جريدة تعليم
حصلت مصادر صحفية على تفاصيل حادثة الاختراق الإلكتروني لقواعد وبيانات أحد المراكز في جامعة الكويت والذي وقع مؤخرا، حيث أوصى التقرير بضرورة مراجعة المميزات الأمنية في جميع الأنظمة وخصوصا التابعة لـ «Active Directory» مع التأكد من وجود نسخ احتياطية سليمة وحديثة خارج النظم وحفظها في أماكن معزولة، ومراجعة صلاحيات المستخدمين وتغيير كلمات المرور بانتظام، بالإضافة الى تعطيل صلاحيات المسؤولين غير الضرورية للمستخدمين وتحديث الأنظمة مع فصل الاتصال بالإنترنت عن الخوادم والسماح بالاتصال بالشبكة الداخلية فقط.
وأشار التقرير إلى ان قسمي أمن المعلومات وتطوير وتحديث النظم بمركز نظم المعلومات وتقرير قسم نظم التشغيل أكدوا أن حادثة الاختراق تمت بأنظمة أحد المركز التابعة للجامعة، لافتا إلى انه لا يمكن استرجاع النسخ الاحتياطية للخوادم، حيث تم تشفير ملفات النسخ الاحتياطي، كما استطاع المخترق الدخول على الأنظمة والخوادم عن طريق اختراق HSC domain/Active directory وجميع الخوادم في المركز وتم عمل خوادم افتراضية حيث تحتوي هذه البيئة على 4 عقد تم اختراق الأول منها 1 Node وتم الوصول واختراق نظام النسخ الاحتياطي وتشفير جميع النسخ.
وبين التقرير ان هذا الاختراق يندرج ضمن ما يسمى بفيروس الفدية «BlackCat/ALPHv» وهو فيروس فدية مطور عن طريق لغة البرمجة RUST، حيث يستخدم عمليات برامج الفدية كخدمة «RaaS» وتشفير البيانات وقفل الملفات ويقوم بطلب مبالغ مالية لفك الشفرات ويقوم بإعادة تسمية الملفات المشفرة بإضافة نوع ملف hvrg91.
وجاء في التقرير انه تم اكتشاف الاختراق بعد وقوعه بـ 4 أيام، حيث قام الفيروس باقتحام النظم من خلال بيانات مستخدم مخترقة مسبقا واستغل صلاحيات Active Directory Administrator وإنشاء صلاحيات مجموعات GPO لنشر الفيروس، واستخدام مزيج من أوامر PowerShell scripts وأدوات Cobalt Strike وإيقاف الميزات الأمنية في الشبكة، مؤكدا ان جميع الملفات مشفرة ولا يمكن فتحها دون دفع فدية ومن الممكن انه تم تثبيت برامج سرقة كلمات المرور وبعض البرامج الخبيثة الأخرى مع فيروس الفدية.
وكشف التقرير عن وجود حسابات عديدة وغير محدثة لمسؤولي النظام وعدم وجود برامج حماية على الأجهزة، كما لم يتم تحديث الأنظمة لمنع الفيروس من تشفير المزيد من الملفات، داعيا الى إزالة الفيروسات من الأنظمة، مع العلم أن إزالتها لن تؤدي إلى استعادة الملفات المشفرة، والحل الوحيد استعادتها من النسخ الاحتياطية المتوافرة مسبقا والمخزنة في أماكن مختلفة، مطالبا بالاحتفاظ بنسخ احتياطية في مواقع مختلفة ومتعددة مثل أجهزة التخزين غير الموصولة، والخوادم البعيدة لتجنب فقدان البيانات الدائم.
«الأنباء»