قالت منظمة الصليب الأحمر إن الهجوم بدأ في 9 نوفمبر / تشرين الثاني وشمل ثغرة أمنية في تجاوز المصادقة في Zoho ManageEngine ADSelfService Plus.
أصدرت اللجنة الدولية للصليب الأحمر (اللجنة الدولية) مزيدًا من التفاصيل حول الاختراق الذي اكتشفته الشهر الماضي ، حيث ربطت الحادث مرة أخرى بثغرة في المصادقة في تجاوز المصادقة في Zoho ManageEngine ADSelfService Plus ، وهي إدارة كلمات مرور الخدمة الذاتية وحل تسجيل الدخول الفردي.
تم تصنيف الثغرة الأمنية على أنها CVE-2021-40539 ، وقد تم تسليط الضوء عليها من قبل العديد من الشركات العام الماضي ، بما في ذلك Microsoft و Palo Alto Networks و Rapid7 . أصدرت كل من وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) والمكتب الفيدرالي الألماني لحماية الدستور (BfV) تحذيرات من أن مجموعات APT تستغل هذه المشكلة.
في تقرير استشاري مشترك من سبتمبر ، قالت CISA ومكتب التحقيقات الفيدرالي والقيادة الإلكترونية لخفر السواحل الأمريكية إن الجهات الفاعلة في APT قد استخدمت بالفعل CVE-2021-40539 لاستهداف "المؤسسات الأكاديمية ومقاولي الدفاع وكيانات البنية التحتية الحيوية في قطاعات صناعية متعددة - بما في ذلك النقل وتكنولوجيا المعلومات والتصنيع والاتصالات والخدمات اللوجستية والتمويل ".
في بيان يوم الأربعاء ، اعترفت اللجنة الدولية للصليب الأحمر بأنها فشلت في تطبيق التصحيح على CVE-2021-40539 قبل أن يتم الهجوم عليها في البداية في 9 نوفمبر ، بعد يوم واحد فقط من تحذير Microsoft من أن DEV-0322 ، مجموعة تعمل من الصين ، كانت استغلال الضعف.
"استخدم المهاجمون مجموعة محددة جدًا من أدوات القرصنة المتقدمة المصممة للأمان الهجومي. تُستخدم هذه الأدوات بشكل أساسي من قبل مجموعات التهديد المستمرة المتقدمة ، وهي غير متاحة للجمهور ، وبالتالي فهي بعيدة عن متناول الجهات الفاعلة الأخرى. استخدم المهاجمون تقنيات تشويش معقدة للإخفاء وحماية برامجهم الخبيثة. وهذا يتطلب مستوى عال من المهارات المتاحة فقط لعدد محدود من الجهات الفاعلة "، قالت اللجنة الدولية للصليب الأحمر.
"لقد قررنا أن الهجوم مستهدف لأن المهاجمين أنشأوا جزءًا من التعليمات البرمجية مصممًا فقط للتنفيذ على خوادم اللجنة الدولية المستهدفة. والأدوات التي يستخدمها المهاجم تشير صراحةً إلى معرف فريد على الخوادم المستهدفة (عنوان MAC الخاص به). - كانت أدوات البرامج الضارة التي قمنا بتثبيتها على الخوادم المستهدفة نشطة واكتشفت وحظرت بعض الملفات التي يستخدمها المهاجمون. ولكن معظم الملفات الضارة التي تم نشرها صُممت خصيصًا لتجاوز حلولنا لمكافحة البرامج الضارة ، وكان ذلك فقط عندما تثبيت عوامل متقدمة لاكتشاف نقطة النهاية والاستجابة لها (EDR) كجزء من برنامج التعزيز المخطط لدينا الذي تم اكتشاف هذا التطفل ".
وأضافت المنظمة أن CVE-2021-40539 يسمح للمتسللين الخبثاء بوضع قذائف الويب وإجراء أنشطة ما بعد الاستغلال مثل المساس ببيانات اعتماد المسؤول ، وإجراء الحركة الجانبية ، واستخراج خلايا التسجيل وملفات Active Directory.
بمجرد دخول المتسللين إلى أنظمة اللجنة الدولية للصليب الأحمر ، استخدموا أدوات أمنية هجومية أخرى لإخفاء هويتهم والتنكر كمستخدمين ومسؤولين شرعيين. قضى المتسللون 70 يومًا داخل نظام اللجنة الدولية للصليب الأحمر قبل اكتشافهم في يناير.
ولم تنسب اللجنة الدولية الهجوم لكنها قالت إنهم ما زالوا على استعداد للتواصل مع القراصنة. إنهم يعملون حاليًا مع المركز الوطني للأمن السيبراني (NCSC) في سويسرا وكذلك مع السلطات الوطنية في البلدان التي تعمل فيها الجمعيات الوطنية للصليب الأحمر والهلال الأحمر.
سرّب الاختراق أسماء 515000 شخص ومعلومات الاتصال الخاصة بهم ، وهم جزء من برنامج استعادة الروابط العائلية ، والذي يعمل على إعادة ربط الأشخاص المفقودين والأطفال بعائلاتهم بعد الحروب أو العنف أو غيرها من القضايا.
تتضمن المعلومات الشخصية الأسماء والمواقع والمزيد من الأشخاص المفقودين وعائلاتهم والأطفال غير المصحوبين أو المنفصلين عن ذويهم والمحتجزين وغيرهم من الأشخاص الذين يتلقون خدمات من حركة الصليب الأحمر والهلال الأحمر نتيجة للنزاع المسلح أو الكوارث الطبيعية أو الهجرة .
كما تم انتهاك معلومات تسجيل الدخول لحوالي 2000 موظف ومتطوع في الصليب الأحمر والهلال الأحمر.
وقالت اللجنة الدولية للصليب الأحمر إنها لا تزال في طور الاتصال بكل الأشخاص المتورطين في الاختراق ، مشيرة إلى أن العملية "معقدة وستستغرق وقتا".
"الأشخاص الأكثر تعرضًا للخطر هم أولويتنا القصوى. ويتم تنفيذ بعض ذلك من خلال المكالمات الهاتفية والخطوط الساخنة والإعلانات العامة والرسائل ، وفي بعض الحالات يتطلب الأمر من الفرق السفر إلى المجتمعات النائية لإبلاغ الأشخاص شخصيًا. جهود للاتصال بالأشخاص الذين يصعب الوصول إليهم ، مثل المهاجرين "، قالت اللجنة الدولية للصليب الأحمر ، مقدمة قائمة بتفاصيل الاتصال والأسئلة الشائعة لأولئك الذين قد يتأثرون.
"لقد طورنا أيضًا حلولًا بديلة تمكن فرق الصليب الأحمر والهلال الأحمر في جميع أنحاء العالم من مواصلة تقديم خدمات البحث الأساسية للأشخاص المتضررين من هذا الانتهاك بينما نعيد بناء بيئة رقمية جديدة للوكالة المركزية للبحث عن المفقودين."
وسلطت وزارة الخارجية الأمريكية الضوء على الهجوم في بيان صدر في وقت سابق من هذا الشهر ، ودعت الدول الأخرى إلى إثارة جرس الإنذار بشأن الحادث.
وأعربت اللجنة الدولية للصليب الأحمر عن قلقها من أن البيانات المسروقة سوف "تستخدم من قبل الدول أو الجماعات غير الحكومية أو الأفراد للاتصال أو العثور على أشخاص لإحداث ضرر". وقالت اللجنة الدولية للصليب الأحمر أيضًا إن الهجوم سيؤثر على قدرتهم على العمل مع الفئات الضعيفة من السكان الذين قد لا يثقون بهم بعد الآن في الحصول على معلومات حساسة.
وقالت المنظمة: "هذا الهجوم انتهاك صارخ لخصوصيتهم وسلامتهم وحقهم في تلقي الحماية والمساعدة الإنسانية".
"نحتاج إلى مساحة إنسانية رقمية آمنة وموثوق بها تكون فيها معلوماتنا التشغيلية ، والأهم من ذلك البيانات التي يتم جمعها من الأشخاص الذين نخدمهم ، آمنة. لقد انتهك هذا الهجوم تلك المساحة الإنسانية الرقمية الآمنة بكل الطرق."