اشترِك في نشرتنا الإخبارية
"Semicolon" تعلن عن هجوم إلكتروني يستهدف "تيليغرام" في لبنان... بِمَ صرّحت لـ"النهار"؟
23-02-2023 | 12:00
المصدر: (النهار)
سُكينة السمرة
رصد فريق "Semicolon" المتخصّص في أمن المعلومات هجوماً إلكترونياً واسعاً يستهدف مستخدمي تطبيق المراسلة "تيليغرام" في لبنان، عبر استغلال خلل أمنيّ في التطبيق، يُتيح للمهاجمين اختراق الحساب، من دون الحاجة لأيّ تواصل أو تفاعل مع المستخدم. والمفاجأة التي أكّدتها الشركة لـ"النهار" أن بروتوكول الأنترنت المستخدم في الهجوم عبارة عن عناوين لبنانية، بالإضافة إلى أن مزوّد خدمة الأنترنت الذي يمدّ المهاجمين بالأنترنت لبناني الهوية أيضاً.
وفي تفاصيل الهجوم الذي واجهه اللبنانيّون خلال الأيام الماضية، كشف الفريق عن أن الخلل الأمنيّ يكمن في خاصية رمز التحقق لمرة واحدة "Verification Code One-Time"، الذي يُرسل إلى المستخدم عند محاولة الولوج إلى حسابه من جهاز أو متصفّح جديد، حين يحتاج المستخدم إلى إدخال هذا الرّمز لتأكيد ملكيّته للحساب، فيستغلّ المهاجمون هذا الخلل للحصول على الرمز بالنيابة عن المستخدم، ممّا يُمكّنهم من الولوج إلى الحساب، والإطلاع على المحادثات والمعلومات الخاصّة بالمستخدم، من دون إذنه أو علمه.
وفي الصورة أعلاه لقطة شاشة من هاتف أحد الضحايا تبين وصول رمز التحقق عبر حساب "تيليغرام"، ثم تم اختراق الحساب.
في هذا السياق، سبق لفريق "Semicolon" أن تعامل مع العديد من الشركات العالمية مثل "ميتا" و"غوغل" و"مايكروسوفت"، واكتشف ما يزيد عن 3000 ثغرة أمنيّة في أنظمة مختلف الشركات حول العالم. وفي هذه القضية، قام الفريق بالتواصل مع شركة "تيليغرام" بشكل رسميّ ومباشر، وزوّدهم بثلاثة تقارير مفصّلة عن الهجوم والثغرات الأمنيّة المحتملة، بالإضافة إلى معلومات عن المهاجمين وأجهزتهم، وفق ما أفادت الشركة في حديثها لـ"النهار".
من جهته، كشف فريق الشركة عن كيفيّة اكتشاف الاختراق، فقال مؤسّس ومدير "Semicolon" فيّاض عطوي إنّه "منذ مطلع الأسبوع الماضي في 13/2/2023 تلقّى فريق Semicolon مئات البلاغات من مواطنين لبنانيّين تعرّضت حساباتهم في تيليغرام للاختراق وفق الآلية ذاتها، وفي توقيت متقارب، ممّا دفعنا لأخذ الموضوع بجديّة والتعامل مع فرضيّة وجود هجوم سيبراني منظّم، يستهدف شريحة واسعة من المواطنين، واستبعاد فرضيّة الحالات الفردية أو الصدفة".
وأردف: "من هذه النقطة، انطلقت عمليّة التحقيق والتحليل الفنيّ وتتبع الأدلّة، وتمّ تأكيد وجود هجوم يقوم على استغلال خلل أمنيّ في تيليغرام، يُتيح للمهاجمين الوصول إلى رمز التحقّق Verification Code الخاصّ بالمستخدم، ثم اختراق الحساب خلال ثوانٍ فقط".
أمّا عن مدى تأثيره وضرره على المستخدمين، فأكّد عطوي أن "لهذا الاختراق ضرراً كبيراً وكارثيّاً على المستخدم، فهو يسمح للمهاجم بالوصول إلى معلومات وبيانات ومراسلات المستخدم كافّة في تيليغرام، والتحكّم الكامل بالإعدادات والصلاحيّات، بل يُمكنه منع المستخدم الأساسي من الدخول إلى حسابه من جديد. ويُعرف هذا النوع من التهديدات بـAccount Takeover، أي السيطرة على حساب المستخدم، وهو النوع الأخطر من التهديدات الأمنية التي يمكن أن تتعرّض لها أيّ شركة؛ وترصد الشركات مكافآت ماليّة ضخمة للباحثين الذين يستطيعون إيجاد هذا النوع من الثغرات في خدماتها".
واعتبر أن "ما يزيد الأمر خطورة، أنّه على عكس واتساب مثلاً، يُعتبر تيليغرام من الخدمات التي تعتمد على التخزين السحابيّ Cloud Based App، أي أنّ المحادثات يتمّ تخزينها على خوادم Servers تابعة لتيليغرام، وليس على جهاز المستخدم، ممّا يعني أنّ اختراق الحساب يوصل المهاجم على الأغلب إلى جميع المحادثات والصّور والبيانات وجهات الاتصال الخاصّة بالضحيّة (إلا إذا كان الضحية يقوم بحذف المحادثات بشكل منتظم قبل تعرّضه للاختراق)، وباستخدام بعض الأدوات Scraping Tools، يُمكن للمهاجم أخذ نسخة من هذه المحادثات والبيانات لاستخدامها لاحقاً في أنشطة غير قانونيّة مثل بيعها أو ابتزاز أصحابها".
وعن طبيعة الفاعلين، أكد عطوي لـ"النهار" أن عناوين بروتوكول الأنترنت المستخدمة في الهجوم عناوين لبنانية، ومزوّد خدمة الأنترنت الذي يمدّ المهاجمين بالأنترنت لبنانيّ أيضاً. ومن خلال التحليل الذي أجرته الشركة، تمكّنت من الوصول إلى أسماء المتورطين المحتملين في الهجوم، بالإضافة إلى مواقع جغرافيّة وأرقام هواتف تابعة لهم.
ولكن بسبب الطبيعة المعقّدة لخدمة توزيع الأنترنت في لبنان، واحتمال استخدام حساب أنترنت واحد لأكثر من مستخدم أو جهة أو مؤسّسة، صرّح بأنّه "لا يمكننا كشركة تأكيد أن الأسماء التي وصلنا إليها متورّطة بنسبة 100 في المئة. لكن الدولة اللبنانية، وبالتعاون مع مزوّد خدمة الأنترنت، يمكنهم تحديد هؤلاء الأفراد بدقة وسرعة عالية".
من ناحية "تيلغرام" أكّد خبير التحوّل الرقميّ بول سمعان لـ"النهار" أنّه تمّ إرسال جميع المعلومات إلى الشركة، إلا أنّ أيّ ردّ لم يصل حتى الآن.
وعند سؤال سمعان عن نطاق الاختراق، وهل هو محصور بلبنان، أجاب بأنّه "لم يتمّ نشر تقارير تفيد بأيّ اختراق مماثل بعدُ من خارج لبنان"، مؤكّداً أن الخروقات تمّت خلال عمليّة تأكيد حسابات المستخدمين عبر الرسائل النصيّة، عند فتح هذه الحسابات على أجهزة جديدة، مشيراً إلى تداول معلومات عن خروقات تمّت من خلال أرقام مسرّبة تمّ بيعها، كحادثة "واتساب"منذ أشهر.
ونصح سمعان المستخدمين بالتأكّد من تفعيل خاصية "2 factor authentication" على حساباتهم في جميع تطبيقات وسائل التواصل الاجتماعي، حيث إن الأشخاص الذين فعّلوا الميزة لم تتعرّض حساباتهم للاختراق. وحذّر المستخدمين من "عدم ترك هواتفهم مع أيّ شخص غير موثوق. وعند الضرورة ترك الهاتف في محال التصليح الموثوقة فقط؛ وكذلك عدم مشاركة أيّ كود يرد على الهاتف مع أيّ شخص، بالإضافة إلى وضع كلمات مرور قويّة، وأن لا تكون كلمات المرور نفسها لجميع التطبيقات".
وبالعودة إلى "Semicolon"، وعند سؤالهم عن طبيعة الاستهداف، شدّدوا على أن "الاستهداف لا يتمّ بشكل عشوائي، بل بشكل منظّم ومدروس ومخطط له، ومن المرجّح أن المهاجمين يستخدمون عدداً كبيراً من الأجهزة Bots التي تمّ تزويدها بتعليمات برمجيّة خبيثة لتقوم بالعملية بشكل آليّ وسريع، أي استهداف أكبر عدد ممكن من الحسابات في أقصر فترة زمنية ممكنة، وهنا يُطرح السؤال الآتي: ما الذي يعتمد عليه المهاجمون في هذا الاستهداف؟".
وتابعوا: "في حال راجعنا الهجمات المنظّمة التي جرت في الأعوام الأخيرة، نلاحظ اعتماد المهاجمين على قواعد بيانات مسرّبة أو مولّدة بطرق غير شرعيّة مسبقاً، مثلاً: قاعدة بيانات أرقام الهواتف المرتبطة بحسابات واتساب التي تمّ تسريبها منذ أشهر، والتي احتوت على أكثر من 487 مليون رقم هاتف، منها 1.8 مليون رقم لبناني. وعام 2020 تمّ تسريب قواعد بيانات تحتوي على ملايين أرقام الهواتف المرتبطة بحسابات تيليغرام، وجرى ذلك عام 2016 أيضاً. لذلك من المحتمل أن يكون المهاجمون قد اعتمدوا على قواعد البيانات المسرّبة هذه لتغذية الهجوم بأرقام هواتف لبنانيّة صحيحة ومرتبطة مسبقاً بحسابات تيليغرام".
وأكدوا أنه "في الوقت الحالي، يشير حجم البلاغات، وعدد حالات الاختراق، إلى أن الهجوم يتركّز في لبنان، ويستهدف اللبنانيين بشكل منظّم، ولا يمكن تأكيد عدم توسّع الهجوم ليشمل دولاً أخرى في المستقبل".
أمّا من ناحية تجاوب الدولة اللبنانية مع هذه الحادثة، فأكّد عطوي أنّه حتى الآن لا يوجد تعليق رسميّ أو تحرّك معلن، وأفاد بأنهم يعدّون ملفاً شاملاً عن الهجوم ونتائج التحقيقات، وسيبادرون إلى التواصل مع الجهات المختصّة والتعاون معها لكشف المتورّطين.
أمّا عن معالجة الخلل، فأشار إلى أنه "لا يمكن تأكيد معالجة الخلل الأمني طالما لم تصرّح الشركة رسمياً عن ذلك بعد"، معتبراً أنّه في حال انخفاض وتيرة أو حدة الهجوم بعد انكشافه وحديث وسائل الإعلام عنه، فهذا لا يعني بالضرورة أنّ الخلل قد تمّ علاجه".
تجدر الإشارة إلى أنّ الأشخاص المتورّطين في الهجوم قد سبق لهم أن شاركوا في أكثر من هجمة استهدفت خدمات إلكترونية في بريطانيا وألمانيا وكازاخستان منذ عام 2021 وحتى الأسابيع الماضية، واكتشفت الشركة ذلك بعد تتبّع عناوين الأنترنت الخاصّة بهم، والتي تنوّعت ما بين هجمات اختراق تطبيقات الويب، وهجمات البريد الإلكتروني الضارّ، وهجمات التخمين والقوّة العمياء. وقد تم حظر عناوين الأنترنت الخاصّة بهم في العديد من الدول. وهذا مؤشّر خطير يدفع الجميع إلى العمل بجديّة على إيقافهم ومحاسبتهم قبل أن يورّطوا لبنان واللبنانيين في هجمات أخرى حول العالم، خاصة في هذه المرحلة الاقتصادية الصعبة.
من جانبها، أوصت الشركة أيضاً بتجنّب إرسال أيّ معلومات حساسة في مراسلات "تيليغرام" خلال هذه الفترة، مثل كلمات المرور والبيانات المصرفية وبيانات بطاقات الاعتماد وأيّ معلومة قد يستغلّها المهاجمون في حال نجحوا بالوصول إلى الحساب.
