العصابة استخدمت أجهزة الحاسب الهندسية المتصلة بنظم أتمتة المباني
اكتشف باحثون في نظم الرقابة الصناعية، خلال منتصف أكتوبر الماضي، جهة تهديد مجهولة ناطقة بالصينية تهاجم شركات الاتصالات والتصنيع والنقل في العديد من البلدان الآسيوية.
واستغلت العصابة الرقمية خلال الهجمات الأولية، ثغرة في «إم إس إكستشينج»؛ لنشر برمجية «شادو باد» الخبيثة، كما استطاعت التسلّل إلى نظم أتمتة المباني في إحدى الشركات التي وقعت ضحية لها.
يربط نظام أتمتة المباني جميع الوظائف داخل المبنى، من تشغيل الكهرباء وأنظمة تكييف الهواء إلى مكافحة الحرائق والأمن، ويُدار من مركز تحكّم واحد. وبمجرد اختراق هذا النظام، تصبح جميع العمليات داخل تلك المؤسسة في خطر، ومنها المتعلقة بأمن المعلومات.
تكتيكات فريدةوشهد الخبراء في فريق الاستجابة لطوارئ الحاسب في نظم الرقابة الصناعية لدى كاسبرسكي، هجمات شُنّت على مؤسسات في باكستان وأفغانستان وماليزيا في قطاعات الاتصالات والتصنيع.
واتسمت الهجمات بمجموعة فريدة من التكتيكات والأساليب والإجراءات التي دفعت الخبراء للاعتقاد بأن الجهة التخريبية القائمة وراءها هي تلك العصابة الناطقة بالصينية.
وكان مما لفت انتباه الخبراء استخدام العصابة أجهزة الحاسب الهندسية المتصلة بنظم أتمتة المباني، والتي تشكّل جزءًا من البنى التحتية للمؤسسات، للنفاذ إلى المؤسسات، وهو أمر غير معتاد في الهجمات التي تشنّها عصابات التهديدات المتقدمة المستمرة، التي يصبح بإمكانها، بعد السيطرة على هذه الأنظمة، الوصول إلى أنظمة أخرى أكثر حساسية وأهمية.
ستار برمجيات
وكانت الأداة الرئيسية التي اعتمدت عليها العصابة في الهجمات، المنفذ الخلفي «شادو باد»، وفق ما أظهر التحقيق.
وشهدت كاسبرسكي استخدام هذه البرمجية الخبيثة من قبل العديد من جهات التهديدات المتقدمة المستمرة الناطقة بالصينية.
وأثناء هجمات العصابة المشار إليها، جرى تنزيل المنفذ الخلفي «شادو باد» على أجهزة الحاسب التي هوجمت، وذلك تحت ستار برمجيات رسمية أخرى.
واستغلت العصابة، في كثير من الحالات، ثغرة أمنية معروفة في «أم أس إكستشينج» وأدخلت الأوامر يدويًا، ما يشير إلى الطبيعة شديدة التوجيه والدقة لحملاتها.
اكتشاف مبكر
وتُعدّ نظم أتمتة المباني أهدافًا نادرة للعصابات الناشطة في مجال التهديدات المتقدّمة، بحسب كيريل كروجلوف الخبير الأمني في فريق الاستجابة لطوارئ الحاسب في نظم الرقابة الصناعية لدى كاسبرسكي، الذي أوضح أن هذه النظم قد تكون «مصدرًا قيّمًا للمعلومات شديدة السرية»، مشيرًا إلى أنها قد تقدّم للمهاجمين «منفذًا سريًا» إلى مناطق أخرى في البنى التحتية أكثر أمنًا.
وقال: «يجب اكتشاف هذه الهجمات والتخفيف من وطأتها في مراحلها المبكرة جدًا، نظرًا لأنها قادرة على التطوّر بسرعة كبيرة، لذا فإننا نوصي بتشديد المراقبة المستمرة للأنظمة المذكورة، لا سيما في القطاعات الحيوية».
تحديث منتظم
وأوصى الخبراء بالحرص على التحديث المنتظم لأنظمة التشغيل وأية برمجيات تطبيقية تشكل جزءًا من الشبكة المؤسسية، وتطبيق التصحيحات الأمنية على معدات شبكة التقنيات التشغيلية بمجرد أن تصبح متاحة من المنتجين، مؤكدين أهمية إجراء عمليات تدقيق أمنية منتظمة لأنظمة العمليات التشغيلية لتحديد الثغرات المحتملة والقضاء عليها.
كما أوصوا باستخدام حلول مراقبة حركة البيانات وتحليلها واكتشافها في شبكة التقنيات التشغيلية، لتحسين مستوى الحماية من الهجمات التي قد تهدد أنظمة التقنيات التشغيلية والأصول المؤسسية، مطالبين بتقديم التدريب الأمني التخصّصي على أمن التقنيات التشغيلية لفرق أمن تقنية المعلومات ومهندسي التقنيات التشغيلية، في خطوة بالغة الأهمية لتحسين الاستجابة للتطورات التقنية الحديثة في الهجمات الخبيثة الجديدة والمتقدمة.
ودعا الخبراء لتزويد الفريق الأمني المسؤول عن حماية نظم الرقابة الصناعية بأحدث المعلومات المتعلقة بالتهديدات، واستخدام حلول الأمن لأجهزة التقنيات التشغيلية وشبكاتها، لضمان الحماية الشاملة لجميع النظم المهمة، مؤكدين أهمية حماية البنية التحتية لتقنية المعلومات بحلول تحمي النقاط الطرفية، وتتيح الكشف التلقائي عن التهديدات وقدرات الاستجابة لها.
واستغلت العصابة الرقمية خلال الهجمات الأولية، ثغرة في «إم إس إكستشينج»؛ لنشر برمجية «شادو باد» الخبيثة، كما استطاعت التسلّل إلى نظم أتمتة المباني في إحدى الشركات التي وقعت ضحية لها.
يربط نظام أتمتة المباني جميع الوظائف داخل المبنى، من تشغيل الكهرباء وأنظمة تكييف الهواء إلى مكافحة الحرائق والأمن، ويُدار من مركز تحكّم واحد. وبمجرد اختراق هذا النظام، تصبح جميع العمليات داخل تلك المؤسسة في خطر، ومنها المتعلقة بأمن المعلومات.
تكتيكات فريدةوشهد الخبراء في فريق الاستجابة لطوارئ الحاسب في نظم الرقابة الصناعية لدى كاسبرسكي، هجمات شُنّت على مؤسسات في باكستان وأفغانستان وماليزيا في قطاعات الاتصالات والتصنيع.
واتسمت الهجمات بمجموعة فريدة من التكتيكات والأساليب والإجراءات التي دفعت الخبراء للاعتقاد بأن الجهة التخريبية القائمة وراءها هي تلك العصابة الناطقة بالصينية.
وكان مما لفت انتباه الخبراء استخدام العصابة أجهزة الحاسب الهندسية المتصلة بنظم أتمتة المباني، والتي تشكّل جزءًا من البنى التحتية للمؤسسات، للنفاذ إلى المؤسسات، وهو أمر غير معتاد في الهجمات التي تشنّها عصابات التهديدات المتقدمة المستمرة، التي يصبح بإمكانها، بعد السيطرة على هذه الأنظمة، الوصول إلى أنظمة أخرى أكثر حساسية وأهمية.
ستار برمجيات
وكانت الأداة الرئيسية التي اعتمدت عليها العصابة في الهجمات، المنفذ الخلفي «شادو باد»، وفق ما أظهر التحقيق.
وشهدت كاسبرسكي استخدام هذه البرمجية الخبيثة من قبل العديد من جهات التهديدات المتقدمة المستمرة الناطقة بالصينية.
وأثناء هجمات العصابة المشار إليها، جرى تنزيل المنفذ الخلفي «شادو باد» على أجهزة الحاسب التي هوجمت، وذلك تحت ستار برمجيات رسمية أخرى.
واستغلت العصابة، في كثير من الحالات، ثغرة أمنية معروفة في «أم أس إكستشينج» وأدخلت الأوامر يدويًا، ما يشير إلى الطبيعة شديدة التوجيه والدقة لحملاتها.
اكتشاف مبكر
وتُعدّ نظم أتمتة المباني أهدافًا نادرة للعصابات الناشطة في مجال التهديدات المتقدّمة، بحسب كيريل كروجلوف الخبير الأمني في فريق الاستجابة لطوارئ الحاسب في نظم الرقابة الصناعية لدى كاسبرسكي، الذي أوضح أن هذه النظم قد تكون «مصدرًا قيّمًا للمعلومات شديدة السرية»، مشيرًا إلى أنها قد تقدّم للمهاجمين «منفذًا سريًا» إلى مناطق أخرى في البنى التحتية أكثر أمنًا.
وقال: «يجب اكتشاف هذه الهجمات والتخفيف من وطأتها في مراحلها المبكرة جدًا، نظرًا لأنها قادرة على التطوّر بسرعة كبيرة، لذا فإننا نوصي بتشديد المراقبة المستمرة للأنظمة المذكورة، لا سيما في القطاعات الحيوية».
تحديث منتظم
وأوصى الخبراء بالحرص على التحديث المنتظم لأنظمة التشغيل وأية برمجيات تطبيقية تشكل جزءًا من الشبكة المؤسسية، وتطبيق التصحيحات الأمنية على معدات شبكة التقنيات التشغيلية بمجرد أن تصبح متاحة من المنتجين، مؤكدين أهمية إجراء عمليات تدقيق أمنية منتظمة لأنظمة العمليات التشغيلية لتحديد الثغرات المحتملة والقضاء عليها.
كما أوصوا باستخدام حلول مراقبة حركة البيانات وتحليلها واكتشافها في شبكة التقنيات التشغيلية، لتحسين مستوى الحماية من الهجمات التي قد تهدد أنظمة التقنيات التشغيلية والأصول المؤسسية، مطالبين بتقديم التدريب الأمني التخصّصي على أمن التقنيات التشغيلية لفرق أمن تقنية المعلومات ومهندسي التقنيات التشغيلية، في خطوة بالغة الأهمية لتحسين الاستجابة للتطورات التقنية الحديثة في الهجمات الخبيثة الجديدة والمتقدمة.
ودعا الخبراء لتزويد الفريق الأمني المسؤول عن حماية نظم الرقابة الصناعية بأحدث المعلومات المتعلقة بالتهديدات، واستخدام حلول الأمن لأجهزة التقنيات التشغيلية وشبكاتها، لضمان الحماية الشاملة لجميع النظم المهمة، مؤكدين أهمية حماية البنية التحتية لتقنية المعلومات بحلول تحمي النقاط الطرفية، وتتيح الكشف التلقائي عن التهديدات وقدرات الاستجابة لها.