“تذكرة ذهبية” للتجسّس على المؤسسات الصناعية: عصابة رقمية تستحوذ على البُنى التحتية التقنية
اكتشف فريق الاستجابة لطوارئ الحاسوب في نظم الرقابة الصناعية لدى كاسبرسكي موجة من الهجمات الموجّهة استهدفت مؤسسات عاملة في مجمعات صناعية عسكرية ومؤسسات عامة في عدد من دول أوروبا الشرقية وأفغانستان. وتمكن مجرمو الإنترنت من خلال هذه الهجمات من السيطرة على كامل البنى التحتية التقنية لدى الجهات المستهدفة، بغرض التجسّس الصناعي.
وشهد باحثو كاسبرسكي في يناير 2022 عدّة هجمات متقدمة على مؤسسات عسكرية وعامّة، تمثّل الهدف الأساسي منها في الوصول إلى معلومات الشركات والسيطرة على أنظمة تقنية المعلومات فيها. وكانت البرمجيات الخبيثة التي يستخدمها المهاجمون مشابهة لتلك التي استخدمتها عصابة التهديدات TA428، الناطقة باللغة الصينية.
ويتسلّل المهاجمون إلى شبكات المؤسسات عن طريق إرسال رسائل بريد إلكتروني مُعدّة بعناية، بعضها يحتوي على معلومات سرية خاصة بالمؤسسة، لم يتم إتاحتها على الملأ في وقت إرسال رسائل البريد الإلكتروني. ما يشير إلى قوّة استعداد المهاجمين للهجمات واختيارهم الدقيق لأهدافهم. وتتضمن رسائل البريد الإلكتروني الاحتيالية مستند Microsoft Word يحتوي على تعليمات برمجية خبيثة تمكّن المهاجم من استغلال ثغرة أمنية وتنفيذ شيفرة برمجية بطريقة عشوائية دون أي نشاط إضافي. وتوجد الثغرة الأمنية المستغلَّة في إصدارات قديمة من Microsoft Equation Editor ، أحد مكونات Microsoft Office.
جانب من محتوى مستند خبيث
واستخدم المهاجمون بالتزامن ستة منافذ خلفية مختلفة لإنشاء قنوات اتصال إضافية مع الأنظمة المصابة في حالة اكتشاف الحلول الأمنية لإحدى البرمجيات الخبيثة وإزالتها. وتتيح هذه المنافذ الخلفية وظائف للتحكّم في الأنظمة المصابة وجمع البيانات السرية.
وتتضمن المرحلة النهائية من الهجوم “اختطاف” وحدة التحكّم في النطاق والتحكم الكامل في جميع الأجهزة المؤسسية من محطات عمل وخوادم، بل إن المهاجمين استولوا، في إحدى الحالات، على مركز التحكّم في حلول الأمن الرقمي. ونفذ المهاجمون الهجوم المعروف باسم Golden Ticket (التذكرة الذهبية)، بعد حصولهم على امتيازات الوصول الخاصة بمسؤول النطاق ووصولهم إلى الدليل النشط Active Directory، لانتحال شخصيات من بين حسابات المستخدمين بطريقة عشوائية والبحث عن المستندات والملفات الأخرى المشتملة على بيانات حساسة، لتُنقل إلى خوادم تابعة للمهاجمين في بلدان مختلفة.
وتستفيد هجمات Golden Ticket من بروتوكول المصادقة الافتراضي المستخدم في النظام Windows 2000، بحسب فياتشيسلاف كوبيتسيف الخبير الأمني في فريق الاستجابة لطوارئ الحاسوب في نظم الرقابة الصناعية لدى كاسبرسكي، الذي أوضح أن بإمكان المهاجمين، من خلال تزوير رمز المصادقة الأمنية Ticket Granting Tickets (TGTs) ضمن الشبكة المؤسسية، الوصول باستقلالية إلى أية خدمة شبكية لمدة غير محدودة. وقال: “عند وقوع هذا الحادث، لن يكفي مجرد تغيير كلمات المرور أو حظر الحسابات المخترقة للتصدّي للهجوم، لذلك نوصي بالتحقق بعناية من جميع الأنشطة المشبوهة والاعتماد على حلول أمنية جديرة بالثقة”.
يمكن معرفة المزيد عن هذه الهجمات الموجهة.
ويوصي خبراء كاسبرسكي المؤسسات بالتباع التدابير التالية للحفاظ على سلامة أجهزة الحاسوب المرتبطة بنظم الرقابة الصناعية من التهديدات المختلفة:
- التحديث المنتظم لأنظمة التشغيل والتطبيقات التي تشكل جزءًا من الشبكة المؤسسية، من خلال الحرص على تنفيذ التصحيحات البرمجية والأمنية على أجهزة شبكات تقنية المعلومات وشبكات التقنيات التشغيلية حال إتاحتها من المطورين.
- إجراء عمليات تدقيق أمنية منتظمة على أنظمة تقنية المعلومات والتقنيات التشغيلية لتحديد الثغرات المحتملة والقضاء عليها.
- استخدام حلول المراقبة والتحليل والاكتشاف الخاصة بحركة البيانات على الشبكات الصناعية، لرفع مستوى الحماية من الهجمات التي قد تهدد العمليات التقنية والأصول المؤسسية الرئيسة.
- تقديم تدريب أمني تخصصي لفرق أمن تقنية المعلومات ومهندسي التقنيات التشغيلية لتحسين الاستجابة للتقنيات الخبيثة الجديدة والمتقدمة.
- تزويد الفريق الأمني المسؤول عن حماية نظم الرقابة الصناعية بأحدث المعلومات المتعلقة بالتهديدات. وتتيح خدمة التقارير الخاصة بمعلومات التهديدات، والمتعلقة بهذه النظم، من كاسبرسكي، رؤى متعمقة حول التهديدات الحالية ونواقل الهجوم، بالإضافة إلى العناصر الأضعف في أنظمة التحكم بالتقنيات التشغيلية وأنظمة الرقابة الصناعية وسبل التخفيف منها.
- استخدام حلول أمن أجهزة التقنيات التشغيلية وشبكاتها، مثل Kaspersky Industrial CyberSecurity، لضمان الحماية الشاملة لجميع الأنظمة الصناعية الحيوية.
- حماية البنية التحتية التقنية لا تقلّ أهمية، ويحمي نظام Integrated Endpoint Security النقاط الطرفية ويتيح إمكانيات الكشف التلقائي عن التهديدات والاستجابة لها.