هجوم سيبراني على اللجنة الدولية: المعلومات التي نعرفها

هجوم سيبراني على اللجنة الدولية: المعلومات التي نعرفها

تبين للّجنة الدولية في 18 كانون الثاني/يناير أن الخوادم التي تأوي معلومات شخصية تخص أكثر من 500,000 شخص يتلقون خدمات من الحركة الدولية للصليب الأحمر والهلال الأحمر (الحركة) تعرضت للاختراق في هجوم أمني سيبراني معقد. ونحن نتعامل مع هذا الأمر بجدية فائقة ونعمل مع شركائنا في مجال العمل الإنساني حول العالم على فهم نطاق الهجوم واتخاذ التدابير المناسبة لحماية بياناتنا.
مقال 21 كانون الثاني/يناير 2022 سويسرا

تحديث: 15 شباط/فبراير 2022، الساعة 2 مساء بتوقيت وسط أوروبا

مرَّ ما يقرب من شهر منذ أن تبين لنا أن الخوادم التي تأوي بيانات شخصية تخص أكثر من 515,000 شخص حول العالم قد اُخترقت في هجوم سيبراني متطور. وبوسعنا الآن مشاركة بعض نتائج التحليل الذي أجريناه لهذا الاختراق للبيانات.

وما يدفعنا إلى مشاركة ما لدينا من معلومات حول هذا الاختراق هو شعورنا بالمسؤولية، بوصفنا منظمة إنسانية تخضع للمساءلة أمام شركائها والأشخاص الذين تخدمهم.

ما الذي جعل هذا الهجوم شديد التعقيد ومحدَّد الهدف؟

استخدم القراصنة موارد كبيرة للوصول إلى نظمنا واستخدموا أساليب لم تكن لترصدها معظم أدوات الكشف. وتوضح المعلومات التالية الطبيعة المعقدة والمحددة الهدف للهجوم:

  • استخدم المهاجمون مجموعة محددة للغاية من أدوات القرصنة المتقدمة المصممة للأمن الهجومي. ويستخدم هذه الأدوات في المقام الأول مجموعات التهديدات المستمرة المتقدمة، وهي غير متاحة لعموم الناس، وبالتالي فهي بعيدة عن متناول الجهات الفاعلة الأخرى.
  • استخدم المهاجمون تقنيات تشويش معقدة لإخفاء وحماية برامجهم الخبيثة. وهذا الإجراء يتطلب مستوى عاليًا من المهارات التي لا تكون متاحة فقط إلا لعدد محدود من الجهات الفاعلة.
  • تبين لنا أن الهجوم محدد الهدف، لأن المهاجمين أنشأوا بعض التعليمات البرمجية المصممة فقط لتنفيذ الهجوم على خوادم اللجنة الدولية المستهدفة. وتشير الأدوات التي استخدمها المهاجم صراحة إلى معرِّف فريد على الخوادم المستهدفة (عنوان الأجهزة الوسيطة الخاص بالمعرف MAC).
  • كانت أدوات مكافحة البرامج الضارة التي قمنا بتثبيتها على الخوادم المستهدفة مفعّلة وقامت باكتشاف وحظر بعض الملفات التي استخدمها المهاجمون. ولكن صُممت معظم الملفات الضارة التي تم نشرها خصيصًا بحيث تتخطى حلول مكافحة البرامج الضارة الخاصة بنا، ولم يتم اكتشاف هذا التسلل إلا عندما قمنا بتثبيت عوامل متقدمة لاكتشاف نقطة النهاية والاستجابة، في إطار برنامج التعزيز المخطط له.

متى اكتشفنا هذا الهجوم؟

رصدت شركة متخصصة في الأمن السيبراني تستعين بها اللجنة الدولية لدعمنا في حماية نظمنا نشاطًا غير طبيعي في خوادم اللجنة الدولية التي تحتوي على معلومات تتصل بخدمات إعادة الروابط العائلية العالمية التي تقدمها الحركة الدولية للصليب الأحمر والهلال الأحمر (الحركة). ثم قمنا بتحليل معمق للبيانات وتأكد لنا في 18 كانون الثاني/يناير أن قراصنة كانوا داخل نُظمنا ووصلوا إلى البيانات الموجودة فيها.

ما المدة التي قضاها القراصنة داخل نُظمنا؟

في هذه الحالة، رصدنا خللًا في نظامنا في غضون 70 يومًا من حدوث الاختراق وبدأنا على الفور في إجراء تحليل معمق للبيانات. وعلى هذا الأساس، تأكد لنا في 18 كانون الثاني/يناير أن خوادمنا قد تعرضت للاختراق. ويبين التحليل الذي قمنا به أن الاختراق وقع في 9 تشرين الثاني/نوفمبر 2021.

وعادة ما يستغرق اكتشاف اختراق بهذا الحجم والتعقيد وقتًا طويلًا. فعلى سبيل المثال، نعرف أن متوسط الوقت اللازم لاكتشاف اختراق في البيانات هو 212 يومًا

كيف تمكن القراصنة من الدخول إلى نُظمنا؟

تمكن القراصنة من الدخول إلى شبكتنا والوصول إلى نظمنا من خلال استغلال ثغرة أمنية خطيرة غير مسبوقة في وحدة المصادقة (CVE-2021-40539). تسمح هذه الثغرة الأمنية للجهات الفاعلة السيبرانية الخبيثة بوضع أدوات اختراق والقيام بأنشطة ما بعد الاستغلال مثل اختراق بيانات اعتماد المسؤول، وإجراء تحركات جانبية، ونسخ خلايا التسجيل وملفات Active Directory ونقلها خلسة. وتمكن القراصنة، فور دخول شبكتنا، من نشر أدوات أمنية هجومية سمحت لهم بالتستر كمستخدمين أو مسؤولين شرعيين. وهذا بدوره سمح لهم بالدخول إلى البيانات رغم تشفير هذه البيانات.

ما الخطأ الذي حدث في وسائلنا الدفاعية؟

عملية التصحيح (patching process) هي نشاط واسع النطاق لأي مؤسسة كبيرة، ونقوم سنويًا بتنفيذ عشرات الآلاف من عمليات التصحيح على مستوى جميع نُظمنا. وتطبيق عمليات التصحيح المهمة في الوقت المناسب أمر ضروري لأمننا السيبراني، ولكن لسوء الحظ، لم نطبق هذا التصحيح في الوقت المناسب قبل وقوع الهجوم.

لدينا في اللجنة الدولية نظام دفاع سيبراني متعدد المستويات يتضمن مراقبة نقطة النهاية وفحص البرمجيات وغيرها من الأدوات. وفي هذه الحالة، كشف التحليل الذي أجريناه بعد الهجوم أن عمليات وأدوات إدارة الثغرات الأمنية لم توقف هذا الاختراق. وأجرينا تغييرات فورية في كلا المجالين. وعلاوة على ذلك، نقوم بتسريع وتيرة الأنشطة المقررة أصلًا في إطار أحدث برامجنا لتعزيز الأمن السيبراني والذي أطلق في شباط/فبراير 2021، استجابة للتهديدات المتطورة باستمرار.

مَن الجهة التي نعتقد أنها تقف وراء الهجوم؟

لا يمكننا تأكيد من يقف وراء هذا الهجوم أو سبب تنفيذه، ولن ندلي بأي تكهنات في هذا الشأن. ولم يحدث أي اتصال بيننا وبين القراصنة ولم تُطلب فدية. وتماشيًا مع ممارستنا الدائمة المتمثلة في التعامل مع أي جهة فاعلة يمكنها تسهيل أو إعاقة عملنا الإنساني، نحن على استعداد للتواصل بشكل مباشر وسري مع الطرف المسؤول عن هذه العملية، أيًا كان هذا الطرف، لإقناعه بضرورة احترام عملنا الإنساني. ونكرر أيضًا نداءنا للقراصنة بعدم مشاركة هذه البيانات أو بيعها أو تسريبها أو استخدامها بأي طريقة أخرى.

ما الجهات التي نعمل معها فيما يخص هذا الحادث؟

نتعاون مع شركائنا الرئيسيين في مجال التكنولوجيا ومع شركات شديدة التخصص لمساعدتنا في ذلك. ومنذ بداية الأزمة، يتواصل مقر اللجنة في جنيف مع المركز الوطني للأمن السيبراني في سويسرا. والجمعيات الوطنية للصليب الأحمر والهلال الأحمر على تواصل مع السلطات الوطنية المُختصة.

ما المعلومات التي تم الوصول إليها؟

اخترقت عملية القرصنة معلومات شخصية تشمل أسماءً ومواقع ومعلومات اتصال تخص أكثر من 515,000 شخص من جميع أنحاء العالم. وتشمل فئات الأشخاص الذين استهدفهم الاختراق أشخاصًا مفقودين وعائلاتهم، ومحتجزين، وأشخاصًا آخرين يتلقون خدمات من حركة الصليب الأحمر والهلال الأحمر نتيجة تضررهم من النزاعات المسلحة أو الكوارث الطبيعية أو الهجرة. ولا نعتقد أنه من مصلحة الأشخاص الذين تخصهم هذه البيانات مشاركة المزيد من التفاصيل حول هوياتهم أو أماكن جودهم أو من أين يأتون.

هل تعرضت مجموعات البيانات للنسخ والتصدير؟

يجب أن نفترض حدوث ذلك. نعلم أن القراصنة كانوا داخل أنظمتنا ومن ثم كانت لديهم القدرة على نسخها وتصديرها. وهذه المعلومات على حد علمنا لم تُنشر أو تُتداول في الوقت الحالي. ونحن على ثقة فيما توصل إليه تحليلنا الأولي من أنه لم تُحذف أي بيانات في هذا الاختراق. وهي مسألة مهمة لأنها تتيح لنا إنشاء نظم مؤقتة للعودة إلى العمل على لمّ شمل أفراد العائلات.

هل وصلت البيانات إلى جهات أخرى، بما في ذلك على الإنترنت المظلم (dark web

ليس لدينا حاليًا أي دليل حاسم على أن المعلومات التي تم الوصول إليها في هذا الاختراق نُشرت أو يجري تداولها. ويتابع فريقنا المعني بالأمن السيبراني أي تقارير مزعومة بشأن نشر البيانات على الإنترنت المظلم (dark web).

ما مدى ثقتنا بأن القراصنة خرجوا من أنظمتنا؟

لقد فصلنا الخوادم المخترَقة عن الإنترنت بمجرد تأكدنا من وقوع الاختراق. ونحن متأكدون أن هذا الحادث لم يؤثر على خوادم أخرى لأننا نجزئ نُظُمَنا، ونراقب باستمرار البيئة العامة لرصد أي علامات وجود نشاط خبيث مستخدمين في ذلك أدوات متقدمة.

ما الإجراءات التي نتخذها في الوقت الحالي؟

ننسق مع الجمعيات الوطنية للصليب الأحمر والهلال الأحمر وبعثات اللجنة الدولية في الميدان لإبلاغ الأفراد والعائلات الذين تعرضت بياناتهم للاختراق، وهي عملية معقدة وستستغرق وقتًا. وتأتي على رأس أولوياتنا الفئات الأكثر عرضة للخطر. ويُنفَّذ بعض هذا الإجراءات عن طريق المكالمات الهاتفية والخطوط الساخنة والإعلانات العامة والرسائل، وفي بعض الحالات يتطلب الأمر من الفرق السفر إلى مجتمعات نائية لإبلاغ الناس شخصيًا. ونبذل قصارى جهدنا للاتصال بالأشخاص الذين يصعب الوصول إليهم مثل المهاجرين. ووضعنا أيضًا حلولًا بديلة تمكن فرق الصليب الأحمر والهلال الأحمر في جميع أنحاء العالم من الاستمرار في تقديم خدمات البحث عن المفقودين الأساسية للأشخاص المتضررين من هذا الاختراق، ونقوم في الوقت نفسه بإعادة بناء بيئة رقمية جديدة للوكالة المركزية للبحث عن المفقودين.

ما التغييرات التي سيتم إدخالها على بيئة الإنترنت الخاصة بالوكالة المركزية للبحث عن المفقودين قبل تشغيلها؟

تشمل التحسينات الأمنية عملية مصادقة ثنائية جديدة واستخدام حل متقدم للكشف عن التهديدات. ومن الشروط الأساسية لاستئناف الخدمات نجاح اختبارات الاختراق التي يتم إجراؤها خارجيًا على جميع التطبيقات والأنظمة.

لماذا لا نقدم المزيد من المعلومات التقنية عن الاختراق أو نُظمنا؟

نأخذ مسألة الأمن السيبراني على محمل الجد وقد خصصنا استثمارات كبيرة لهذا المجال على مدى سنوات طويلة. ويجب أن تستمر هذه الاستثمارات في مواجهة بيئة التهديدات المتطورة باستمرار. ولضمان أمن تطبيقاتنا وتماشيًا مع أفضل الممارسات في هذا القطاع، لن نكشف عن أي تفاصيل عن البنية التقنية أو الأمن التقني.

ما الذي ينبغي لي أن أفعله إذا اعتقدت أنه تم الوصول إلى بياناتي في الهجوم السيبراني؟

إذا لم تتلقوا أي اتصال منا في هذا الصدد ويساروكم القلق، فإننا نحثكم على التواصل مع جمعية الصليب الأحمر أو الهلال الأحمر المحلية أو مكتب اللجنة الدولية في بلدكم. وترد هنا قائمة بتفاصيل الاتصال. ووضعنا أيضًا مقالة بها أسئلة وأجوبة للأشخاص المتضررين بها مزيد من المعلومات. ندرك أنكم عهدتم إلينا بمعلومات شخصية وتفاصيل عن الأحداث المؤلمة التي تعرضتم لها في كثير من الأحيان في حياتكم. وهي مسؤولية لا نستخف بها. بل نريدكم أن تدركوا أننا نبذل قصارى جهدنا لاستعادة الخدمات التي نقدمها في جميع أنحاء العالم. وسنعمل كل ما في وسعنا من أجل أن نحافظ على ثقتكم، حتى يتسنى لنا مواصلة خدمتكم.