پافشاری Grafana در برابر اخاذی سایبری؛ سرقت کدهای منبع توسط گروه نوظهور CoinbaseCartel
شرکت Grafana، غول سوئیسی-آمریکایی ابزارهای نظارت و مانیتورینگ زیرساخت، رسماً فاش کرد که یک بازیگر نامشخص موفق به سرقت توکن دسترسی به مخازن گیتهاب (GitHub) این شرکت شده و کدهای منبع (Codebase) آن را دانلود کرده است. نکته حائز اهمیت در این پرونده، امتناع قاطعانه گرافیست از پرداخت باج به هکرهاست؛ تصمیمی که دقیقاً در نقطه مقابل اقدام جنجالی هفته گذشته شرکت آموزشی Instructure قرار دارد.
۱. تحلیل نفوذ: توکن لو رفته و دسترسی به قلب نرمافزار
بر اساس بیانیهای که Grafana در شبکه اجتماعی X منتشر کرد، مهاجمان با به دست آوردن یک توکن احراز هویت معتبر، مستقیماً به محیط گیتهاب این شرکت نفوذ کرده و بخش بزرگی از کدهای منبع محصولات آن را کپی کردهاند.
- وضعیت دادههای کاربران: تیم امنیت گرافیست پس از انجام تحلیلهای فارنزیک دیجیتال اعلام کرد: هیچ مدرکی دال بر دسترسی مهاجمان به دادههای شخصی کاربران، حسابهای مشتریان یا سیستمهای عملیاتی پیدا نشده است.
- اقدامات متقابل: به محض شناسایی نفوذ، اعتبارنامهها و توکنهای لو رفته ابطال (Invalidate) شدند و لایههای امنیتی سختگیرانهتری برای مسدود کردن دسترسیهای غیرمجاز اعمال شد.
۲. اولتیماتوم هکرها و استناد گرافیست به دستورالعمل FBI
پس از سرقت کدها، مهاجمان خط لوله اخاذی را فعال کرده و تهدید کردند در صورت عدم پرداخت مبالغ کلان، کدهای سرقت شده را به صورت عمومی در وبسایتهای افشاگری منتشر خواهند کرد. اما مدیریت Grafana با استناد به هشدارهای رسمی پلیس فدرال آمریکا(FBI)، رسماً از پرداخت هرگونه باج خودداری کرد. طبق بیانیه FBI، پرداخت باج نه تنها تضمینی برای بازپسگیری یا عدم انتشار دادهها ایجاد نمیکند، بلکه انگیزهای مضاعف برای مجرمان جهت هدف قرار دادن قربانیان بیشتر فراهم میسازد.
۳. ردپای کتل؛ گروه کلاهبرداری CoinbaseCartel کیست؟
اگرچه گرافیست نامی از مهاجمان نبرده، اما پلتفرمهای ردیابی باجافزار مانند Ransomware.live و Hackmanac تایید کردهاند که گروه سایبریCoinbaseCartel مسئولیت این حمله را بر عهده گرفته است. تحلیلهای آزمایشگاههای فورتینت (Fortinet) نشان میدهد:
- این گروه یک باند نوظهور اخاذی داده (Data Extortion Crew) است که از سپتامبر ۲۰۲۵ شکل گرفته است.
- کارشناسان این گروه را انشعابی زبده از اکوسیستمهای هکری معروفی همچون ShinyHunters، Scattered Spider و LAPSUS$ میدانند.
- بر خلاف گروههای باجافزاری سنتی، آنها سیستمها را رمزنگاری نمیکنند؛ بلکه تنها روی سرقت و اخاذی خالص داده تمرکز دارند و تاکنون ۱۷۰ قربانی بزرگ در حوزههای بهداشت، فناوری و حملونقل برجا گذاشتهاند.
تحلیل و توصیههای فنی تحریریه ۲۴ نیوز:
ابزار گرافیست به ویژه نسخه Grafana Cloudیکی از اصلیترین ستونهای مانیتورینگ دیتاسنترها در ایران است. با اینکه دیتای کاربران لو نرفته، اما سرقت کدهای منبع میتواند به هکرها کمک کند تا با مهندسی معکوس ابزار، آسیبپذیریهای پنهان جدیدی (Zero-days) را در آینده کشف کنند.
اقدامات احتیاطی برای مدیران سیستم در ایران:
- مانیتورینگ توکنهای گیتهاب: تمام کلیدهای دسترسی API و توکنهای توسعهدهندگان متصل به افزونههای گرافیست را بازبینی کنید.
- بررسی مداوم لاگهایGrafana: لاگهای دسترسی به داشبوردهای حساس سازمان را برای رفتارهای غیرعادی مانیتور نمایید.
برگردان و تنظیم: تحریریه ۲۴ نیوز (بهراد یوسفی)
