في الأشهر الستة الأخيرة، أصبحت كلمة "Lapsus" بمثابة كابوس مرعب للعديد من شركات التكنولوجيا العريقة. نتحدث هنا عن مايكروسوفت، إنفيديا، أوكتا وسامسونج. Lapsus$ هي عصابة قرصنة حديثة المنشأ، تقوم باختراق بيانات الشركات ثم تقوم بابتزازها بنشرها على الإنترنت إن لم يدفعوا مبلغًا كبيرًا من المال، او يلبوا طلباتهم عامةً. ولكن كيف استطاعت هذه الفرقة من قرصنة جميع تلك الشركات بهذه السرعة؟وما هي التقنيات التي استخدمتها؟ وكيف لشركات متمكنة في عالم البرمجيات كمايكروسوفت أن تقع ضحية لهذه العصابة حديثة المنشأ؟

وزارة الصحة البرازيلية: نقطة الانطلاق

في ديسمبر 2021، أعلنت وزارة الصحة البرازيلية تعرض أنظمتها لعملية اختراق كبيرة مما أدى إلى توقفها كليًا عن العمل و بالتالي توقف برنامج التلقيح ضد فيروس كورونا و نظام منح الإفادات الرقمية للذين تلقوا اللقاح. لاحقُا، أعلنت Lapsus$ مسؤوليتها عن الاختراق وقامت بتنزيل رسالة على موقع الوزارة: "جميع بياناتكم نسخت و تم محوها، لاستعادتها تواصلوا معنا". ولكن لسوء حظ Lapsus$ فإن وزارة الصحة البرازيلية كان لديها نسخ احتياطية عن البيانات التي سرقت وأعادت تشغيل موقعها لاحقًا و أزالت رسالة الفدية؛ لكن هذا لم يردع Lapsus من تصعيد نشاطها السيبراني.

رسالة lapsus$ على موقع وزارة الصحة البرازيلية

هجمة شرسة على Nvidia ولكن انقلب السحر على الساحر!

صحيح أن Lapsus لم تحقق النتائج المتوقعة في أول اختراق لها لكنها لم تستسلم في الحقيقة فقد قامت بعكس ذلك تمامًا، ورفعت مستوى أهدافها، ليقع الخيار على إنفيديا الشركة الأكبر إنتاجًا لمعالجات الرسومات و بطاقات العرض، وخلال منتصف شهر فبراير من العام الحالي، تمكنت عصابة Lapsus من اختراق الشبكة الداخلية للشركة الأمريكية وسرقة حوالي 1 تيرابايت من البيانات الحسّاسة التي شملت كل المعلومات المتعلقة بأحدث وحدات معالجة الرسومات من قبل الشركة، بالإضافة إلى البيانات الخاصة بتسجيل الدخول لمعظم العاملين داخل الشركة، والشيفرة المصدرية.

لم تطلب عصابة Lapsus فدية مالية بشكل مباشر، وإنما طالبت -عبر قناتهم على تيليجرام- بتعطيل «معدل التجزئة» أو كما يعرف بـ "LHR" اختصارًا من جميع كروت الشاشة سلسلة 30 وهو خاصية تقيد بها الشركة عمليات تعدين العملات المشفرة، وهدّدت العصابة أنها ستسرب بيانات الشركة في حالة عدم الموافقة على طلباتهم.

"قررنا مساعدة مجتمع التعدين واللاعبين، ونريد أن تقوم إنفيديا بدفع تحديث لجميع البرامج الثابتة يزيل كل قيود LHT"

- تصريح عصابة Lapsus عبر تيليجرام

بعدها بفترة قصيرة وجدت العصابة أن الطلب الأول ليس كافيًا، فنشروا طلبهم الثاني المتمثل في نشر الكود المصدري لبرمجيات كروت الشاشة (GPU drivers) الخاصة بها على أنظمة ويندوز، لينكس وماك والاستمرار في نشرها مع التحديثات الجديدة، وهو طلب من الصعب تحقيقه ومن المؤكد أن إدارة الشركة لم تفكر حتى في تنفيذه.

فريق Lapsus يتعرض لهجمة مرتدة ويلوم إنفيديا عليها

من سخرية القدر أن يتعرض نفس الفريق إلى هجمة مضادة باستخدام فيروس الفدية تم فيها تشفير جميع الملفات التي تمت سرقتها من إنفيديا، اتهمت العصابة فورًا أن الضحية هي من وراء هذا الهجوم ووصفوهم "بالمجرمين"، وأكدوا أنه كان يوجد نسخة احتياطية من هذا الملفات "لحسن الحظ"!

شركة نيفيديا مجرمون!! قبل بضعة أيام أجرينا هجومًا على الشركة وسرقنا 1 تيرا بايت من البيانات السرية. استيقظنا اليوم لنجد أن هؤلاء الحـ**لـة قد هاجموا أجهزتنا باستخدام فيروس الفدية. لحسن الحظ كان لدينا نسخة احتياطية من هذه الملفات ولكن لماذا بحق اللعـ** يعتقدون أنه بإمكانهم الدخول إلى أجهزتنا الخاصة بهذه الطريقة!

فريق Lapsus يتعرض لهجمة مرتدة ويلوم إنفيديا عليها

Samsung: الضحية الثالثة لفريق Lapsus وتسريب الكود المصدري

من بعد قرصنة إنفيديا، اكتسبت عصابة Lapsus الكثير من الثقة و أصبحت معروفة كأخطر فريق قرصنة في الفترة الأخيرة، لذلك قررت رفع سقف أهدافها واستهداف الشركة الغنية عن التعريف "سامسونج" و تحديدًا في ليلة السادس من مارس 2022، حيث استفاقت سامسونج على أسوأ عملية قرصنة تتعرض لها في تاريخها، فتمكنت العصابة المجهولة من الحصول على حوالي 200 جيجابايت من البيانات التي تشمل الكود المصدري الخاص بتشفير الوظائف البيومترية لأجهزة سامسونج جالكسي!

على خلاف إنفيديا، لم تطلب العصابة من الشركة الكورية أي فديات، ونشرت الكود المصدري مباشرةً عبر قناتهم على تيليجرام، صرحت سامسونج أن هذا التسريب لا يشمل أي بيانات خاصة بالمستخدمين أو العاملين داخل الشركة.

الإنتقال إلى شركات الألعاب والهجوم على Ubisoft

بعد قرصنة سامسونج و إنفيديا، قررت عصابة القرصنة Lapsus تغيير هوية أهدافها نوعًا ما، وبدأت تسعى وراء شركات تطوير الألعاب تحديدًا يوبيسوفت، فبعد مرور أقل من أسبوع على قرصنة سامسونج، أعلنت يوبيسوفت عن تعرضها إلى عملية اختراق محدودة أدت إلى إبطاء نظام الألعاب و الخدمات، ولكن قاعدة بيانات المستخدمين و العاملين بقيت في منأى عن الاختراق. في بادئ الأمر لم تؤكد هوية الجهة المسؤولة عن الاختراق إلا بعد قيام العصابة بنشر رابط مقال مرفق بوجه مبتسم على حسابها في تيليجرام.

lapsus تنشر رابط مقال مرفق بوجه مبتسم على حسابها في تيليجرام

Okta وقائمة Lapsus تطول

في  22 من مارس الماضي أعلنت شركة "أوكتا" المتخصصة في مجال المصادقة والتحقق الرقمي عن تعرضها لعملية قرصنة جرت بتاريخ 21 يناير 2022، الأمر الذي دفع كبار الشركات كـمايكروسوفت وجوجل لأخذ احتياطاتهم القصوى بسبب اعتمادهم على أوكتا كأداة مصادقة رقمية، "إنه أمر جدًا محرج" هكذا وصف ديفيد برادبيري، مسؤول الأمن السيبراني لشركة أوكتا، الاختراق، وأضاف:

"شركتنا متخصصة بالأمن السيبراني و قد تعرضنا الى اختراق سيبراني،قمة الإحراج"

أما عن تفاصيل الاختراق، فقد تمكنت عصابة Lapsus أولًا بقرصنة حاسوب يخص أحد موظفي "Sitel" و هي شركة متعاقدة مع أوكتا و من خلال تقنية التحكم عن بعد استطاعت Lapsus$ الوصول إلى أنظمة أوكتا الداخلية و من بعدها قامت بمشاركة لقطات شاشة تخص الاختراق عبر تيليجرام.

Microsoft وتسريب الكود المصدري لمحرك بحث Bing

لعل اختراق مايكروسوفت هو الإنجاز الأكبر لهؤلاء القراصنة وهو السبب الرئيسي لشهرتهم ،في 22 مارس وكعادتها نشرت Lapsus عبر حسابها على تيليغرام ملفات بحجم 70 غيغابايت تحتوي على أجزاء من الكود المصدري لمحرك البحث الشهير "Bing" والمساعد الافتراضي "كورتانا"، لاحقًا و في اليوم ذاته أعلنت مايكروسوفت عن تعرضها لعملية قرصنة محدودة الخطورة من قبل مجموعة أطلقت عليها اسم "DEV-0537"، لكن فريق الأمن السيبراني تصدى بسرعة لهذا الهجوم وقام بتعطيل اختراقهم وسد الثغرة الأمنية بوقت سريع. ولحسن الحظ لم يشمل هذا التسريب أي ملفات تتعلق بأنظمة ويندوز.

المفاجأة الكبرى

في 24 مارس من هذا العام ألقت الشرطة البريطانية في لندن  القبض على سبع مراهقين بتهمة شبهة الصلة بمجموعة القرصنة Lapsus. تم تثبيت التهمة على اثنين منهم و أفرج عن البقية، لم تُنشر أسماؤهم كونهم قاصرين ويبدو أن هؤلاء تم فضحهم من قبل قراصنة منافسين، وحسب ما ورد في موقع زا فيرج أن أحد هؤلاء المراهقين قام بشراء موقع Doxbin المخصص لمشاركة ملفات و معلومات شخصية تتعلق بأفراد وشركات لأغراض متعلقة بالقرصنة ويبدو أن هذا الشخص لم يحسن إدارة هذا الموقع لذلك قام بإعادة بيعه مع كامل قاعدة البيانات إلى تيليجرام الأمر الذي أثار غضب المستخدمين الذين قاموا بالتبليغ عنه، كما أشارت بعض المصادر إلى احتمال كبير أن بقية عناصر Lapsus متواجدون في البرازيل وأن نشاطهم السيبراني لم يتوقف بعد.    

لا يمكن اعتبار Lapsus قراصنة فدية والسبب

قراصنة الفدية عادةً يقومون برفع فيروس الفدية (Ransomware) على جهاز الضحية و من بعدها يتم تشفير  جميع ملفاته الشخصية ولا يستطيع فك التشفير  إلا من بعد دفع الفدية مقابل الحصول على مفتاح التشفير بينما Lapsus لا تعتمد هذا الأسلوب بل تقوم بسرقة ملفات مباشرةً من جهاز الضحية من دون رفع أي فيروس من بعدها تبتز ضحيتها بنشر الملفات على الويب في حال لم يتم دفع المال.

وفي النهاية، فنحن لا يمكننا تجاهل الشبه الواضح بين قصة فريق Lapsus وفيلم Hackers (1995) الذي كان يحكي قصة مجموعة من المراهقين الذين استهدفوا الشركات الكبرى كذلك، ولكن لم تكن النهاية في صالحهم حقًا، فهل يكون الأمر مشابهًا لعصابتنا المجهولة؟

فيلم Hackers 1995

الرحلة لم تنته بعد

مؤخرًا، على الرغم من توقيف عنصرين منها أعلنت Lapsus عودتها من الإجازة و للتأكيد على كلامها قامت بنشر لقطات شاشة لملفات بحجم 70 غيغابايت تزعم فيها أنها قرصنتها من شركة”Globant” العالمية المتخصصة في تطوير البرامج والتطبيقات،هذه الأخيرة صرحت ببيان أنها تعرضت لعملية قرصنة محدودة أدت إلى تسريب جزء محدود من الكود المصدري لبعض البرامج التي قامت بتطويرها نافيةً تعرض أنظمتها الداخلية إلى أضرار نتيجة الاختراق.

ولكن إلى أين تتوجه الرحلة؟

بات من المعروف أن Lapsus هي فرقة قرصنة عالمية، و أن أعضاءها منتشرون في أكثر من دولة، ومن الواضح أيضًا أن نشاطها السيبراني لن يتوقف في القريب العاجل؛ ولكن يبقى السؤال: ما هو الهدف وراء كل ذلك؟ هل تسعى وراء الشهرة؟لقد حققتها مسبقًا، أم أن لها أهدافًا أبعد من ذلك؟