مهندسی اجتماعی عامل حمله باج‌افزاری به مارکس و اسپنسر

به گزارش کارگروه بین‌الملل سایبربان؛ شرکت بریتانیایی ام اند اس (M&S) تأیید کرد که شبکه این فروشگاه خرده‌فروشی در ابتدا در یک حمله جعل هویت پیچیده مورد نفوذ قرار گرفته که در نهایت منجر به حمله باج‌افزاری «DragonForce» شده است.

آرچی نورمن (Archie Norman)، رئیس مارکس و اسپنسر، این موضوع را در جلسه استماع با کمیته فرعی تجارت و بازرگانی پارلمان بریتانیا در مورد امنیت اقتصادی در مورد حملات اخیر به بخش خرده‌فروشی در این کشور فاش کرد.

نورمن بدون اشاره به جزئیات، اظهار داشت که عوامل تهدید، خود را به جای یکی از 50 هزار نفری جا زدند که با این شرکت کار می‌کردند تا یک نهاد شخص ثالث را برای تنظیم مجدد رمز عبور یک کارمند فریب دهند.

وی به نمایندگان مجلس توضیح داد:

«در مورد ما، ورود اولیه که در ۱۷ آوریل بود، از طریق چیزی که اکنون مهندسی اجتماعی نامیده می‌شود، رخ داد. تا جایی که من می‌توانم بگویم، این یک حسن تعبیر برای جعل هویت است؛ و این یک جعل هویت پیچیده بود. آنها فقط نیامدند و نگفتند که آیا رمز عبور من را تغییر می‌دهید. آنها به عنوان کسی با مشخصات خود ظاهر شدند. و بخشی از نقطه ورود نیز شامل یک شخص ثالث بود.»

همانطور که فایننشال تایمز در ماه می سال جاری گزارش داد، شرکت برون‌سپاری فناوری اطلاعات خدمات مشاوره تاتا (Tata Consultancy Services) تحقیقات در مورد اینکه آیا سهواً در حمله به ام اند اس دخیل بوده است یا خیر را آغاز کرده است. تاتا پشتیبانی میز کمک برای ام اند اس را ارائه می‌دهد و اعتقاد بر این است که توسط عوامل تهدید فریب خورده تا رمز عبور یک کارمند را بازنشانی کند که سپس برای نفوذ به شبکه مارکس و اسپنسر استفاده شده است.

برای اولین بار، مارکس و اسپنسر از گروه باج‌افزاری «DragonForce» به عنوان مهاجم بالقوه نام برد که گمان می‌رود از آسیا عملیات را انجام داده است.

شرکت اعلام کرد:

«اعتقاد بر این است که عامل حمله DragonForce باشد که به اعتقاد ما یک گروه باج‌افزاری مستقر در آسیا است.»

از زمان این حمله، بسیاری از رسانه‌ها به اشتباه یک گروه هکری معروف به «DragonForce Malaysia» را با گروه هکری DragonForce مرتبط دانسته‌اند. گمان می‌رود که این هکرها یک گروه طرفدار فلسطین باشند که در مالزی فعالیت می‌کنند، درحالی‌که گمان می‌رود گروه باج‌افزاری DragonForce در روسیه باشد. به گفته محققان، حمله به ام اند اس توسط عوامل تهدید مرتبط با «Scattered Spider» انجام شد که باج‌افزار DragonForce را در شبکه مستقر کردند.

این امر باعث شد که ام اند اس عمداً تمام سیستم‌های خود را برای جلوگیری از گسترش حمله خاموش کند.

با این حال، در آن زمان خیلی دیر شده بود، زیرا سرورهای «VMware ESXi» متعددی رمزگذاری شده بودند و منابعی گفتند که گمان می‌رود تقریباً ۱۵۰ گیگابایت داده به سرقت رفته باشد.

این عملیات باج‌افزاری از یک تاکتیک اخاذی دوگانه استفاده می‌کند که نه تنها شامل رمزگذاری دستگاه‌ها، بلکه شامل سرقت داده‌ها و تهدید به انتشار آنها در صورت عدم پرداخت باج است.

درحالی‌که کارشناسان اعلام کردند که داده‌ها در این حمله به سرقت رفته‌اند، DragonForce هیچ ورودی در سایت نشت داده‌های خود برای ام اند اس ثبت نکرد. این می‌تواند نشان دهد که این زنجیره خرده‌فروشی برای جلوگیری از نشت داده‌های سرقت شده، درخواست باج کرده است.

نورمن در پاسخ به سؤالاتی در مورد درخواست‌های باج در طول جلسات دادرسی، گفت که آنها در برخورد با عوامل تهدید، رویکرد عدم مداخله را در پیش گرفته‌اند.

او توضیح داد:

«ما خیلی زود تصمیم گرفتیم که هیچ‌کس در ام اند اس مستقیماً با عوامل تهدیدکننده برخورد نکند. احساس کردیم که کار درست این است که این کار را به متخصصانی که در این زمینه تجربه دارند، واگذار کنیم.»

نورمن احتمالاً به شرکت‌های مذاکره باج‌افزاری اشاره می‌کند که به شرکت‌ها کمک می‌کنند تا با عوامل تهدیدکننده مذاکره کنند و برای تسهیل پرداخت‌ها به بیت‌کوین دسترسی پیدا کنند.

وقتی صریحاً از نورمن پرسیده شد که آیا درخواست باج کرده‌اند یا خیر، او عنوان کرد که این جزئیات را به‌طور عمومی مطرح نمی‌کنند زیرا فکر نمی‌کنند که این به نفع عموم باشد، اما موضوع را به‌طور کامل با آژانس امنیت ملی و مقامات در میان گذاشته است.

گروه‌های باج‌افزاری به‌ندرت کاری را به‌صورت رایگان انجام می‌دهند و اگر داده‌ها دزدیده شده و تاکنون فاش نشده باشند، یا پرداختی انجام شده یا عوامل تهدیدکننده هنوز در حال مذاکره با ام اند اس هستند.