نكشف عن تفاصيل جديدة لسلسلة هجمات الكترونية استهدفت الشركات الصناعية
أُبلغ في أوائل العام 2020 عن سلسلة من الهجمات الموجهة التي استهدفت شركات صناعية في عدة دول حول العالم. وتركّزت الهجمات، وفقًا لأحدث النتائج التي توصل إليها فريق الاستجابة للطوارئ الإلكترونية لنظم الرقابة الصناعية لدى كاسبرسكي، على أنظمة صناعية في اليابان وإيطاليا وألمانيا وبريطانيا. وتضمّنت قائمة الأهداف موردي معدات وبرمجيات للشركات الصناعية. وأظهر البحث الذي أجراه الفريق أن المهاجمين استخدموا مستندات Microsoft Officeملغّمة، ونصوص PowerShell برمجية، وتقنيات متنوعة تصعّب اكتشاف البرمجيات الخبيثة وتحليلها، كإدراج الرسائل والمعلومات السرية ضمن الملفات، بصفته أسلوبًا متبعًا لإخفاء حقيقة وجود البيانات داخل الملفات أو النصوص.
وتجتذب الهجمات الموجهة إلى أهداف صناعية اهتمامًا متزايدًا من طرف مجتمع الأمن الرقمي؛ فهي معقدة ومركزة على أنواع الشركات التي تتسم بكونها ذات قيمة عالية، والتي يمكن أن يؤدي أي خلل في عملها إلى عواقب غير محمودة، تبدأ من التجسس الصناعي وقد تنتهي بالخسائر المالية الشاملة.
ولا تختلف سلسلة الهجمات التي خضعت لتحقيق فريق كاسبرسكي عما تقدّم، فقد صُمّمتوصيغت رسائل البريد الإلكتروني التصيدية التي تُستخدم ناقلًا أوليًاللهجوم، بأسلوب ولغة يناسبان الجهة الضحية المستهدفة. واستطاعت البرمجيات الخبيثة المستخدمة في هذا الهجوم أن تُحدث نشاطًا تخريبيًا في حال توافقت لغة نظام التشغيل مع اللغة المستخدمة في البريد التصيدي. ففي حال الهجوم على شركة من اليابان، على سبيل المثال،كًتب نص رسالة البريد التصيدي ومستند Microsoft Officeالذي يحتوي على الماكرو الخبيث، باللغة اليابانية. أما النجاح في فكّ تشفير البرمجية الخبيثة فيحتاج إلى أن يكون لنظام التشغيل نسخة عاملة باللغة اليابانية أيضًا.
وأظهر التحليل الدقيق أن المهاجمين استخدموا أداة Mimikatz لسرقة بيانات المصادقة الخاصة بحسابات Windows المخزنة على النظام المخترق. وبوسع المهاجمين الاستفادة من هذه المعلومات في الوصول إلى أنظمة أخرى داخل الشبكة المؤسسية وتطوير الهجمات. ولعلّ من أخطر المواقف في هذا السياقتمكّن المهاجمين من اختراق حسابات مديري الشبكة.
وقد تمكّنت حلول كاسبرسكي الأمنية من حظر البرمجيات الخبيثة في جميع الحالات المكتشفة، ما منع المهاجمين من مواصلة نشاطهم. ونتيجة لذلك، ظلّ الهدف النهائي للمجرمين من تلك الهجمات مجهولًا. ويواصل خبراءفريق الاستجابة للطوارئ الإلكترونية لنظم الرقابة الصناعية لدى كاسبرسكي رصد الحالات الجديدة المشابهة. ويمكن للشركات التي تواجه مثل هذا الهجوم الإبلاغ عنه عبر نموذج خاص على موقع كاسبرسكي.
وقال فياتشسلاف كوبيتسيف الخبير الأمني لدى كاسبرسكي، إن هذا الهجوم لفت الانتباه بسبب توظيف المجرمين القائمين على تنفيذه عددًا من الحلول التقنية غير الاعتيادية، مثل تشفير وحدة البرمجية الخبيثة داخل الصورة باستخدام أسلوب إخفاء المعلومات، واستضافة الصورة نفسها على موارد ويب رسمية. وأكّد أن كل هذه التكتيكات تجعل من شبه المستحيل على أدوات مراقبة حركة مرور البيانات في الشبكة اكتشاف تنزيل هذه البرمجيات الخبيثة، موضحًا أن هذا النشاطلا يختلف من وجهة النظر التقنية عن إمكانية الوصول المعتاد الممنوحةإلى موارد استضافة الصور الرسمية.
وأضاف الخبير الأمني: "تشير هذه الأساليب إلى الطبيعة المعقدة والانتقائية لهذه الهجمات، بجانب كونها ذات طبيعة موجهة. وما يثير القلق أن المتعاقدين مع الشركات الصناعية كانوا هم بدورهمبين ضحايا الهجمات. إذ قد يؤدي وقوع بيانات المصادقة الخاصة بموظفي الجهات المتعاقدة في أيدي المخربينإلى العديد من العواقب غير المحمودة، كسرقة البيانات السرية وشنّ الهجمات على المؤسسات الصناعية من خلال أدوات الإدارة عن بعد التي تستخدمها الجهات المتعاقدة".
من جانبه شدّد أنطون شيبولين رئيس حلول الأعمال التجارية للأمن الرقمي الصناعي لدى كاسبرسكي، على أهمية تحقيقأعلى مستويات الحماية لأجهزةالحاسوب والخوادم المتصلة بكل من الشبكات التقنية والتشغيلية في محطات توليد الطاقة الكهربائية، على سبيل المثال، لضمان عمل هذه المحطات باعتمادية عالية، وذلك في ظلّ الهجمات التي تُشنّ على الجهات المتعاقدة مع الشركات الصناعية. وقال شيبولين إنه على الرغم من أن ترسيخ الحماية على النقاط الطرفية وحدها قد تكون كافيًا لمنع حدوث هجمات مماثلة في هذه الحالات لا تزال كاسبرسكي توصي باتباع النهج الأشمل لدعم الدفاع الإلكتروني الكامل للمنشآت الصناعية، معتبرًا أن الهجمات من خلال المتعاقدين والموردين قد تشكّل "منافذ موصلة إلى قلب المنشأة، قد يكون بعضها متصلًا بالشبكات التشغيلية"
وأضاف: "مع أن أهداف الهجوم ظلت غير واضحة، يبقى من الأدق أمنيًا افتراض قدرة المهاجمين على الوصول إلى الأنظمة الحيوية للمنشأة الصناعية. ويمكن أن تكون الوسائل الحديثة لرصد الشبكات، والكشف عن الحالات الشاذة في حركة البيانات، والكشف عن الهجمات،مفيدة في الكشف عن علامات وقوع هجمات على الأنظمة الصناعية ومعدات الرقابة الصناعية في الوقت المناسب، وبالتالي منع وقوع حادث أمني محتمل".
