حذّرت شركة الأمن السيبراني Huntress من حادثة اختراق واسعة النطاق استهدفت أجهزة SonicWall SSL VPN، سمحت للمهاجمين بالوصول إلى بيئات عدد من عملاء الشركة في هجوم منسق يُظهر مستوى متقدمًا من التنظيم والسيطرة على بيانات الاعتماد الشرعية.
هجوم منسق باستخدام بيانات اعتماد صحيحة
ذكرت Huntress في تقريرها الصادر يوم الجمعة أن المهاجمين تمكنوا من تسجيل الدخول بسرعة إلى حسابات متعددة عبر أجهزة SonicWall المخترقة، مشيرة إلى أن سرعة الهجوم وحجمه الكبير يدلان على أن القراصنة يسيطرون على بيانات اعتماد صحيحة وليسوا بصدد تنفيذ هجمات تخمين كلمات مرور (Brute Force).
وأضافت الشركة أن النشاط الضار بدأ في 4 أكتوبر 2025، وقد طال أكثر من 100 حساب VPN عبر 16 عميلًا مختلفًا، وجميع محاولات الدخول الموثقة تقريبًا نشأت من عنوان IP واحد هو 202.155.8[.]73.
سلوك المهاجمين داخل الشبكات المستهدفة
تبيّن أن بعض المهاجمين اكتفوا بالدخول المؤقت دون تنفيذ أنشطة عدائية واضحة، ثم قطعوا الاتصال سريعًا، بينما قام آخرون بعمليات مسح شبكي (Network Scanning) ومحاولات للوصول إلى حسابات Windows محلية داخل الأنظمة الداخلية.
هذا السلوك المختلط يوحي بأن المهاجمين ربما يختبرون صلاحياتهم قبل تنفيذ خطوات تصعيدية، أو أنهم يتاجرون في بيانات الاعتماد المسروقة عبر أسواق الوصول غير المشروع.
اختراق سابق لخدمة النسخ الاحتياطي السحابي من SonicWall
جاء هذا الكشف بعد أيام من اعتراف شركة SonicWall بوقوع حادث أمني منفصل أدى إلى تسريب غير مصرح به لملفات نسخ احتياطي لإعدادات الجدران النارية (Firewall Configuration Backups) المخزنة في حسابات MySonicWall.
ووفقًا لتحديث الشركة، فإن الاختراق طال جميع العملاء الذين استخدموا خدمة النسخ الاحتياطي السحابي، وهي ملفات حساسة تحتوي على إعدادات المستخدمين والمجموعات والنطاقات وأسماء DNS والسجلات الرقمية والشهادات.
وحذّرت شركة Arctic Wolf من أن هذه الملفات تمثل كنزًا معلوماتيًا للجهات المهاجمة يمكن استغلاله لاختراق الشبكات مستقبلاً، لأنها تكشف تفاصيل دقيقة عن البنية الأمنية الداخلية للمؤسسات.
إجراءات استجابة وتوصيات عاجلة
رغم أن Huntress لم تجد بعد دليلًا مباشرًا يربط حادث تسريب النسخ الاحتياطي بالاختراق الحالي، فإنها دعت المؤسسات إلى اتخاذ إجراءات عاجلة، أبرزها:
-
إعادة تعيين بيانات الاعتماد على جميع أجهزة الجدار الناري العاملة.
-
تقييد إدارة الأجهزة عبر الإنترنت (WAN Management) وإلغاء أي وصول عن بُعد غير ضروري.
-
إلغاء مفاتيح API الخارجية المرتبطة بأنظمة الإدارة أو الجدران النارية.
-
مراقبة سجلات الدخول لرصد أي نشاط مريب.
-
تفعيل المصادقة متعددة العوامل (MFA) لجميع الحسابات الإدارية وحسابات الوصول البعيد.
صلة محتملة بحملات فدية Akira
يتزامن هذا الاختراق مع ارتفاع في نشاط هجمات الفدية التي تستهدف أجهزة SonicWall كنقطة دخول أولى، باستخدام الثغرة CVE-2024-40766، وهي ثغرة تم الكشف عنها سابقًا وتسمح بالوصول غير المصرح به إلى الشبكة.
وبحسب تقرير صادر عن شركة Darktrace هذا الأسبوع، فقد رُصدت حادثة تسلل إلى شبكة عميل أميركي في أغسطس 2025 تضمنت عمليات استطلاع وتحرك جانبي وتصعيد للامتيازات باستخدام تقنية “UnPAC the Hash”، تلتها عملية تهريب بيانات.
وكشفت التحقيقات أن أحد الأجهزة المخترقة كان خادم VPN تابعًا لـ SonicWall، ما يُشير إلى أنه جزء من حملة فدية أوسع يقودها مشغلو Akira لاستغلال هذه التقنية في الوصول إلى المؤسسات المستهدفة.
قراءة تحليلية في المشهد العام
تعكس هذه التطورات كيف باتت أجهزة الأمن نفسها — كالجدران النارية ووسائط VPN — أهدافًا رئيسية للهجمات السيبرانية، خصوصًا حين تُخزَّن بيانات الإعدادات في خدمات سحابية دون تشفير كافٍ.
كما تُبرز الحوادث الأخيرة هشاشة سلسلة الأمان السحابية (Cloud Supply Chain)، وتؤكد أن الاعتماد على النسخ الاحتياطية السحابية دون إدارة أمنية دقيقة قد يتحول إلى نقطة ضعف كارثية.
ويشير خبراء إلى أن موجة الهجمات الأخيرة تظهر تحول المهاجمين من استغلال الثغرات التقنية إلى استغلال الثغرات التشغيلية والتنظيمية، مع دمج أساليب كلاسيكية مثل التصعيد الداخلي والهجمات عبر بيانات الاعتماد المسروقة.
