هجمات “سبايدر سكترد”.. كيف تخترق مجموعات القرصنة الأنظمة عبر خدمة الدعم الفني؟

في أعقاب الهجمات المروعة التي تعرضت لها سلاسل التجزئة البريطانية الكبرى مثل “ماركس آند سبنسر” و”كو-أوب”، برز اسم مجموعة القرصنة المعروفة باسم “سبايدر سكترد” (Scattered Spider) في الواجهة الإعلامية. هذه الهجمات التي تسببت في خسائر تقدر بمئات الملايين من الدولارات، كشفت عن نمط خطير من الهجمات الإلكترونية يعتمد على خداع فرق الدعم الفني في الشركات.

وتعتمد هذه التقنية – المعروفة باسم “احتيال الدعم الفني” (Help Desk Scams) – على الاتصال بفرق الدعم الفني للشركات مستخدمين أساليب هندسة اجتماعية متطورة. يبدأ الهجوم عادةً عندما يتصل القراصنة بمركز الدعم الفني مزودين بمعلومات شخصية أساسية (PII) تمكنهم من انتحال هوية الضحية، معتمدين في كثير من الأحيان على إتقانهم للغة الإنجليزية لإقناع موظف الدعم بمنحهم حق الوصول إلى الحسابات المستهدفة.

آلية العمل التفصيلية:

1. الاتصال بمركز الدعم: يستخدم المهاجم حجة مثل “لقد حصلت على هاتف جديد، هل يمكنك إزالة التحقق بخطوتين الحالي والسماح لي بتسجيل جهاز جديد؟”

2. التلاعب بعملية إعادة التعيين: بعد كسب ثقة الموظف، يطلب المهاجم إرسال رابط إعادة التعيين إلى بريد إلكتروني أو رقم هاتف يتحكم فيه.

3. السيطرة الكاملة: باستخدام وظيفة إعادة تعيين كلمة المرور الذاتية لأنظمة مثل Okta أو Entra، يحصل المهاجم على سيطرة كاملة على الحساب.

لماذا هذه الهجمات ناجحة؟

تكمن خطورة هذه الهجمات في عدة عوامل:

• التوحيد القياسي: معظم مراكز الدعم تستخدم نفس الإجراءات لجميع الحسابات دون تمييز

• استهداف الصلاحيات العليا: يركز المهاجمون على الحسابات ذات الصلاحيات الإدارية العليا

• صعوبة الاكتشاف: تظهر هذه الأنشطة كعمليات شرعية يقوم بها المديرون النظاميون

تاريخ من الهجمات الناجحة

رغم التركيز الإعلامي على الهجمات الأخيرة، فإن “سبايدر سكترد” تستخدم هذه الأساليب منذ عام 2022، حيث شملت ضحاياها:

• كايزرز بالاس (أغسطس 2023): اختراق قاعدة بيانات برنامج الولاء ودفع فدية 15 مليون دولار

• إم جي إم ريزورتس (سبتمبر 2023): سرقة 6 تيرابايت من البيانات وخسائر 100 مليون دولار

• نقل لندن (سبتمبر 2024): اختراق بيانات 5000 عميل وتعطيل الخدمات لشهور

إجراءات مقترحة للوقاية من مخاطر هذه الهجمات

تواجه المؤسسات تحديًا في موازنة بين تقديم خدمة دعم فني فعالة والحماية من هذه الهجمات. بعض الإجراءات المقترحة:

1. إجراءات التصعيد: طلب موافقة متعددة المستويات لإعادة تعيين حسابات الصلاحيات العليا

2. التحقق الشخصي: ضرورة الحضور الشخصي للتحقق في الحالات المشبوهة

3. تعليق الخدمة الذاتية: عند اكتشاف سلوك مشبوه

4. التدريب المستمر: توعية موظفي الدعم الفني بأساليب الهندسة الاجتماعية

التحديات التي تواجهها إجراءات الحماية:

• تبادل بطاقات SIM: يجعل إعادة الاتصال بالرقم المسجل غير كافٍ للحماية

• تكنولوجيا التزييف العميق: تقوض فعالية التحقق عبر الكاميرا

• طبيعة مراكز الدعم: تركيزها على تقديم المساعدة يجعلها عرضة للاستغلال

خارطة التهديدات الشاملة

لا تقتصر أساليب “سبايدر سكترد” على احتيال الدعم الفني، بل تشمل:

• التصيد الاحتيالي عبر البريد الإلكتروني والرسائل النصية

• تبادل بطاقات SIM لاختراق التحقق بخطوتين

• إغراق المستخدمين بطلبات التحقق (MFA Fatigue)

• اختراق مسجلي النطاقات للسيطرة على DNS

• استخدام أدوات متطورة مثل Evilginx لاختراق الجلسات

استراتيجية دفاعية شاملة

تحتاج المؤسسات إلى:

1. تعزيز المراقبة: خاصة في خدمات السحابة وSaaS

2. حماية بيئات VMware: التي تستهدفها المجموعة لنشر البرامج الفدية

3. تقييم سطح الهجوم: التركيز على الهويات أكثر من نقاط النهاية

4. اعتماد حلول متخصصة: مثل Push Security لاكتشاف الهجمات المعتمدة على الهوي