رصدت شركة Oasis Security للأمن السيبراني حملة هجومية نشطة تعتمد على أسلوب حقن SQL، تنطلق من بنية تحتية للمهاجمين تقع في كندا، واستهدفت 35 موقعاً إلكترونياً حول العالم، وتمكّنت من اختراق ثلاث منظمات تعمل في قطاعات المدفوعات والعقارات وخدمات المطوّرين. وما يُميّز هذه الحملة عن موجات الاختراق العشوائي هو طابعها التنسيقي المتعمّد، إذ تدل الأدلة المرصودة على خطة هجومية محكمة وليس مجرد مسح عشوائي للثغرات.
حقن SQL: ثغرة قديمة لا تزال تُفتك بالمؤسسات
حقن SQL أو SQL Injection هو أسلوب هجومي يستغل ضعف التحقق من مدخلات المستخدم في تطبيقات الويب، إذ يحقن المهاجم تعليمات SQL خبيثة في حقول الإدخال لخداع قاعدة البيانات وتنفيذ أوامر غير مصرّح بها. ورغم أن هذا الأسلوب معروف منذ عقود، إلا أنه لا يزال يُمثّل أحد أبرز ناقلات الهجوم. هبط حقن SQL إلى المرتبة الخامسة في قائمة OWASP لأعلى عشر ثغرات خطورة لعام 2025، بعد أن كان في المرتبة الثالثة في إصدارات سابقة والأول عام 2017. ويعكس هذا التراجع جدوى الدفاعات المنهجية المعتمدة حديثاً، غير أنه لا يعني اختفاء التهديد.
والأخطر أن القطاع المالي يُمثّل هدفاً متميزاً لمثل هذه الهجمات. يظل حقن SQL ثغرة رائدة في تطبيقات الويب، إذ يتحمّل مسؤولية 23 بالمئة من المخاطر الحرجة على مستوى العالم، وتستهدف نسبة كبيرة منها المصارف والمؤسسات المالية. فضلاً عن ذلك، شهد قطاع الخدمات المصرفية والمالية ارتفاعاً بنسبة 149 بالمئة سنوياً في هجمات الثغرات الأمنية، مما يعكس أن منصات المصرفية الرقمية وأنظمة المدفوعات وبوابات العملاء لا تزال أهدافاً رئيسية للمهاجمين الساعين للوصول إلى البيانات المالية.
تفاصيل الحملة: ثلاث منظمات مؤكدة الاختراق
رصدت Oasis Security حملة SQL نشطة تعمل من خلال عنوان IP كندي، واستهدفت 35 موقعاً إلكترونياً، مع تأكيد استغلال حقن SQL الناجح وسرقة البيانات في ثلاث منظمات.
الضحية الأولى هي منصة معالجة مدفوعات عالمية تدعم معالجة بطاقات الائتمان والمدفوعات المحلية عبر ما يقارب 200 دولة ومنطقة. تمكّن المهاجم من حصر هيكل قاعدة البيانات الخلفية بنجاح، مما أكد اختراق قاعدة بيانات MySQL الأساسية، وأسفر عن استخراج ملف subscribers.csv يحتوي على سجلات مشتركين منظّمة، مما يُثبت قدرة القراءة من قاعدة البيانات عبر حقن SQL.
أما الضحية الثانية فهي منصة موجّهة للمطوّرين تعتمد تقنيات FastSpring. أثبتت سجلات التحقيق الناجح من الاختراق تعداد 61 جدولاً داخلياً في قاعدة البيانات، بما فيها قاعدة البيانات التشغيلية المُعرَّفة بـ ios، مما يُمثّل وصولاً مباشراً على مستوى قاعدة البيانات عبر حقن SQL.
والضحية الثالثة هي منصة خدمات عقارية مؤسسية متخصصة في إدارة الأصول والحلول العقارية. أكدت سجلات الاختراق تعداداً ناجحاً لقاعدة بيانات MySQL الخلفية، تضمّن تحديد اسم قاعدة البيانات وتعداد 56 جدولاً داخلياً، إلى جانب الكشف عن إصدار نظام إدارة قواعد البيانات.
الطابع الاستراتيجي للحملة يكشف عن نوايا مالية
ما يجعل هذه الحملة تستحق الاهتمام الاستخباراتي المتخصص هو ما يُشير إليه أسلوب تنفيذها. تدل الأدلة على مشغّل الجانب الهجومي على استغلال منسّق ومتعمّد بدلاً من المسح العشوائي للثغرات. وهذا التمييز جوهري في تقييم المخاطر، لأن الهجمات المنسّقة تدل على خصم يعرف ما يبحث عنه ولديه دوافع محددة لاستهداف قطاع المدفوعات تحديداً.
الانتهاك المؤكد لمنصات المدفوعات والخدمات المؤسسية، وهي قطاعات تتعامل مع بيانات مالية وبيانات عملاء حساسة، يُشير إلى أهداف مدفوعة مالياً مع احتمالية استغلال الوصول لاحقاً أو إعادة بيع البيانات المسرّبة.
ويستحضر هذا الاختراق سياقاً تاريخياً مثيراً للقلق، إذ سبق أن تسبّب حقن SQL في بعض أضخم الانتهاكات المالية في التاريخ. في عام 2009، اخترق المهاجمون شركة Heartland Payment Systems عبر ثغرة حقن SQL في موقعها الإلكتروني، ثم نشروا برمجيات خبيثة على شبكة معالجة المدفوعات، مما أسفر عن اختراق بيانات نحو 130 مليون بطاقة، وكلّف الشركة ما يتراوح بين 170 و200 مليون دولار.
تجدر الإشارة إلى أن المؤسسات المتضررة بحاجة ماسّة إلى مراجعة فورية لآليات التحقق من مدخلات المستخدم وتطبيق الاستعلامات المُعلَّمة، وهي الدفاع الأكثر فاعلية ضد هذا النوع من الهجمات، إلى جانب مراقبة مستمرة لأنماط استعلام قواعد البيانات للكشف المبكر عن أي نشاط غير مألوف.
