إنذار سيبراني بالمغرب .. حملة تسريب عالمية تستهدف مؤسسات وطنية

مصدر الصورة

أكد مركز اليقظة والرصد والتصدي للهجمات المعلوماتية (maCERT)، التابع للمديرية العامة لأمن نظم المعلومات بإدارة الدفاع الوطني، أن “عددا من المؤسسات والهيئات المغربية معنية بما تم الكشف عنه مؤخرا ضمن تسرب ضخم للبيانات، أُطلق عليه اسم FortiBleed، يؤثر على جدران الحماية وبوابات SSL VPN التابعة لشركة Fortinet”، موصيا بـ”إجراء وقائي” يتمثل في “تفعيل المصادقة متعددة العوامل (MFA) وتغيير كلمات المرور”.

وفي نشرة تحذير أمني حملت المرجع (65471806/26)، اطلعت جريدة هسبريس على نسخة منها، نبه المركز إلى حملة تسريب بيانات ضخمة وواسعة النطاق تحمل اسم “FortiBleed”، تستهدف جدران الحماية وبوابات الشبكات الافتراضية الخاصة (SSL VPN)، مشيرا إلى أن “التهديد يطال بشكل مباشر مؤسسات وهيئات مغربية عدة ضمن آلاف الأجهزة المتضررة عالميا” وعددها نحو 75 ألف جهاز موزعة على حوالي 200 دولة عبر العالم.

ودعت المديرية العامة لأمن نظم المعلومات، التابعة لمصالح إدارة الدفاع الوطني، إلى “اتخاذ إجراءات فورية” ضد التهديد السيبراني “FortiBleed”، مفيدة بأن “حجم ونطاق الاختراق” يمتد ليشمل بيانات اعتماد (أسماء مستخدمين وكلمات مرور) صالحة ونشطة خاصة بمُدراء الأنظمة ومنافذ الـ “VPN” لقرابة 75 ألف جهاز حول العالم.

كما أشارت النشرة إلى أن آلية الهجوم التقنية المستخدمة “مكّنت المهاجمين من الوصول إلى بيانات الاعتماد هذه عن طريق استخلاص ملفات الإعدادات (Configuration files) الخاصة بأجهزة “FortiGate” المتصلة بشبكة الإنترنت، ثم قاموا بكسر قيم التجزئة (Hashes) الخاصة بكلمات المرور دون الحاجة للاتصال بالشبكة (Offline cracking).

وحذر مركز اليقظة والرصد والتصدي للهجمات المعلوماتية من أن “استغلال المهاجمين لهذه البيانات المسربة يمنحهم قدرات عالية الخطورة تشمل: التسلل المباشر والولوج غير المصرح به إلى الشبكات الداخلية للمؤسسات عبر ثغرات الـ VPN”، وكذا “الانتقال الجانبي واختراق نظام الدليل النشط” (Active Directory) للسيطرة المطلقة والكاملة على الشبكة المعلوماتية، فضلا عن “تشفير الأنظمة عبر نشر برمجيات الفدية الخبيثة (Ransomware) أو سرقة واستخراج البيانات السرية والحساسة”.

وبسط المصدر الرسمي عينه التدابير الوقائية العاجلة الموصى بها، حاثّـا “كافة الإدارات والجهات المعنية على تطبيق حزمة من الإجراءات الحمائية الصارمة بشكل فوري لوقف التداعيات المحتملة”، على الخصوص عبر التحقق الفوري من التعرض للاختراق: استخدام أدوات الفحص المتاحة عبر المراجع الرسمية المرفقة بالتقرير (مثل أدوات SocRadar وHudsonRock) للتأكد مما إذا كانت أنظمة المؤسسة مدرجة ضمن قوائم التسريب.

كما لفتت إلى أهمية “تدوير فوري لكلمات المرور” بـ”إعادة تعيين فورية وشاملة لجميع كلمات المرور الخاصة بحسابات المدراء ومنافذ الوصول إلى شبكات الـ VPN”.
وأوصت أيضا بـ “فرض تشفير PBKDF2 القوي”: تفعيل نظام التشفير المعزز الذي أتاحته Fortinet في إصداراتها الحديثة (FortiOS 7.2.11 و7.4.8 و7.6.1). ونظرا لأن هذا التشفير لا ينشط تلقائيا إلا بعد تسجيل دخول المسؤول لمرة واحدة على الأقل بعد التحديث، يجب إلزام جميع المدراء (ADMINS) بتسجيل الدخول لفرض ترحيل بصمات كلمات المرور (Hashes) إلى خوارزمية PBKDF2، أو تغييرها يدويا عبر حساب بصلاحيات “super_admin”.

ومن بين ما أوصت به المديرية ذاتها كذلك، “إلزامية المصادقة متعددة العوامل (MFA)” بتفعيل بروتوكول “المصادقة متعددة العوامل بشكل إجباري” على كافة صلاحيات الوصول الإداري والاتصالات الافتراضية للشبكة.

كما دعت إلى “حجب واجهات الإدارة عن العموم: منع إتاحة واجهة إدارة أجهزة FortiGate بشكل مباشر عبر شبكة الإنترنت العامة وتأمين قنوات الوصول إليها”، ثم “إجراء فحص دقيق ومستمر لسجلات الاتصال بحثا عن أي أنشطة مشبوهة، مثل محاولات الاتصال خارج أوقات العمل الرسمية، أو إنشاء حسابات جديدة غير مصرح بها، أو تعديل غير موثق في الإعدادات”.

وفي السياق نفسه، نبه الخبير الباحث في الأمن السيبراني والتعاملات الرقمية، بدر بلاج، من خلال منشور له على منصة “لينكدإن” المهنية، إلى أن “نحو العشرات من شركات وهيئات مغربية ضمن قائمة ضحايا هذه الحملة”، مؤكدا أهمية وضرورة الامتثال إلى الإجراءات الوقائية الموصى بها من طرف مديرية أمن نظم المعلومات بالمغرب.