خلال الشهرين الماضيين، تعرضت شركات كبرى مثل "تيكتماستر" (Ticketmaster)، و"سانتاندير بنك" (Santander Bank)، و"آيه تي آند تي" (AT&T) لاختراقات أمنية ضخمة أسفرت عن تسريب مئات الملايين من سجلات العملاء. بينما كانت خروقات البيانات واسعة النطاق موجودة منذ أكثر من عقد، فإن هذه الحوادث الأخيرة تتميز بأنها مترابطة، حيث كانت جميع الشركات المستهدفة تستخدم خدمات شركة تخزين البيانات السحابية "سنو فليك" (Snowflake).
ما يثير القلق هنا هو أن هذه الخروقات لم تحدث نتيجة هجوم معقد أو متقدم على شركة سنو فليك نفسها، بل بسبب تمكن المهاجمين من الوصول إلى بيانات تسجيل الدخول لحسابات سنو فليك الخاصة بكل شركة ضحية. هذه السرقة، التي أثرت على ما لا يقل عن 165 عميلاً لشركة سنو فليك، تمت باستخدام برمجيات ضارة تعرف بـ"إنفو ستيلر" (InfoStealer).
"إنفو ستيلر" هي نوع من البرمجيات الخبيثة مصممة لجمع المعلومات الحساسة من الأنظمة المصابة. تستهدف هذه البرمجيات البيانات الشخصية والمالية والتجارية، بما في ذلك كلمات المرور وأرقام بطاقات الائتمان وسجل التصفح وغيرها من المعلومات القيمة. الهدف من "إنفو ستيلر" هو نقل هذه البيانات إلى مجرمي الإنترنت الذين يمكنهم استخدامها لتحقيق مكاسب مالية أو لسرقة الهويات أو للقيام بأنشطة غير قانونية أخرى.
عادةً ما تدخل هذه البرمجيات إلى الأنظمة من خلال رسائل البريد الإلكتروني الاحتيالية أو المرفقات الضارة أو المواقع الإلكترونية المخترقة. وبمجرد تثبيتها، تعمل في الخلفية دون أن تُكتشف بسهولة، مما يجعلها أكثر خطورة. تستخدم "إنفو ستيلر" تقنيات متنوعة لتجنب الاكتشاف والبقاء على الأجهزة المصابة لفترات طويلة، حيث يمكنها البحث عن أهداف قيمة أخرى على الشبكة وإعطاء المهاجمين القدرة على إصدار الأوامر عن بُعد.
تشارلز كارماكال، المدير التقني لشركة الأمن السيبراني "مانديانت" (Mandiant) المملوكة لشركة غوغل، يوضح أن برمجيات "إنفو ستيلر" لم تعد مقتصرة على مجرمي الإنترنت فقط، بل تستغلها أيضاً دول قومية، كما تُستخدم من قبل مجموعات القرصنة مثل "إيه بي تي 29" (APT29) الروسية وعصابات الجرائم السيبرانية مثل "لابسوس" (Lapsus) و"سكاترد سبايدر" (Scattered Spider). في أعقاب تعطل خدمات "كراود سترايك" (CrowdStrike) العالمية، قام هؤلاء المهاجمون بإنشاء نسخة جديدة من "إنفو ستيلر" بهدف استغلال حالة الفوضى.
كانت برمجيات "إنفو ستيلر" فعالة بشكل خاص في ظل الانتقال إلى العمل عن بُعد والعمل الهجين، حيث أصبح الموظفون يستخدمون أجهزتهم الشخصية للوصول إلى خدمات العمل. هذا الوضع خلق فرصاً لهذه البرمجيات لاختراق الأجهزة الشخصية والحصول على بيانات الاعتماد الخاصة بالشركات، مما يجعلها قادرة على تجاوز حمايات الشركات حتى على أجهزتها الخاصة، إذا ما كان الموظفون يستخدمونها أيضاً للوصول إلى حساباتهم الشخصية مثل البريد الإلكتروني أو وسائل التواصل الاجتماعي.
كارماكال يشير إلى أن المشكلة بدأت تتفاقم منذ عام 2020 عندما بدأ يرى المزيد من عمليات الاختراق التي تبدأ من الأجهزة المنزلية عبر التصيد الاحتيالي لحسابات مثل ياهو وجيميل وهوت ميل، وهي حسابات لا ترتبط عادةً بالاستهداف المؤسسي، ولكن تُستغل بشكل انتهازي.
فيكتوريا كيفيليفيتش، مديرة أبحاث التهديدات في شركة الأمن "كيلا" (KELA)، أكدت أن أكثر من 7 آلاف من بيانات الاعتماد المرتبطة بحسابات سنو فليك المخترقة تم تداولها على منصات الجريمة الإلكترونية وتطبيق تليغرام. في إحدى الحالات، كان مجرم يروّج للوصول إلى بيانات 41 شركة من قطاع التعليم، بينما زعم آخر أنه يبيع إمكانية الوصول إلى شركات أميركية تتراوح إيراداتها بين 50 مليون دولار و8 مليارات دولار، وفقاً لتحليل كيفيليفيتش.
تسلط هذه الأحداث الضوء على التحديات المستمرة التي تواجهها الشركات في مجال الأمن السيبراني، خاصةً في ظل التغيرات السريعة في بيئة العمل والتقنيات المستخدمة. يتعين على الشركات تعزيز دفاعاتها وتبني سياسات أمنية أكثر صرامة لحماية بياناتها الحساسة من هذه التهديدات المتزايدة.