكتشف باحثو الأمن السيبراني عن ثغرات أمنية عمرها ثماني سنوات تؤثر على 150 طابعة مختلفة متعددة الوظائف (multifunction printersMFP) من شركة “HP” والتي يمكن أن يسيء استخدامها أحد الخصوم للسيطرة على الأجهزة المعرضة للخطر، وسرقة المعلومات الحساسة، والتسلل إلى شبكات المؤسسات لشن هجمات أخرى.
تم اكتشاف نقطتي الضعف – اللتين يطلقان عليهما مجتمعتين Printing Shellz – وتم إبلاغ HP بهما بواسطة الباحثين في F-Secure Labs Timo Hirvonen وAlexander Bolshev في 29 أبريل 2021، مما دفع صانعي الكمبيوتر الشخصي إلى إصدار تصحيحات (Patches) في وقت سابق من هذا الشهر، وهي:
• 2021-39237 CVE-(درجة الخطورة 7.1) – وهي ثغرة أمنية تتسبب في الكشف عن المعلومات وتؤثر على طابعات HP LaserJet وHP LaserJet Managed وHPPageWide وHP PageWide Managed.
• 2021-39238 CVE-(درجة الخطورة 9.3) – ثغرة أمنية تعمل على تجاوز السعة المخزنة المؤقتة (buffer overflow) تؤثر على بعض منتجات HP Enterprise LaserJet وHP LaserJet Managed وHP Enterprise PageWide وHP PageWide Managed.
قال هيرفونين وبلشيف: “العيوب موجودة في لوحة اتصالات (communications board) الوحدة ومحلل الخطوط (font parser)”، “ويمكن للمهاجم أن يستغلها للحصول على حقوق تنفيذ الأكواد البرمجية، حيث يتطلب الأول وصولًا ماديًا بينما يمكن تنفيذ الأخير عن بُعد. وسيسمح الهجوم الناجح للخصم بتحقيق أهداف مختلفة، بما في ذلك سرقة المعلومات أو استخدام الجهاز المخترق كجسر للهجمات المستقبلية ضد أية منظمة”.
قد يتضمن سيناريو الهجوم الافتراضي استغلالًا لعيوب (Font parser) في مستند PDF ضار، ثم طباعة الملف باستخدام الهندسة الاجتماعية للهدف. بدلًا من ذلك، يمكن إغراء موظف من المنظمة الضحية لزيارة موقع ويب خطر، في عملية إرسال الثغرة إلى الطابعة متعددة الوظائف المعرضة للخطر مباشرةً من متصفح الويب فيما يُعرف باسم هجوم الطباعة عبر المواقع (cross-site printing attack).
ويوصي بشدة للمؤسسات التي تستخدم الأجهزة المتأثرة بالثغرة أن تثبت التحديثات والتصحيحات (Patches) بمجرد توفرها.
المصدر
معلومات للتوعية بأمن المعلومات
هجمات التصيّد الإلكتروني Phishing Attacks
التصيّد هو نوع من الهجمات الإلكترونية؛ حيث يُشكل المهاجم كيانًا أو شركة مرموقة من أجل خداع الأشخاص وجمع معلوماتهم الحساسة مثل بيانات بطاقة الائتمان وأسماء المستخدمين وكلمات المرور وما إلى ذلك؛ نظرًا لأن التصيد يتضمن التلاعب النفسي ويعتمد على العنصر البشري بدلًا من الأجهزة أو البرامج، فهو يعد نوعًا من هجمات الهندسة الاجتماعية.
شهد العام الماضي واحدة من أكبر هجمات التصيد الاحتيالي والهندسة الاجتماعية عبر التاريخ، وذلك عندما تم اختراق الموقع الشهير “تويتر” باستخدام التصيد عبر الهاتف؛ حيث تم خداع بعض الموظفين ومن ثم سرقة بيانات اعتمادهم، والتي استخدمت لاحقًا في الوصول إلى أنظمة الإدارة الداخلية.
تم اختراق عشرات الحسابات لأشخاص رفيعي المستوى، بما في ذلك حسابات الرئيس السابق “باراك أوباما”، والرئيس التنفيذي لشركة أمازون “جيف بيزوس”، و”إيلون ماسك”، الرئيس التنفيذي لشركة تيسلا وسبيس إكس.
ثم استخدم ممثلو التهديد الحسابات لعمل تغريدات خداعية والحصول على البيتكوين التي أكسبتهم أكثر من 100,000 دولار.
ويستمر هذا النوع من الهجمات في الفترة الأخيرة بصورة مكثفة على الشركات والبنوك والحكومات كما هو موضح بأخبار هذا الشهر.
أنواعه:
هناك العديد من أنواع التصيّد، ويتم تصنيفها عادةً حسب المستهدف وقوة الهجوم، فيما يلي بعض الأمثلة الشائعة:
Clone Phishing
يستخدم المهاجم بريدًا إلكترونيًا تم إرساله مسبقًا ويقوم بنسخ محتواه إلى محتوى مشابه يحتوي على رابط إلى موقع ضار. قد يدّعي المهاجم حينئذٍ أن هذا رابط محدث أو جديد، وقد يشير إلى أن الرابط القديم قد انتهت صلاحيته.
Spear Phishing
يستهدف هذا النوع من الهجوم شخصًا واحدًا أو مؤسسة. ويعد هجوم Spear أكثر تطورًا من أنواع التصيّد الأخرى؛ لأنه يحتوي على معلومات شخصية للضحايا وهذا يعني أن المهاجم يقوم أولًا بجمع معلومات عن الضحية مثل أسماء الأصدقاء أو أفراد العائلة ثم يقوم بناء على هذه البيانات ببناء رسالة تتمثل مهمتها الرئيسة في إقناع الضحية بزيارة موقع ويب ضار أو تنزيل ملف ضار.
Whaling
شكل من أشكال Spear Phishing والذي يستهدف الأشخاص الأثرياء والمهمين مثل المديرين التنفيذيين والمسؤولين الحكوميين.
Pharming
يقوم المهاجم بتزييف سجلات الـ DNS، والذي من الناحية العملية سيعيد توجيه زوار الموقع الشرعي إلى موقع احتيالي قام به المهاجم مسبقًا. وهذة تعد أخطر الهجمات لأن سجلات الـ DNS لا يتحكم بها المستخدم مما يجعله عاجزًا عن الدفاع ضده.
Vishing
يحدث التصيد الصوتي عندما يتصل مجرم إلكتروني برقم هاتف ويخلق إحساسًا متزايدًا بالإلحاح الذي يجعل الشخص يتخذ إجراءً ضد مصالحه الخاصة. وتحدث هذه المكالمات عادة في الأوقات العصيبة. على سبيل المثال، يتلقى العديد من الأشخاص مكالمات هاتفية مزيفة من أشخاص يزعمون أنهم من دائرة حكومية أو من مصلحة الضرائب، مما يشير إلى أنهم يريدون إجراء تدقيق ويحتاجون إلى رقم ضمان اجتماعي؛ لأن المكالمة تخلق شعورًا بالذعر والإلحاح، ومن هنا يمكن خداع الضحية لإعطاء معلومات شخصية.
Smishing
غالبًا ما يقوم المهاجمون بتطبيق هذا الخداع على عدد من تطبيقات المحادثات المختلفة، وذلك عن طريق إرسال نصوص تطلب من الشخص اتخاذ إجراء معين. في كثير من الأحيان، سيتضمن النص رابطًا، عند النقر عليه، يقوم بتثبيت برامج ضارة على جهاز المستخدم.
Angler phishing
أصبحت وسائل التواصل الاجتماعي موقعًا شائعًا آخر لهذا النوع من الهجمات، فيحدث هذا الهجوم عندما يستخدم مجرم الإنترنت الإخطارات أو ميزات المراسلة المباشرة في أحد تطبيقات الوسائط الاجتماعية لإغراء شخص ما لاتخاذ إجراءات معينة تستخدم فيما بعدد للهجوم.
Evil twin
يستخدم هذا النوع من التصيد نقطة اتصال WiFi مزيفة، مما يجعلها تبدو شرعية في كثير من الأحيان، والتي قد تعترض البيانات أثناء النقل. فإذا استخدم شخص ما نقطة الاتصال الوهمية، فيمكن للمهاجمين الضارين الانخراط في هجمات “Man in the Middle ” أو هجمات التنصت، ويتيح لهم ذلك جمع بيانات مثل بيانات اعتماد تسجيل الدخول أو المعلومات الحساسة المنقولة عبر الاتصال.
Email phishing
يُعرف أيضًا باسم “التصيد الاحتيالي للخداع”، وهو أحد أكثر أنواع الهجمات شهرة. ترسل الجهات الخبيثة رسائل بريد إلكتروني إلى المستخدمين الذين ينتحلون صفة علامة تجارية معروفة، والاستفادة من أساليب الهندسة الاجتماعية لخلق إحساس متزايد بالفورية ثم توجيه الأشخاص للنقر على رابط أو تنزيل ملف. وتنتقل الروابط تقليديًا إلى مواقع الويب الضارة التي إما أن تقوم بسرقة بيانات الاعتماد أو تثبِّت رموزًا ضارة، تُعرف بالبرامج الضارة، على جهاز المستخدم، والتنزيلات عادة ما يكون بها محتوى ضار مخزّن فيها يقوم بتثبيت البرامج الضارة بمجرد أن يفتح المستخدم المستند.
Website Redirects
عمليات إعادة توجيه مواقع الويب ترسل المستخدمين إلى عناوين ويب مختلفة عن التي يعتزم المستخدم زيارتها. ويمكن أن يستغل المهاجمون عمليات إعادة التوجيه ويقومون بتثبيت برامج ضارة على أجهزة المستخدمين.
The Watering Hole
في تلك الهجمات يقوم المهاجمون بتصنيف المستخدمين وتحديد المواقع التي يكثرون من زيارتها، ثم يقومون بفحص هذه المواقع؛ بحثًا عن أخطاء أو نقاط ضعف بها وإذا أمكن يقومون بإدخال نصوص برمجية ضارة مصممة لاستهداف المستخدمين في المرة القادمة التي يزورون فيها هذا الموقع.
Impersonation & Giveaways
انتحال شخصية من الشخصيات المؤثرة على مواقع التواصل الاجتماعي، وهو أسلوب آخر يستخدم في مخططات التصيّد. قد يقوم المهاجمون بانتحال شخصية القادة الرئيسين للشركات ومع الجمهور الذي يستلزم ذلك يقومون بالإعلان عن الهدايا أو أساليب خداع أخرى. وقد يتم استهداف ضحايا هذا الخداع بشكل فردي من خلال عمليات الهندسة الاجتماعية التي تهدف إلى العثور على المستخدمين السذج. وقد يخترق المهاجمون الحسابات الموثقة ويقومون بتعديل أسمائها لانتحال شخصية عامة حقيقية مع الحفاظ على علامة التوثيق (✓) ومن الأرجح أن يتفاعل الضحايا مع تقديم بياناتهم إلى شخصيات تبدو مؤثرة مما يخلق فرصة للمتصيدين لاستغلال معلوماتهم.
كيفية الحماية؟
مما سبق يتبين لنا أن التصيّد الإلكتروني والهندسة الاجتماعية هما محاولتان لخداع الأشخاص أو الجهات عن طريق انتحال شخصية أو جهة موثوقة بغرض حثهم على الإفصاح عن معلوماتهم الحساسة، مثل كلمة المرور، ورقم الهوية، ورقم البطاقة المصرفية، وغيرها؛ لاستخدامها بطرق غير قانونية قد تضرهم.
لا تقدم أبدًا معلومات شخصية بناءً على طلب بريد إلكتروني أو مكالمة هاتفية حول تحديث معلومات حساباتك الشخصية.
تحقق من صحة المعلومات المرسلة من صاحب الرسالة أو جهتها.
لا تثق بالروابط أو المرفقات في رسائل البريد الإلكتروني، ومرر مؤشر الماوس فوقها للتحقق من الوجهة الفعلية للرابط، حتى إذا كان الرابط من مصدر موثوق به وكذا أيضًا أرقام الهواتف المذكورة فيها.
اكتب عناوين مواقع الويب، بدلًا من استخدام الروابط من رسائل البريد الإلكتروني غير المرغوب فيها، واتصل بأرقام الهواتف المدرجة بها.
افحص الملفات قبل الضغط عليها ببرنامج مضاد الفيروسات.
اقرأ محتوى الرسالة بشكل جيد، واحذر الرسائل التي تحتوي على أخطاء إملائية أو نحوية أو معلوماتية.

