هکرهای حنظله ۱۱۲ هزار ماشین مجازی شرکت ابری اسرائیلی را تسخیر کرده‌اند

بررسی داده‌ها نشان می‌دهد هکر‌ها رمز‌های عبور ذخیره‌شده را بدون هیچ‌گونه رمزنگاری و به شکل متن ساده دریافت کرده‌اند. شرکت‌های فناوری، برخی بانک‌ها و کاربران وابسته به خدمات جی‌ان‌اس اکنون در معرض افشای اطلاعات قرار دارند. مدیران جی‌ان‌اس تاکنون واکنشی رسمی به این ادعا‌ها نشان نداده‌اند.

جزئیات ادعای نفوذ و سرقت اطلاعات

مطالب منتشر شده در کانال تلگرامی حنظله نشان می‌دهد مهاجمان به لایه‌های مدیریتی و عملیاتی زیرساخت‌های جی‌ان‌اس دسترسی پیدا کرده‌اند. حنظله ادعا می‌کند فرآیند استخراج رمز‌های عبور ماشین‌های کلاینت و سرور‌های مجازی در طول همین دوره ۱۸ ماهه ثبت و آرشیو شده است. این نفوذ باعث شده اختلال از داخل لایه اصلی زیرساخت به سمت مشتریان سازمانی نیز منتقل شود. دسترسی به لایه مدیریت یک پلتفرم ابری معمولاً امکان کنترل گسترده بر منابع مشتریان را فراهم می‌کند و همین مسئله نگرانی‌ها را افزایش داده است.

سابقه حمله و هشدار اولیه

اطلاعیه اولیه درباره نفوذ به جی‌ان‌اس نخستین‌بار در آذر ۱۴۰۳ با عنوان «عملیات شهید رضا عواضه» منتشر شد، اما در آن زمان مدیران شرکت وقوع چنین حمله‌ای را تکذیب کردند. اکنون گروه حنظله با انتشار شواهد تازه، از جمله تغییر صفحه اصلی سایت در پلتفرم زون‌اِچ، بازگشته و وعده داده در روز‌های آینده مستندات بیشتری منتشر کند. در این گزارش‌ها بار دیگر به عدد ۱۱۲ هزار ماشین بک‌دورشده اشاره شده، هرچند این حجم از نفوذ هنوز از سوی نهادی مستقل تأیید نشده و بررسی‌ها ادامه دارد.

تاریخچه فعالیت‌های گروه حنظله

پیگیری‌های امنیتی نشان می‌دهد این گروه سابقه حمله به مجموعه‌های مختلف را دارد؛ هدف‌گیری ارائه‌دهندگان خدمات فناورانه و زیرساخت‌های ابری برای رسیدن به مشتریان پایین‌دستی، الگوی تکرارشونده آن‌ها بوده است. تخریب ۲۲ ترابایت داده از ۱۴ کسب‌وکار و نفوذ به شرکت دفاعی «پی‌اس‌کی ویند تکنولوژی» بخشی از فعالیت‌های ثبت‌شده این گروه است. حمله به شرکت «استرایکر» در اسفند ۱۴۰۴ نیز به همین گروه نسبت داده شده و از آن به‌عنوان یکی از شدیدترین حملات سایبری علیه یک شرکت آمریکایی یاد می‌شود. مواردی مانند نقض سیستم‌های دولتی شهرستان سنت جوزف ایندیانا و نفوذ به ایران‌وایر نیز در فهرست حملات این گروه قرار دارد.

ریسک زنجیره تأمین برای کاربران

نقض لایه مدیریت زیرساخت و بک‌دور شدن ماشین‌های کلاینت می‌تواند یک نقطه شکست واحد برای تمام سازمان‌های متکی به این پلتفرم ایجاد کند. نام برخی بانک‌ها و شرکت‌های فناوری نیز در فهرست هدف قرار گرفته‌ها دیده می‌شود. حملات علیه ارائه‌دهندگان خدمات مدیریت‌شده برای رسیدن به مشتریان نهایی همچنان رو به افزایش است؛ رویکردی که پیش‌تر در رخدادهایی مانند نقض ۴۸۵ ترابایتی شرکت اکستیوم و همچنین حمله زنجیره تأمین به اکسیوس نیز مشاهده شده بود و اکنون در پرونده جی‌ان‌اس دوباره تکرار شده است.