كاسبرسكي تكشف عن تفاصيل جديدة لسلسلة هجمات استهدفت الشركات الصناعية

أُبلغ في أوائل العام 2020 عن سلسلة من الهجمات الموجهة التي استهدفت شركات صناعية في عدة دول حول العالم. وتركّزت الهجمات، وفقًا لأحدث النتائج التي توصل إليها فريق الاستجابة للطوارئ الإلكترونية لنظم الرقابة الصناعية لدى كاسبرسكي، على أنظمة صناعية في اليابان وإيطاليا وألمانيا وبريطانيا. وتضمّنت قائمة الأهداف موردي معدات وبرمجيات للشركات الصناعية. وأظهر البحث الذي أجراه الفريق أن المهاجمين استخدموا مستندات Microsoft Office ملغّمة، ونصوص PowerShell برمجية، وتقنيات متنوعة تصعّب اكتشاف البرمجيات الخبيثة وتحليلها، كإدراج الرسائل والمعلومات السرية ضمن الملفات، بصفته أسلوبًا متبعًا لإخفاء حقيقة وجود البيانات داخل الملفات أو النصوص.
 
وتجتذب الهجمات الموجهة إلى أهداف صناعية اهتمامًا متزايدًا من طرف مجتمع الأمن الرقمي؛ فهي معقدة ومركزة على أنواع الشركات التي تتسم بكونها ذات قيمة عالية، والتي يمكن أن يؤدي أي خلل في عملها إلى عواقب غير محمودة، تبدأ من التجسس الصناعي وقد تنتهي بالخسائر المالية الشاملة.
 
ولا تختلف سلسلة الهجمات التي خضعت لتحقيق فريق كاسبرسكي عما تقدّم، فقد صُمّمت وصيغت رسائل البريد الإلكتروني التصيدية التي تُستخدم ناقلًا أوليًا للهجوم، بأسلوب ولغة يناسبان الجهة الضحية المستهدفة. واستطاعت البرمجيات الخبيثة المستخدمة في هذا الهجوم أن تُحدث نشاطًا تخريبيًا في حال توافقت لغة نظام التشغيل مع اللغة المستخدمة في البريد التصيدي. ففي حال الهجوم على شركة من اليابان، على سبيل المثال، كًتب نص رسالة البريد التصيدي ومستند Microsoft Office الذي يحتوي على الماكرو الخبيث، باللغة اليابانية. أما النجاح في فكّ تشفير البرمجية الخبيثة فيحتاج إلى أن يكون لنظام التشغيل نسخة عاملة باللغة اليابانية أيضًا.
 
وأظهر التحليل الدقيق أن المهاجمين استخدموا أداة Mimikatz لسرقة بيانات المصادقة الخاصة بحسابات Windows المخزنة على النظام المخترق. وبوسع المهاجمين الاستفادة من هذه المعلومات في الوصول إلى أنظمة أخرى داخل الشبكة المؤسسية وتطوير الهجمات. ولعلّ من أخطر المواقف في هذا السياق تمكّن المهاجمين من اختراق حسابات مديري الشبكة.
 

المخطط التفصيلي للهجوم
 
وقد تمكّنت حلول كاسبرسكي الأمنية من حظر البرمجيات الخبيثة في جميع الحالات المكتشفة، ما منع المهاجمين من مواصلة نشاطهم. ونتيجة لذلك، ظلّ الهدف النهائي للمجرمين من تلك الهجمات مجهولًا. ويواصل خبراء فريق الاستجابة للطوارئ الإلكترونية لنظم الرقابة الصناعية لدى كاسبرسكي رصد الحالات الجديدة المشابهة. ويمكن للشركات التي تواجه مثل هذا الهجوم الإبلاغ عنه عبر نموذج خاص على موقع كاسبرسكي.
 
وقال فياتشسلاف كوبيتسيف الخبير الأمني لدى كاسبرسكي، إن هذا الهجوم لفت الانتباه بسبب توظيف المجرمين القائمين على تنفيذه عددًا من الحلول التقنية غير الاعتيادية، مثل تشفير وحدة البرمجية الخبيثة داخل الصورة باستخدام أسلوب إخفاء المعلومات، واستضافة الصورة نفسها على موارد ويب رسمية. وأكّد أن كل هذه التكتيكات تجعل من شبه المستحيل على أدوات مراقبة حركة مرور البيانات في الشبكة اكتشاف تنزيل هذه البرمجيات الخبيثة، موضحًا أن هذا النشاط لا يختلف من وجهة النظر التقنية عن إمكانية الوصول المعتاد الممنوحة إلى موارد استضافة الصور الرسمية.
 
وأضاف الخبير الأمني: "تشير هذه الأساليب إلى الطبيعة المعقدة والانتقائية لهذه الهجمات، بجانب كونها ذات طبيعة موجهة. وما يثير القلق أن المتعاقدين مع الشركات الصناعية كانوا هم بدورهم بين ضحايا الهجمات. إذ قد يؤدي وقوع بيانات المصادقة الخاصة بموظفي الجهات المتعاقدة في أيدي المخربين إلى العديد من العواقب غير المحمودة، كسرقة البيانات السرية وشنّ الهجمات على المؤسسات الصناعية من خلال أدوات الإدارة عن بعد التي تستخدمها الجهات المتعاقدة".
 
من جانبه شدّد أنطون شيبولين رئيس حلول الأعمال التجارية للأمن الرقمي الصناعي لدى كاسبرسكي، على أهمية تحقيق أعلى مستويات الحماية لأجهزة الحاسوب والخوادم المتصلة بكل من الشبكات التقنية والتشغيلية في محطات توليد الطاقة الكهربائية، على سبيل المثال، لضمان عمل هذه المحطات باعتمادية عالية، وذلك في ظلّ الهجمات التي تُشنّ على الجهات المتعاقدة مع الشركات الصناعية. وقال شيبولين إنه على الرغم من أن ترسيخ الحماية على النقاط الطرفية وحدها قد تكون كافيًا لمنع حدوث هجمات مماثلة في هذه الحالات لا تزال كاسبرسكي توصي باتباع النهج الأشمل لدعم الدفاع الإلكتروني الكامل للمنشآت الصناعية، معتبرًا أن الهجمات من خلال المتعاقدين والموردين قد تشكّل "منافذ موصلة إلى قلب المنشأة، قد يكون بعضها متصلًا بالشبكات التشغيلية"
 
وأضاف: "مع أن أهداف الهجوم ظلت غير واضحة، يبقى من الأدق أمنيًا افتراض قدرة المهاجمين على الوصول إلى الأنظمة الحيوية للمنشأة الصناعية. ويمكن أن تكون الوسائل الحديثة لرصد الشبكات، والكشف عن الحالات الشاذة في حركة البيانات، والكشف عن الهجمات، مفيدة في الكشف عن علامات وقوع هجمات على الأنظمة الصناعية ومعدات الرقابة الصناعية في الوقت المناسب، وبالتالي منع وقوع حادث أمني محتمل".
 
وتوصي كاسبرسكي الشركات الصناعية بما يلي للحدّ من مخاطر التعرض للهجمات الرقمية:
• تقديم التدريب للموظفين على كيفية التعامل مع البريد الإلكتروني بشكل آمن، وتمكينهم من تحديد رسائل البريد الإلكتروني التصيدية.
• تقييد القدرة على تنفيذ وحدات الماكرو التي قد تحملها مستندات Microsoft Office.
• تقييد القدرة على تنفيذ نصوص PowerShell البرمجية ما أمكن.
• الانتباه بالتحديد إلى إطلاق تطبيقات Microsoft Office عملية تنفيذ لنصوص PowerShell، ومنع البرمجيات من تلقي امتيازات SeDebugPrivilege ما أمكن.
• تثبيت حل أمني عند النقاط الطرفية في الشبكات المؤسسية، مثل Kaspersky Endpoint Security for Business، الذي يتمتع بالقدرة على إدارة سياسات الأمن مركزيًا، والوصول إلى أحدث قواعد بيانات مكافحة الفيروسات والوحدات البرمجية الخاصة بالحلول الأمنية.
• استخدام الحلول الأمنية للنقاط الطرفية على التقنيات شبكات التشغيلية، مثل KICS for Nodes and KICS for Networks، ضمانًا للحماية الشاملة لجميع الأنظمة الحيوية الصناعية.
• قصر استخدام الحسابات ذات الحقوق الإدارية للشبكات على الحالات الضرورية. ويجب إجراء عملية إعادة تشغيل للنظام الذي جرت عليه المصادقة، وذلك بعد استخدام هذه الحسابات.
• تنفيذ سياسة خاصة بكلمات المرور تفرض وجود مستوى عالٍ من التعقيد والتغيير الدوري لكلمات المرور.
• المسارعة إلى إجراء فحص لمكافحة الفيروسات وفرض تغيير كلمات المرور لجميع الحسابات التي استخدمت لتسجيل الدخول على الأنظمة، عند وجود اشتباه أولي بإصابة النظام.