وشهد باحثو كاسبرسكي في يناير 2022 عدّة هجمات متقدمة على مؤسسات عسكرية وعامّة، تمثّل الهدف الأساسي منها في الوصول إلى معلومات الشركات والسيطرة على أنظمة تقنية المعلومات فيها. وكانت البرمجيات الخبيثة التي يستخدمها المهاجمون مشابهة لتلك التي استخدمتها عصابة التهديدات TA428، الناطقة باللغة الصينية.
تعليمات خبيثة
ويتسلّل المهاجمون إلى شبكات المؤسسات عن طريق إرسال رسائل بريد إلكتروني مُعدّة بعناية، بعضها يحتوي على معلومات سرية خاصة بالمؤسسة، لم يتم إتاحتها على الملأ في وقت إرسال رسائل البريد الإلكتروني، ما يشير إلى قوّة استعداد المهاجمين للهجمات واختيارهم الدقيق لأهدافهم.
وتتضمن رسائل البريد الإلكتروني الاحتيالية مستند مايكروسوفت وورد، يحتوي على تعليمات برمجية خبيثة تمكّن المهاجم من استغلال ثغرة أمنية وتنفيذ شيفرة برمجية بطريقة عشوائية دون أي نشاط إضافي.
وتوجد الثغرة الأمنية المستغلَّة في إصدارات قديمة من «مايكروسوفت إيكيوشن إيديتور»، أحد مكونات «مايكروسوفت أوفيس».
منافذ خلفية
واستخدم المهاجمون بالتزامن ستة منافذ خلفية مختلفة لإنشاء قنوات اتصال إضافية مع الأنظمة المصابة في حالة اكتشاف الحلول الأمنية لإحدى البرمجيات الخبيثة وإزالتها.
وتتيح هذه المنافذ الخلفية وظائف للتحكّم في الأنظمة المصابة وجمع البيانات السرية.
وتتضمن المرحلة النهائية من الهجوم «اختطاف» وحدة التحكّم في النطاق والتحكم الكامل في جميع الأجهزة المؤسسية من محطات عمل وخوادم، بل إن المهاجمين استولوا، في إحدى الحالات، على مركز التحكّم في حلول الأمن الرقمي. ونفذ المهاجمون الهجوم المعروف باسم «جولدن تيكيت» (التذكرة الذهبية)، بعد حصولهم على امتيازات الوصول الخاصة بمسؤول النطاق ووصولهم إلى الدليل النشط «أكتف ديركتوري»، لانتحال شخصيات من بين حسابات المستخدمين بطريقة عشوائية والبحث عن المستندات والملفات الأخرى المشتملة على بيانات حساسة، لتُنقل إلى خوادم تابعة للمهاجمين في بلدان مختلفة.
مصادقة افتراضية
وتستفيد هجمات «جولدن تيكيت»، من بروتوكول المصادقة الافتراضي المستخدم في النظام ويندوز 2000، بحسب فياتشيسلاف كوبيتسيف الخبير الأمني في فريق الاستجابة لطوارئ الحاسب في نظم الرقابة الصناعية لدى كاسبرسكي، الذي أوضح أن بإمكان المهاجمين، من خلال تزوير رمز المصادقة الأمنية (TGTs) ضمن الشبكة المؤسسية، الوصول باستقلالية إلى أية خدمة شبكية لمدة غير محدودة.
وقال: «عند وقوع هذا الحادث، لن يكفي مجرد تغيير كلمات المرور أو حظر الحسابات المخترقة للتصدّي للهجوم، لذلك نوصي بالتحقق بعناية من جميع الأنشطة المشبوهة والاعتماد على حلول أمنية جديرة بالثقة».
تحديث منتظم
وأوصى خبراء كاسبرسكي المؤسسات، للحفاظ على سلامة أجهزة الحاسب المرتبطة بنظم الرقابة الصناعية من التهديدات المختلفة، بالتحديث المنتظم لأنظمة التشغيل والتطبيقات التي تشكل جزءًا من الشبكة المؤسسية، من خلال الحرص على تنفيذ التصحيحات البرمجية والأمنية على أجهزة شبكات تقنية المعلومات وشبكات التقنيات التشغيلية حال إتاحتها من المطورين، إضافة إلى إجراء عمليات تدقيق أمنية منتظمة على أنظمة تقنية المعلومات والتقنيات التشغيلية لتحديد الثغرات المحتملة والقضاء عليها.
كما أوصوا باستخدام حلول المراقبة والتحليل والاكتشاف الخاصة بحركة البيانات على الشبكات الصناعية، لرفع مستوى الحماية من الهجمات التي قد تهدد العمليات التقنية والأصول المؤسسية الرئيسة، مؤكدين أهمية تقديم تدريب أمني تخصصي لفرق أمن تقنية المعلومات ومهندسي التقنيات التشغيلية لتحسين الاستجابة للتقنيات الخبيثة الجديدة والمتقدمة.
معلومات التهديدات
ودعا الخبراء لتزويد الفريق الأمني المسئول عن حماية نظم الرقابة الصناعية بأحدث المعلومات المتعلقة بالتهديدات، وتتيح خدمة التقارير الخاصة بمعلومات التهديدات، والمتعلقة بهذه النظم، من كاسبرسكي، رؤى متعمقة حول التهديدات الحالية ونواقل الهجوم، بالإضافة إلى العناصر الأضعف في أنظمة التحكم بالتقنيات التشغيلية وأنظمة الرقابة الصناعية وسبل التخفيف منها، موضحين ضرورة استخدام حلول أمن أجهزة التقنيات التشغيلية وشبكاتها، لضمان الحماية الشاملة لجميع الأنظمة الصناعية الحيوية.
