ضمن حملة تجسس عالمية واسعة النطاق
اكتشف خبراء برمجية خبيثة استهدفت أكثر من 35 ألف جهاز حاسب في 195 دولة، ضمن حملة تجسس عالمية واسعة النطاق نشطت بين شهري يناير ونوفمبر الماضيين.
وأطلق خبراء كاسبرسكي الذين اكتشفوا البرمجية الجديدة اسم PseudoManuscrypt نظرا لأوجه شبه تجمع بينها وبين برمجية Manuscrypt التي تقف وراءها عصابة التهديدات المتقدمة المستمرة Lazarus، وتتضمن قدرات تجسس متقدمة وشوهدت تستهدف المؤسسات الحكومية، علاوة على أنظمة التحكم الصناعية في شركات عاملة في العديد من القطاعات.
الأكثر تضررا
وتعد الشركات الصناعية من أكثر الأهداف التي يطمع فيها مجرمو الإنترنت، سواء لتحقيق مكاسب مالية أو جمع معلومات استخبارية، إذ كان 7.2 % من أجهزة الحاسب التي تعرضت للهجوم جزءا من أنظمة الرقابة الصناعية، حيث عدت الهندسة وأتمتة المباني أكثر القطاعات تضررا.
وقد شهد العام 2021 اهتماما بالغا من عصابات التهديدات المتقدمة المستمرة المعروفة مثل Lazarus وAPT41، بالشركات الصناعية.
واكتشف خبراء كاسبرسكي أثناء التحقيق في سلسلة أخرى من الهجمات، برمجية خبيثة جديدة فيها بعض أوجه الشبه مع برمجية Manuscrypt من Lazarus، وهي برمجية مصممة خصيصا للاستخدام في حملة ThreatNeedle التي استهدفت الجهات العاملة في الصناعات الدفاعية، ولهذا أطلق عليها الخبراء الاسم PseudoManuscrypt.
الأنظمة المستهدفة
ويجري تنزيل البرمجية الخبيثة المكتشفة في البداية على الأنظمة المستهدفة عبر أرشيفات برمجية مقرصنة مزيفة، وبعضها مخصص للبرمجيات المقرصنة الموجهة لنظم الرقابة الصناعية.
ويحتمل تقديم أدوات التثبيت المزيفة هذه عبر منصة تقدم البرمجيات الخبيثة كخدمة. وفي بعض الحالات، ثبتت البرمجية الخبيثة عبر شبكة البوتات سيئة السمعة Glupteba. وبعد الإصابة الأولية، تبدأ سلسلة إصابات معقدة تنزل في النهاية الوحدة الرئيسة للبرمجية الخبيثة.
وحدد خبراء كاسبرسكي نوعين مختلفين من هذه الوحدة، كلاهما قادر على تنفيذ قدرات تجسسية متقدمة تتضمن تسجيل ضربات المفاتيح، ونسخ البيانات من الحافظة، وسرقة بيانات اعتماد المصادقة على الدخول إلى شبكات VPN (وربما بروتوكول التحكم عن بعد بسطح المكتب)، وسرقة بيانات الاتصال، ونسخ لقطات الشاشة، وما إلى ذلك.
النمذجة المجسمة
لا تظهر الهجمات أي تفضيل لقطاعات بعينها، لكن العدد الكبير من أجهزة الحاسب الهندسية التي تعرضت للهجوم، بما يشمل الأنظمة المستخدمة للنمذجة المجسمة والمادية، والتوائم الرقمية، تشير إلى أن التجسس الصناعي قد يكون هدفا مشتركا في جميع الهجمات.
واستغرب الخبراء أن بعض الضحايا تربطهم علاقات بضحايا حملة Lazarus التي أبلغ عنها في السابق فريق الاستجابة لطوارئ الحاسب في نظم الرقابة الصناعية لدى كاسبرسكي، كما استغربوا إرسال البيانات إلى خوادم المهاجمين عبر بروتوكول نادر باستخدام مكتبة أدوات استخدمتها سابقا عصابة APT41 مع برمجياتها الخبيثة.
لكن كاسبرسكي لم تربط الحملة الحالية بـ Lazarus أو أي جهة تهديد معروفة، نظرا للعدد الكبير من الضحايا وعدم وجود تركيز واضح للحملة.
حملة غير عادية
واعتبر خبير الأمن الرقمي لدى كاسبرسكي فياتشيسلاف كوبيتسيف، هذه الحملة «غير عادية بالمرة»، قائلا إن الخبراء ما زالوا يجمعون معا كل ما بحوزتهم من معلومات.
وأضاف: «هذا تهديد يستوجب على المتخصصين الانتباه إليه وتوخي الحذر منه بعد أن تمكن من شق طريقه إلى الآلاف من أجهزة الحاسوب المرتبطة بنظم الرقابة الصناعية لدى جهات بينها العديد من الشركات والمؤسسات المرموقة. وسنواصل تحقيقاتنا، ونبقي مجتمع الأمن الرقمي على اطلاع على أي نتائج جديدة نتوصل إليها».
النقاط الطرفية
وأوصى خبراء كاسبرسكي المؤسسات باتباع عدد من التدابير للبقاء في مأمن من حملة PseudoManuscrypt، بتثبيت نظام لحماية للنقاط الطرفية على جميع الخوادم ومحطات العمل، والتحقق من تمكين جميع مكونات حماية النقاط الطرفية على جميع الأنظمة، وأن هناك سياسة مطبقة تتطلب إدخال كلمة مرور المسؤول في حالة محاولة شخص ما تعطيل النظام، مؤكدين أهمية التحقق من أن سياسات Active Directory تتضمن قيودا على محاولات المستخدم تسجيل الدخول إلى الأنظمة.
وقالوا إنه يجب أن يسمح للمستخدمين فقط بتسجيل الدخول إلى الأنظمة التي يحتاجون للوصول إليها لأداء مسؤولياتهم الوظيفية، وحصر الاتصالات الشبكية، بما فيها شبكات VPN، في الأنظمة المتصلة بشبكات التقنيات التشغيلية، وحظر التوصيلات على جميع تلك المنافذ غير المطلوبة لاستمرارية العمليات وسلامتها.
الخدمات المدارة
كما أوصوا بتدريب الموظفين على العمل مع الإنترنت والبريد الإلكتروني وقنوات الاتصال الأخرى بشكل آمن، وعلى وجه التحديد شرح العواقب المحتملة لتنزيل الملفات وتنفيذها من مصادر لم يجر التحقق منها، واستخدام الحسابات ذات امتيازات المسؤول المحلي ومسؤول النطاق، فقط عند الضرورة، لأداء المسؤوليات الوظيفية، مشددا بأهمية الأخذ في الاعتبار استخدام خدمات المدارة الخاصة بالكشف عن التهديدات والاستجابة لها، للتمكن من اكتساب المعرفة عالية المستوى بسرعة والحصول على خبرة المتخصصين في مجال الأمن.
وأطلق خبراء كاسبرسكي الذين اكتشفوا البرمجية الجديدة اسم PseudoManuscrypt نظرا لأوجه شبه تجمع بينها وبين برمجية Manuscrypt التي تقف وراءها عصابة التهديدات المتقدمة المستمرة Lazarus، وتتضمن قدرات تجسس متقدمة وشوهدت تستهدف المؤسسات الحكومية، علاوة على أنظمة التحكم الصناعية في شركات عاملة في العديد من القطاعات.
الأكثر تضررا
وتعد الشركات الصناعية من أكثر الأهداف التي يطمع فيها مجرمو الإنترنت، سواء لتحقيق مكاسب مالية أو جمع معلومات استخبارية، إذ كان 7.2 % من أجهزة الحاسب التي تعرضت للهجوم جزءا من أنظمة الرقابة الصناعية، حيث عدت الهندسة وأتمتة المباني أكثر القطاعات تضررا.
وقد شهد العام 2021 اهتماما بالغا من عصابات التهديدات المتقدمة المستمرة المعروفة مثل Lazarus وAPT41، بالشركات الصناعية.
واكتشف خبراء كاسبرسكي أثناء التحقيق في سلسلة أخرى من الهجمات، برمجية خبيثة جديدة فيها بعض أوجه الشبه مع برمجية Manuscrypt من Lazarus، وهي برمجية مصممة خصيصا للاستخدام في حملة ThreatNeedle التي استهدفت الجهات العاملة في الصناعات الدفاعية، ولهذا أطلق عليها الخبراء الاسم PseudoManuscrypt.
الأنظمة المستهدفة
ويجري تنزيل البرمجية الخبيثة المكتشفة في البداية على الأنظمة المستهدفة عبر أرشيفات برمجية مقرصنة مزيفة، وبعضها مخصص للبرمجيات المقرصنة الموجهة لنظم الرقابة الصناعية.
ويحتمل تقديم أدوات التثبيت المزيفة هذه عبر منصة تقدم البرمجيات الخبيثة كخدمة. وفي بعض الحالات، ثبتت البرمجية الخبيثة عبر شبكة البوتات سيئة السمعة Glupteba. وبعد الإصابة الأولية، تبدأ سلسلة إصابات معقدة تنزل في النهاية الوحدة الرئيسة للبرمجية الخبيثة.
وحدد خبراء كاسبرسكي نوعين مختلفين من هذه الوحدة، كلاهما قادر على تنفيذ قدرات تجسسية متقدمة تتضمن تسجيل ضربات المفاتيح، ونسخ البيانات من الحافظة، وسرقة بيانات اعتماد المصادقة على الدخول إلى شبكات VPN (وربما بروتوكول التحكم عن بعد بسطح المكتب)، وسرقة بيانات الاتصال، ونسخ لقطات الشاشة، وما إلى ذلك.
النمذجة المجسمة
لا تظهر الهجمات أي تفضيل لقطاعات بعينها، لكن العدد الكبير من أجهزة الحاسب الهندسية التي تعرضت للهجوم، بما يشمل الأنظمة المستخدمة للنمذجة المجسمة والمادية، والتوائم الرقمية، تشير إلى أن التجسس الصناعي قد يكون هدفا مشتركا في جميع الهجمات.
واستغرب الخبراء أن بعض الضحايا تربطهم علاقات بضحايا حملة Lazarus التي أبلغ عنها في السابق فريق الاستجابة لطوارئ الحاسب في نظم الرقابة الصناعية لدى كاسبرسكي، كما استغربوا إرسال البيانات إلى خوادم المهاجمين عبر بروتوكول نادر باستخدام مكتبة أدوات استخدمتها سابقا عصابة APT41 مع برمجياتها الخبيثة.
لكن كاسبرسكي لم تربط الحملة الحالية بـ Lazarus أو أي جهة تهديد معروفة، نظرا للعدد الكبير من الضحايا وعدم وجود تركيز واضح للحملة.
حملة غير عادية
واعتبر خبير الأمن الرقمي لدى كاسبرسكي فياتشيسلاف كوبيتسيف، هذه الحملة «غير عادية بالمرة»، قائلا إن الخبراء ما زالوا يجمعون معا كل ما بحوزتهم من معلومات.
وأضاف: «هذا تهديد يستوجب على المتخصصين الانتباه إليه وتوخي الحذر منه بعد أن تمكن من شق طريقه إلى الآلاف من أجهزة الحاسوب المرتبطة بنظم الرقابة الصناعية لدى جهات بينها العديد من الشركات والمؤسسات المرموقة. وسنواصل تحقيقاتنا، ونبقي مجتمع الأمن الرقمي على اطلاع على أي نتائج جديدة نتوصل إليها».
النقاط الطرفية
وأوصى خبراء كاسبرسكي المؤسسات باتباع عدد من التدابير للبقاء في مأمن من حملة PseudoManuscrypt، بتثبيت نظام لحماية للنقاط الطرفية على جميع الخوادم ومحطات العمل، والتحقق من تمكين جميع مكونات حماية النقاط الطرفية على جميع الأنظمة، وأن هناك سياسة مطبقة تتطلب إدخال كلمة مرور المسؤول في حالة محاولة شخص ما تعطيل النظام، مؤكدين أهمية التحقق من أن سياسات Active Directory تتضمن قيودا على محاولات المستخدم تسجيل الدخول إلى الأنظمة.
وقالوا إنه يجب أن يسمح للمستخدمين فقط بتسجيل الدخول إلى الأنظمة التي يحتاجون للوصول إليها لأداء مسؤولياتهم الوظيفية، وحصر الاتصالات الشبكية، بما فيها شبكات VPN، في الأنظمة المتصلة بشبكات التقنيات التشغيلية، وحظر التوصيلات على جميع تلك المنافذ غير المطلوبة لاستمرارية العمليات وسلامتها.
الخدمات المدارة
كما أوصوا بتدريب الموظفين على العمل مع الإنترنت والبريد الإلكتروني وقنوات الاتصال الأخرى بشكل آمن، وعلى وجه التحديد شرح العواقب المحتملة لتنزيل الملفات وتنفيذها من مصادر لم يجر التحقق منها، واستخدام الحسابات ذات امتيازات المسؤول المحلي ومسؤول النطاق، فقط عند الضرورة، لأداء المسؤوليات الوظيفية، مشددا بأهمية الأخذ في الاعتبار استخدام خدمات المدارة الخاصة بالكشف عن التهديدات والاستجابة لها، للتمكن من اكتساب المعرفة عالية المستوى بسرعة والحصول على خبرة المتخصصين في مجال الأمن.