تحقيقنا في تسريب بيانات CNSS [تقرير موجز]
جدول المحتويات
ما الذي كان يحدث في CNSS؟
اختراق ضخم للبيانات في الصندوق الوطني للضمان الاجتماعي بالمغربCNSS) كشف عن كنز من المعلومات الحساسة. تشمل مجموعة البيانات المسربة أكثر من 53,000 ملف PDF وملفي CSV يحتويان على سجلات مفصلة لحوالي 500 ألف شركة وقرابة مليوني موظف. تتراوح الوثائق من تفاصيل الانتماءات الشركات إلى الموظفين الأفراد أرقام التعريف، الرواتب، ومعلومات الاتصال- والكثير منها مؤرخ في نوفمبر 2024.
يبدو أن الاختراق يشمل بيانات إدارية ومالية، بما في ذلك تفاصيل البنك والمعرفات الشخصية, ، مع الكشف عن ملفات PDF أسماء الموظفين الكاملة والرواتب المعلنة. بينما تم نشر البيانات علنًا والإعلان عن الهجوم، تظل طريقة الاختراق غير واضحة. تتراوح التكهنات الأولية من استغلال ثغرة يوم الصفر إلى اختراق عبر برنامج طرف ثالث، قد يشمل منصات أوراكل.
ملف تعريف جهة فاعلة تهديد: من هو جابروت؟
الاسم المستعار جبروت ظهرت لأول مرة في منتدى الجرائم الإلكترونية BreachForums وعلى تلجرام في 8 أبريل 2025. ومنذ ذلك الحين، اكتسبت قناة الجهة الفاعلة في التهديد على تلجرام [hxxps://t[.]me/JabarootDZ/] زخمًا سريعًا، حيث وصل عدد المشتركين فيها إلى أكثر من 8000 مشترك في وقت كتابة هذا التقرير. حتى الآن،, نشر جاباروت خيطًا واحدًا فقط على BreachForums—الجهة التي أعلنت مسؤوليتها عن تسريب بيانات CNSS الذي أثر على الصندوق الوطني للضمان الاجتماعي في المغرب.
عينة طازجة.
بينما لا يُعرف الكثير عن الممثل وراء الاسم المستعار، فقد سلطت أعمال الاستخبارات مفتوحة المصدر (OSINT) لفريق Hack4Living الضوء على هويته المحتملة. في 8 أبريل 2025، لوحظ أن العديد من الملفات التي نُشرت على قناة Jabaroot على تلجرام قد تم إعادة توجيهها بواسطة مستخدم يدعى “ثلاثة عشر ألفاً وستمئة وأربعة وأربعون”—اختراق محتمل للأمن التشغيلي. ومن المثير للاهتمام أن مؤشر إعادة التوجيه هذا اختفى من نفس الملفات في اليوم التالي، مما يشير إلى أن المهاجم قد يكون شارك عن طريق الخطأ محتوى من حساب شخصي بدلاً من الحساب المجهول الذي تم إنشاؤه لتسريب البيانات.
أدت تحولات أخرى من اسم المستخدم هذا إلى قيام المحققين بربط بيانات اعتماد متعلقة بـ “3N16M4” عبر منصات مشاركة الأكواد المتعددة (مثل GitHub) ومواقع مسابقات التقاط العلم (CTF). بينما لم نختر مشاركة تفاصيل شخصية كاملة تم الكشف عنها علنًا، إلا أن تحليل OSINT يشير بقوة إلى أن الشخص وراء جباروت قد يكون مهندس كمبيوتر مقيم حاليًا في ألمانيا. على الرغم من أن أصلهم المحدد لا يزال غير مؤكد، إلا أن الممثل عرف نفسه بأنه من تونس في ملفه الشخصي على تليجرام.
من المهم ملاحظة أن هذه المعلومات تستند فقط إلى بحث مفتوح المصدر ويجب التعامل معها بحذر، حيث يمكن أن يكون الإسناد في التحقيقات السيبرانية معقدًا للغاية وعرضة للخطأ - خاصة في المراحل المبكرة.
خرق نتج عن توترات جيوسياسية
وفقًا للتصريحات التي أدلى بها الفاعل السيبراني على تليجرام،, يبدو أن خرق CNSS كان له دوافع سياسية. وتزعم جابرؤوت أن الهجوم جاء رداً على خرق سابق لحساب وكالة الأنباء الجزائرية (APS) على تويتر - وهي حادثة نُسبت إلى جهات فاعلة تهديد متحالفة مع المغرب. في ذلك الحادث، تم تغيير اسم حساب وكالة الأنباء الجزائرية “الصحراء المغربية”, ، مشيرة إلى النزاع الجيوسياسي طويل الأمد بين المغرب والجزائر حول منطقة الصحراء الغربية. تم تعليق حساب تويتر لاحقًا بعد تغطية إعلامية واسعة.
بعد وقت قصير من الإعلان عن اختراق CNNS على تلغرام،, شارك جابروت محتوى إضافيًا، بما في ذلك لقطة شاشة يُزعم أنها تُظهر تشويه موقع وزارة العمل المغربية.. صرح الممثل بأن هذا التخريب كان جزءًا من حملة أوسع للرد على ما وصفه بأنه عمليات مغربية عبر الإنترنت تستهدف المؤسسات الجزائرية. وحتى وقت كتابة هذا التقرير، يبدو أن الموقع الرسمي لوزارة العمل المغربية معلق.
يؤكد هذا النشاط كيف تُستخدم الهجمات السيبرانية بشكل متزايد كأدوات للرسائل السياسية، مما يطمس الخطوط الفاصلة بين القرصنة النشطة والانتقام المتحالف مع الدولة في سياق إقليمي متقلب بالفعل.
تمثل هذه المرحلة الأولية فقط من تحقيقنا، ونحن ملتزمون بمراقبة الوضع عن كثب مع التعمق في التطورات المستمرة.
تواصل للوصول إلى تقرير الفلاش الكامل
عن المؤلف
