در شرایطی که غولهای فناوری طی سالهای اخیر میلیاردها دلار صرف توسعه سامانههای امنیتی، زیرساختهای Zero Trust و مکانیزمهای احراز هویت چندمرحلهای کردهاند، موج تازه حملات گروه بدنام ShinyHunters بار دیگر یک واقعیت قدیمی را یادآوری کرده است؛ اینکه در عصر سرویسهای ابری، ضعیفترین حلقه امنیت همچنان انسان و تنظیمات اشتباه است.
طی ماههای اخیر نام دهها شرکت بزرگ، پلتفرم آموزشی، سرویس ابری و حتی سازمانهای دولتی در گزارشهای مرتبط با این گروه هکری دیده شده است: از Google، Salesforce و Rockstar Games گرفته تا دانشگاهها، شرکتهای بیمه و سرویسهای تحلیل داده.
آنچه این موج هک را از حملات کلاسیک باجافزاری متمایز میکند، شیوه عملیات آن است؛ حملاتی که در بسیاری موارد بدون بدافزار، بدون Exploit پیچیده و حتی بدون نفوذ مستقیم به شبکه داخلی قربانیان انجام شدهاند.
گزارش رسانه تخصصی BankInfoSecurity نشان میدهد بخش قابلتوجهی از افزایش نشت اطلاعات در سال ۲۰۲۶ به کمپینهای مرتبط با ShinyHunters نسبت داده میشود؛ گروهی که حالا تمرکز خود را از هک سنتی به سوءاستفاده از سرویسهای SaaS، توکنهای هویتی و زیرساختهای ابری منتقل کرده است.
الگوی خاص ShinyHunters در باجگیری، اینبار با رویکردی تازه
آنطور که reco.ai میگوید، گروه ShinyHunters نخستین بار در سال ۲۰۲۰ با انتشار دیتابیسهای عظیم سرقتی و فروش اطلاعات کاربران شرکتهایی مانند Tokopedia، Wattpad و Mathway شناخته شد. این گروه خیلی زود به یکی از فعالترین بازیگران انجمنهای زیرزمینی فروش داده تبدیل شد؛ گروهی که برخلاف باجافزارهای سنتی، تمرکز اصلیاش روی سرقت اطلاعات و اخاذی از طریق تهدید به افشای عمومی دادهها بود.
اما نسخه امروزی ShinyHunters تفاوت مهمی با گذشته دارد. مهاجمان حالا کمتر سراغ نفوذ مستقیم به سرورها میروند و تمرکز خود را روی سرویسهای ابری، سامانههای SaaS، دسترسیهای OAuth و حملات مهندسی اجتماعی گذاشتهاند؛ مدلی که به گفته کارشناسان امنیتی، شناسایی و مقابله با آن بسیار دشوارتر از حملات سنتی است.
تیم اطلاعات تهدید گوگل (GTIG) در گزارشی اعلام کرده مهاجمان در برخی عملیاتها حتی با تماس تلفنی و جعل هویت تیم IT سازمانها، کارکنان را متقاعد کردهاند فرآیند MFA را مجدداً ثبت کنند یا اطلاعات ورود خود را در صفحات جعلی وارد کنند.
همین مسئله باعث شده بسیاری از تحلیلگران، موج اخیر را یکی از بزرگترین نمونههای موفق حملات «Identity-Centric» در سالهای اخیر بدانند؛ حملاتی که هویت دیجیتال کاربران را هدف میگیرند، نه صرفاً شبکه و سرورها را.
پلتفرم بزرگ Salesforce؛ نقطه شروع بحران
مرکز ثقل بخش بزرگی از حملات اخیر، پلتفرم Salesforce Experience Cloud بوده است. بستری که هزاران شرکت دنیا برای مدیریت مشتریان، پورتالهای خدماتی و سامانههای سازمانی از آن استفاده میکنند.
بر اساس گزارشها، مهاجمان در بسیاری از موارد از تنظیمات اشتباه «حالت مهمان» این پلتفرم سوءاستفاده کردهاند. نکته عجیب و اشتباه فاحش تیم امنیت SaleForce آن بوده که این دسترسیها در برخی پیادهسازیها امکان مشاهده بخشی از دادهها را بدون احراز هویت فراهم میکرده است.
گروه ShinyHunters مدعی شده صدها وبسایت و دهها سازمان بزرگ را هدف قرار داده و موفق به استخراج حجم عظیمی از دادهها شده است. هرچند همه این ادعاها بهصورت رسمی تأیید نشده، اما واکنش سریع شرکتها نشان میدهد دامنه تهدید بسیار گسترده بوده است.
در میان نامهایی که در گزارشها یا ادعاهای مهاجمان مطرح شدهاند، شرکتهایی مانند Google، Okta، LastPass، AMD، Sony و Snowflake دیده میشوند؛ فهرستی که نشان میدهد مهاجمان مستقیماً سراغ زیرساخت شرکتهایی رفتهاند که خود بخشی از ستون فقرات اکوسیستم فناوری جهان محسوب میشوند.
Salesforce اما در بیانیه رسمی خود تأکید کرده که مسئله به «آسیبپذیری ذاتی پلتفرم» مربوط نیست و ریشه آن را در تنظیمات اشتباه مشتریان میداند.
باید این نکته را اضافه کنیم که برای بسیاری از شرکتها و تحلیلگران تفاوتی ندارد مشکل از پلتفرم بوده یا از پیکربندی مشتری. در واقع نتیجه نهایی در هر دو حالت یکسان بوده و شاهد این هستیم که میلیونها رکورد اطلاعاتی در معرض افشا قرار گرفتهاند.
وقتی Google هم قربانی میشود
یکی از مهمترین بخشهای این پرونده، تأیید رسمی نفوذ به محیط Salesforce گوگل بود؛ اتفاقی که نشان داد حتی شرکتهایی با پیچیدهترین ساختارهای امنیتی نیز میتوانند از طریق زنجیره سرویسهای ابری آسیبپذیر شوند.
گوگل اعلام کرد مهاجمان موفق شدهاند به بخشی از اطلاعات مشتریان دسترسی پیدا کنند. البته این شرکت تأکید کرده که دادههای بسیار حساس یا رمزهای عبور در میان اطلاعات افشاشده نبوده و درز نکردهاند.
اما فارغ از مسائل فوق، اهمیت این حادثه بیشتر از حجم دادههای سرقتی، در پیام امنیتی آن است. تا همین چند سال پیش تصور میشد شرکتهایی مانند گوگل بهواسطه معماری امنیتی چندلایه، تقریباً نفوذناپذیر هستند؛ اما موج جدید حملات نشان میدهد در عصر SaaS، امنیت دیگر فقط به زیرساخت داخلی وابسته نیست و زنجیره تأمین ابری میتواند به نقطه شکست تبدیل شود.
Rockstar Games؛ کابوس نشت اطلاعات ادامه دارد
جالب است که نام Rockstar Games نیز بار دیگر در فهرست قربانیان دیده میشود. این شرکت که هنوز تبعات نشت تاریخی اطلاعات GTA VI را پشت سر نگذاشته باید برای موج جدیدی از افشاهای اطلاعاتی پیرامون محصولاتش آماده شود.
گزارشها حاکی از آن است که مهاجمان پس از دسترسی به بخشی از دادههای داخلی شرکت، Rockstar را تهدید کردهاند در صورت عدم پرداخت، اطلاعات را منتشر خواهند کرد.
هرچند جزئیات کامل حادثه منتشر نشده، اما این اتفاق بار دیگر نگرانیها درباره امنیت صنعت بازیسازی را افزایش میدهد. در این صنعت ویژه که امروزه میلیاردها دلار دارایی محرمانه، فایلهای توسعه و اطلاعات کاربران روی سرویسهای ابری نگهداری میشود، لو رفتن اطلاعات و زیرساختها حتی از خروج مهندسان شرکت نیز مهمتر است.
اطلاعات دانشگاهها و میلیونها دانشجو در معرض خطر
در کنار اسامی شرکتهای بزرگ اما اتفاق نگرانکنندهتری نیز وجود دارد. گروه ShinyHunters مدعی این شده که به زیرساختهای داده شرکت Instructure که یکی از شرکتهای بزرگ جهانی در حوزه ساخت پلتفرم آموزشی و توسط بستر محبوب این حوزه یعنی Canvas است نفوذ کرده است.
باید اشاره کنیم که هزاران دانشگاه و مؤسسه آموزشی در سراسر جهان از آن استفاده میکنند و اطلاعات میلیونها دانشجو در سراسر دنیا در این سیستم درج شده است.
گزارشها میگویند مهاجمان به حجم عظیمی از دادههای آموزشی، پیامها و اطلاعات کاربران دسترسی پیدا کردهاند و احتمالاً میلیونها دانشجو و استاد تحت تأثیر این حادثه قرار گرفتهاند.
اگرچه شرکت Instructure اعلام کرده شواهدی از افشای رمزهای عبور یا اطلاعات مالی پیدا نشده، اما متخصصان امنیت هشدار میدهند همین دادههای ظاهراً عادی نیز میتوانند برای اجرای حملات فیشینگ هدفمند در مقیاس وسیع مورد استفاده قرار گیرند. نکته نگرانکننده این است که این حملات این بار نه فقط شرکتها، بلکه کاربران عادی را هدف خواهند گرفت.
پایان عصر «هک کلاسیک»؟
شاید مهمترین پیام موج جدید حملات ShinyHunters این باشد که امنیت سایبری وارد مرحله تازهای شده است؛ مرحلهای که در آن دیگر نیازی به Exploitهای پیچیده یا بدافزارهای چندلایه نیست.
در بسیاری از این حملات هیچ سروری هک نشده، هیچ آسیبپذیری روز صفر پیچیدهای بهکار نرفته و حتی در برخی موارد مهاجم تنها با یک تماس تلفنی یا سوءاستفاده از یک توکن OAuth به دادههای سازمانی دست پیدا کرده است.
همین موضوع باعث شده این نظریه مطرح شود که دنیای سایبری وارد دورهای شده که در آن «هویت دیجیتال» مهمترین سطح حمله محسوب میشود؛ دورهای که یک تنظیم اشتباه در پنل ابری یا اعتماد به یک کارمند خسته از ساعت کاری میتواند امنیت بزرگترین شرکتهای دنیا را زیر سؤال ببرد.
نظرات کاربران