كاسبرسكي: عصابة للتهديدات الرقمية تستغلّ ثغرة في MS Exchange لمهاجمة شركات الاتصالات والتصنيع في باكستان
اكتشف فريق الاستجابة لطوارئ الحاسوب في نظم الرقابة الصناعية لدى كاسبرسكي، في منتصف أكتوبر 2021، جهة تهديد مجهولة ناطقة بالصينية تهاجم شركات الاتصالات والتصنيع والنقل في العديد من البلدان الآسيوية. واستغلت العصابة الرقمية خلال الهجمات الأولية، ثغرة في MS Exchange لنشر برمجية ShadowPad الخبيثة، كما استطاعت التسلّل إلى نظم أتمتة المباني في إحدى الشركات التي وقعت ضحية لها.
يربط نظام أتمتة المباني جميع الوظائف داخل المبنى، من تشغيل الكهرباء وأنظمة تكييف الهواء إلى مكافحة الحرائق والأمن، ويُدار من مركز تحكّم واحد. وبمجرد اختراق هذا النظام، تصبح جميع العمليات داخل تلك المؤسسة في خطر، ومنها المتعلقة بأمن المعلومات.
وشهد الخبراء في فريق الاستجابة لطوارئ الحاسوب في نظم الرقابة الصناعية لدى كاسبرسكي هجمات شُنّت على مؤسسات في باكستان وأفغانستان وماليزيا في قطاعات الاتصالات والتصنيع. واتسمت الهجمات بمجموعة فريدة من التكتيكات والأساليب والإجراءات التي دفعت الخبراء للاعتقاد بأن الجهة التخريبية القائمة وراءها هي تلك العصابة الناطقة بالصينية. وكان مما لفت انتباه الخبراء استخدام العصابة أجهزة الحاسوب الهندسية المتصلة بنظم أتمتة المباني، والتي تشكّل جزءًا من البنى التحتية للمؤسسات، للنفاذ إلى المؤسسات، وهو أمر غير معتاد في الهجمات التي تشنّها عصابات التهديدات المتقدمة المستمرة، التي يصبح بإمكانها، بعد السيطرة على هذه الأنظمة، الوصول إلى أنظمة أخرى أكثر حساسية وأهمية.
وكانت الأداة الرئيسية التي اعتمدت عليها العصابة في الهجمات المنفذ الخلفي ShadowPad، وفق ما أظهر التحقيق. وشهدت كاسبرسكي استخدام هذه البرمجية الخبيثة من قبل العديد من جهات التهديدات المتقدمة المستمرة الناطقة بالصينية. وأثناء هجمات العصابة المشار إليها، جرى تنزيل المنفذ الخلفي ShadowPad على أجهزة الحاسوب التي هوجمت وذلك تحت ستار برمجيات رسمية أخرى. واستغلت العصابة، في كثير من الحالات، ثغرة أمنية معروفة في MS Exchange، وأدخلت الأوامر يدويًا، ما يشير إلى الطبيعة شديدة التوجيه والدقة لحملاتها.
وتُعدّ نظم أتمتة المباني أهدافًا نادرة للعصابات الناشطة في مجال التهديدات المتقدّمة، بحسب كيريل كروغلوف الخبير الأمني في فريق الاستجابة لطوارئ الحاسوب في نظم الرقابة الصناعية لدى كاسبرسكي، الذي أوضح بأن هذه النظم قد تكون “مصدرًا قيمًا للمعلومات شديدة السرية”، مشيرًا إلى أنها قد تقدّم للمهاجمين “منفذًا سريًا” إلى مناطق أخرى في البنى التحتية أكثر أمنًا. وقال: “يجب اكتشاف هذه الهجمات والتخفيف من وطأتها في مراحلها المبكرة جدًا، نظرًا لأنها قادرة على التطوّر بسرعة كبيرة، لذا فإننا نوصي بتشديد المراقبة المستمرة للأنظمة المذكورة، لا سيما في القطاعات الحيوية”.