برّمجيات الفدية تستغل مفاتيح AWS المسروقة لاختراق السحابة — تحوّل أحداث محلية إلى اختراقات سحابيّة

قراصنة يستغلون ثغرة Pandoc لaبرّمجيات الفدية تستغل مفاتيح AWS المسروقة لاختراق السحابة — تحوّل أحداث محلية إلى اختراقات سحابيّةاستهداف خدمة بيانات AWS وسرقة بيانات اعتماد IAM
برّمجيات الفدية تستغل مفاتيح AWS المسروقة لاختراق السحابة — تحوّل أحداث محلية إلى اختراقات سحابيّة
شارك هذا الخبر

أفاد تحليل ميداني أن مجموعات الفدية باتت تستغل مفاتيح برمجية (AWS access keys) مخزنة محلياً — خصوصاً في خوادم النسخ الاحتياطي مثل بيئات Veeam — للانتقال من حدث محلي إلى اختراق حسابات الضحية في Amazon Web Services. تستخدم الجهات المهاجمة أطر استغلال مخصّصة مثل Pacu لاستكشاف بيئة السحابة، تحويل الوصول، وسرقة البيانات من مخازن سحابية أو التحكم بطائرات العمل السحابية. Varonis+1

متجه الهجوم: من خوادم النسخ الاحتياطي إلى لوحة تحكّم السحابة

السيناريو النموذجي يبدأ بمطالبة مخترقة على المستوى المحلي — خادم نسخ احتياطي غير مضبوط، محطة عمل لمهندس متاحة بصلاحيات، أو حزمة برنامج طرف ثالث — حيث تُترك مفاتيح AWS على ملفات التكوين أو ضمن متغيرات بيئة قابلة للقراءة. عند سرقة هذه المفاتيح، يستعمل المهاجمون أدوات مثل Pacu لأتمتة اكتشاف الأدوار، السياسات، دلائل المخازن (S3)، والموارد الحساسة الأخرى، ثم يعيدون تهيئة الأذونات أو ينقلون بياناتاً خارجية، محولين حادثة محلية إلى اختراق سيطرة على “control plane” سحابي. تقارير المصنّعين ومورّدي الأمن تؤكد ازدياد حالات الاستهداف التي تبدأ عبر نظم النسخ الاحتياطي أو مكوّنات الطرف الثالث. Varonis+1

خلفية أثرية: لماذا أصبحت المفاتيح المحلية هدفاً قيّماً؟

عدة أسباب تفسّر التصاعد: أولاً، شركات كثيرة لا تطبّق إدارة مفاتيحٍ محكمة (Key Rotation) أو تخزيناً آمنًا للمفاتيح، مما يترك مفاتيح قديمة نشطة على خوادم أو نسخ احتياطية. ثانياً، أدوات الاختبار والهجوم على السحابة (مثل Pacu) مكّنت المهاجمين من تحويل مفاتيح بسيطة إلى اختراقات واسعة النطاق بسرعة. ثالثاً، اعتماد بيئات هجينة (on-prem إلى cloud) من دون فصل صريح للأدوار والأذونات سمح بانتقال الحركة الجانبية بسرعة — ما يحوّل اختراق محطة عمل محلية إلى فقدان بيانات على مستوى السحابة. تقارير تحليلية حديثة توثّق حالات واقعية لهذا النمط وتعرض دروس استجابة عملية. Varonis+1

تدابير وقائية وفنية مستعجلة للتخفيف والرد

  • إدارة المفاتيح والسياسات: اعتمدوا إدارة مفاتيح مركزية (Secrets Manager / IAM roles مع استخدام مؤقت للبيانات)، دوّروا المفاتيح تلقائياً واحذفوا المفاتيح غير النشطة. Varonis

  • عزل نسخ الاحتياطي: خصّصوا حسابات سحابيّة منفصلة لخدمات النسخ الاحتياطي بصلاحيات دنيا (least privilege) ومنع تخويل حسابات النسخ الاحتياطي للوصول الواسع إلى موارد الإنتاج. Veeam Software

  • كشف الأنماط السلوكية: نشر قدرات مراقبة تحكم السحابة (CSPM/DSPM) التي تكشف استخدام المفاتيح المشبوه خارج النِّطاق الطبيعي (geography, time, source IP) وإنذارات الوصول غير الاعتيادي. Varonis

  • مراقبة آليات التهيئة: فحص ملفات التهيئة على خوادم النسخ الاحتياطي ومحطات العمل بحثاً عن مفاتيح مخزنة بنص صريح أو متغيرات بيئة قابلة للقراءة، وتطبيق مسح دوري لملفات التكوين. Varonis

  • تعزيز الرصد والاستجابة: دمج تحليلات السجلات (CloudTrail، S3 access logs) مع أنظمة كشف الاستجابة لتسريع احتواء أي عملية تحرّك جانبي، وتجهيز خطط استجابة لحالات فقدان مفاتيح الوصول تشمل تدوير المفاتيح والتحقق من التغييرات على السياسات. Varonis

وسوم
محمد وهبى
محمد وهبى
المقالات: 551

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة