المديرية العامة لأمن نظم المعلومات بالمغرب تحذر من حملة اختراق واسعة استهدفت أجهزة Fortinet

أطلقت المديرية العامة لأمن نظم المعلومات (DGSSI) تنبيهاً أمنياً بشأن حملة إلكترونية واسعة النطاق استهدفت أجهزة الحماية التابعة لشركة Fortinet، وبشكل خاص البوابات المستخدمة لتأمين الوصول إلى الشبكات الافتراضية الخاصة (VPN).

وكشفت المعطيات المتداولة أن الهجوم أدى إلى تعريض عشرات الآلاف من الأجهزة لخطر الاختراق، بعدما تم تسريب بيانات الدخول الخاصة بها على الإنترنت بصيغتها الأصلية غير المشفرة. ووفقاً لما أعلنه بوب دياتشينكو، المؤسس المشارك ورئيس أبحاث الأمن السيبراني بمنصة SecurityDiscovery.com، فقد شملت الحملة نحو 74 ألف جهاز موزعة عبر أكثر من 21 ألف عنوان IP في 194 دولة.

وتُعرف هذه العملية باسم “FortiBleed”، ويُعتقد أنها تسببت في واحدة من أكبر عمليات تسريب بيانات الاعتماد الخاصة بالأجهزة المتصلة بالشبكات خلال الفترة الأخيرة، ما يثير مخاوف متزايدة بشأن أمن البنى التحتية الرقمية عالمياً.

وأشارت تقارير صادرة عن جهات متخصصة في استخبارات التهديدات، من بينها SocRadar، إلى أن نطاق الهجوم قد يكون أوسع مما تم رصده حتى الآن، مع احتمالية تأثر مؤسسات حكومية وهيئات خاصة ضمن الجهات المتضررة.

وتوضح التحليلات التقنية أن منفذي الهجوم اعتمدوا على استخراج ملفات التهيئة الخاصة بأجهزة FortiGate التي كانت متاحة أو مكشوفة عبر الإنترنت، ثم معالجة البيانات باستخدام تقنيات تحليل وكسر بصمات كلمات المرور (Hash Cracking) ضمن بيئات معزولة، ما أتاح الوصول إلى بيانات دخول صحيحة وقابلة للاستغلال.

وتكمن خطورة هذا الأسلوب في أنه لا يقوم على اختراق مباشر للأنظمة، بل يستفيد من تسريبات أو ثغرات سابقة للوصول إلى ملفات الإعدادات، ومن ثم إعادة بناء بيانات الاعتماد أو استخراج كلمات المرور المرتبطة بها.

ومع امتلاك هذه المعلومات، يصبح بإمكان المهاجمين الولوج إلى الشبكات الداخلية عبر بوابات VPN بطريقة تحاكي المستخدمين المصرح لهم، الأمر الذي يصعّب اكتشاف النشاط غير المشروع في مراحله الأولى.

وحذرت المديرية من أن تداعيات مثل هذه العمليات قد تتجاوز مجرد الوصول غير المصرح به، لتشمل توسيع نطاق السيطرة داخل البيئة الرقمية للمؤسسات، بما في ذلك استهداف أنظمة إدارة الهوية والدليل النشط (Active Directory)، وتنفيذ هجمات فدية (Attaques de ransomware)، أو الاستيلاء على بيانات حساسة. كما تتفاقم المخاطر في حال احتواء البيانات المسربة على حسابات ذات صلاحيات إدارية.

ودعت المديرية المؤسسات والجهات المعنية إلى اتخاذ إجراءات وقائية عاجلة، في مقدمتها تغيير كلمات المرور لجميع حسابات الإدارة وخدمات VPN، وتفعيل المصادقة متعددة العوامل (MFA)، إلى جانب منع الوصول المباشر إلى واجهات الإدارة من الإنترنت المفتوح.

كما شددت على ضرورة إجراء مراجعة دقيقة للسجلات الأمنية ومراقبة أي مؤشرات على نشاط غير معتاد قد يكشف محاولات استغلال أو استخدام غير مشروع لبيانات الدخول.