كشف خبراء عن سلسلة جديدة وسريعة التطور من حملات التجسس الرقمية التي تهاجم أكثر من ألفي شركة صناعية في أنحاء العالم، وقدروا العدد الإجمالي للحسابات المؤسسية المخترقة أو المسروقة جراء هذه الهجمات بأكثر من 7 آلاف حساب.وتتسم هذه الهجمات بمحدودية عدد الأهداف في كل هجوم، وقصر عمر البرمجيات الخبيثة المستخدمة، بخلاف العديد من حملات التجسس الرقمية السائدة. أسواق المسروقاتنُشرت نتائج الدراسة في تقرير حديث صادر عن فريق الاستجابة لطوارئ الحاسب في نظم الرقابة الصناعية لدى كاسبرسكي، وحددت أكثر من 25 سوقا تباع فيها البيانات المسروقة في هجمات التجسس.ورغم أن البرمجيات الخبيثة المستخدمة في هذه الهجمات تنتمي إلى عائلات برمجيات التجسس السلعية المعروفة، مثل Agent Tesla/Origin Logger وHawkEye وغيرها، فإن ما يميز هذه الهجمات عن نظيرتها السائدة يتمثل في العدد المحدود جدا من الأهداف في كل هجوم، والذي يتراوح بين بضع هجمات إلى بضع عشرات الهجمات، علاوة على العمر القصير جدا لكل برمجية خبيثة مستخدمة في شنها.محدودية النطاق وكشف تحليل دقيق أجري على نحو 95 ألف عينة من برمجيات التجسس التي حظرت على أجهزة الحاسب المرتبطة بنظم الرقابة الصناعية في النصف الأول من العام 2021، أن 21.2% منها تقريبا كانت جزءا من سلسلة الهجمات الجديدة محدودة النطاق وقصيرة العمر، التي لا تزيد دورة حياتها على 25 يوما في المتوسط، أي أقل بكثير من متوسط عمر حملة تجسس رقمي تقليدية.ورغم قصر عمر كل عينة من برمجيات التجسس «الشاذة» ومحدودية نطاق أهدافها، فإنها تمثل حصة كبيرة بشكل لا يتناسب مع جميع هجمات التجسس. وقد تعرض واحد من كل سبعة أجهزة حاسب صناعية هوجمت ببرمجيات التجسس في منطقة الشرق الأوسط، على سبيل المثال، إلى هجوم بإحدى العينات «الشاذة».رسائل تصيديةوتنتشر معظم هذه الحملات من شركة صناعية إلى أخرى عبر رسائل بريد إلكتروني تصيدية صيغت بعناية وإتقان. ويحول المهاجمون الجهاز المخترق إلى خادم للقيادة والسيطرة ويعدونه لشن الهجوم التالي، ويمكنهم عبر الوصول إلى قائمة جهات الاتصال البريدي للضحية، استغلال البريد الإلكتروني المؤسسية في التوسع بنشر برمجيات التجسس.وأظهر تحليل للأسواق الـ25 التي تباع فيها البيانات المسروقة، ارتفاع الطلب على بيانات الحسابات المؤسسية، لا سيما المتعلقة منها بحسابات الوصول عن بُعد إلى سطح المكتب (RDP). ووجد الباحثون كذلك أن أكثر من 46 % من جميع حسابات RDP المباعة في الأسواق التي خضعت للتحليل مملوكة من شركات في الولايات المتحدة، في حين أتى الباقي من آسيا وأوروبا وأمريكا اللاتينية، وما يقرب من 4% (نحو 2.000 حساب) من جميع حسابات RDP المباعة تنتمي إلى شركات صناعية.تطور سريعواستخدم مجرمو الإنترنت على نطاق واسع طوال عام 2021 برمجيات التجسس لمهاجمة أجهزة الحاسب الصناعية، بحسب الخبير الأمني في فريق الاستجابة للطوارئ الإلكترونية لنظم الرقابة الصناعية لدى كاسبرسكي، كيريل كروجلوف، الذي قال إن هناك توجها سريع التطور اليوم في مشهد التهديدات الصناعية، يتمثل في حرص المجرمين على تجنب انكشافهم على الحلول الأمنية عبر تقليص حجم الهجوم والحد من استخدام كل عينة من البرمجيات الخبيثة عن طريق فرض أن تستبدل بها سريعا برمجية أخرى حديثة البناء، مضيفا: «تشمل التكتيكات الأخرى إساءة استخدام البنية التحتية للبريد الإلكتروني المؤسسي لنشر البرمجيات الخبيثة، وهو ما يختلف عن كل ما لوحظ من قبل في برمجيات التجسس، ونتوقع أن تكتسب مثل هذه الهجمات قوة في العام المقبل».توصيات حمايةويوصي الخبراء الشركات باتباع بعض التدابير لحماية أنظمتها وأنظمة شركائها، بينها تنفيذ المصادقة ذات العاملين للوصول إلى البريد الإلكتروني والخدمات المؤسسية الأخرى القائمة على الاتصال بالإنترنت (بما يشمل RDP، وبوابات VPN-SSL، وما إلى ذلك) والتي يمكن أن يستغلها المهاجمون للوصول إلى البنية التحتية المؤسسية الداخلية وسرقة بيانات الأعمال المهمة، والحرص على حماية جميع النقاط الطرفية، سواء على شبكات تقنية المعلومات أو شبكات العمليات التشغيلية، بحل أمني خاص، يكون مجهزا ومعدا بشكل صحيح ومحدثا باستمرار، مؤكدة أهمية تدريب الموظفين بانتظام على التعامل مع رسائل البريد الإلكتروني الواردة بأمان وحماية أنظمتهم من البرمجيات الخبيثة التي قد تحتويها مرفقات البريد الإلكتروني، والتحقق بانتظام من محتوى مجلدات البريد غير المرغوب فيه، بدلا من الاكتفاء بإفراغها، مع مراقبة انكشاف الحسابات المؤسسية على الويب.صندوق الرملكما أوصوا باستخدام حلول وضع الحماية (المعروف بصندوق الرمل) المصممة لاختبار المرفقات تلقائيا في حركة البريد الإلكتروني الواردة. والحرص على ألا تغفل إعدادات هذه الحلول رسائل البريد الإلكتروني الواردة من المصادر التي يفترض أنها «موثوق بها»، وتشمل الشركاء وجهات الاتصال، إذ لا توجد جهة من هذه الجهات محمية بنسبة 100% من الاختراق الأمني، موضحة أهمية اختبار المرفقات في رسائل البريد الإلكتروني الصادرة أيضا، لضمان ألا يكون النظام المؤسسي مخترقا.
مشاركة :