مع بداية عام 2020 كشفتقرير كاسبرسكي عن ظهور سلسلة من الهجمات الموجهة التي استهدفت اختراق الشركات الصناعية في

تكنولوجيا,أخبار التكنولوجيا,اختراق الشركات الصناعية,كاسبرسكي

الجمعة 15 يناير 2021 - 23:00
رئيس مجلس الإدارة
أحمد التلاوي
رئيس التحرير
إبراهيم موسى

الهجمات تستخدم برمجيات Microsoft Office

9 توصيات لمواجهة اختراق الشركات الصناعية إلكترونيًا

اختراق الشركات الصناعية
اختراق الشركات الصناعية

مع بداية عام 2020 كشف تقرير كاسبرسكي عن ظهور سلسلة من الهجمات الموجهة التي استهدفت اختراق الشركات الصناعية في عدة دول حول العالم، تركّزت هذه الهجمات، على أنظمة صناعية في اليابان وإيطاليا وألمانيا وبريطانيا، مستخدمة في ذلك برمجيات معروفة أشهرها  Microsoft Office، الأمر الذي جعل هذه البلدان تبحث عن حلول لمواجهة هذه الهجمات بعد مرور أكثر من 5 أشهر.



ووفقًا لأحدث النتائج التي توصل إليها فريق الاستجابة للطوارئ الإلكترونية لنظم الرقابة الصناعية لدى كاسبرسكي، فإن الهجمات على الشركات الصناعية استهدفت برمجيات موردي المعدات لهذه لشركات.

وأظهر البحث أن المهاجمين استخدموا مستندات Microsoft Office ملغّمة، ونصوص PowerShell برمجية، وتقنيات متنوعة تصعّب اكتشاف البرمجيات الخبيثة وتحليلها، كإدراج الرسائل والمعلومات السرية ضمن الملفات، بصفته أسلوبًا متبعًا لإخفاء حقيقة وجود البيانات داخل الملفات أو النصوص.

وتجتذب الهجمات الموجهة إلى أهداف صناعية اهتمامًا متزايدًا من طرف مجتمع الأمن الرقمي؛ فهي معقدة ومركزة على أنواع الشركات التي تتسم بكونها ذات قيمة عالية، والتي يمكن أن يؤدي أي خلل في عملها إلى عواقب غير محمودة، تبدأ من التجسس الصناعي وقد تنتهي بالخسائر المالية الشاملة.

ولا تختلف سلسلة الهجمات التي خضعت لتحقيق فريق كاسبرسكي عما تقدّم، فقد صُمّمت وصيغت رسائل البريد الإلكتروني التصيدية التي تُستخدم ناقلًا أوليًا للهجوم، بأسلوب ولغة يناسبان الجهة الضحية المستهدفة.

واستطاعت البرمجيات الخبيثة المستخدمة في هذا الهجوم أن تُحدث نشاطًا تخريبيًا في حال توافقت لغة نظام التشغيل مع اللغة المستخدمة في البريد التصيدي.

ففي حال الهجوم على شركة من اليابان، على سبيل المثال، كًتب نص رسالة البريد التصيدي ومستند Microsoft Office الذي يحتوي على الماكرو الخبيث، باللغة اليابانية.

أما النجاح في فكّ تشفير البرمجية الخبيثة فيحتاج إلى أن يكون لنظام التشغيل نسخة عاملة باللغة اليابانية أيضًا.

وأظهر التحليل أن المهاجمين استخدموا أداة Mimikatz لسرقة بيانات المصادقة الخاصة بحسابات Windows المخزنة على النظام المخترق.

وبوسع المهاجمين الاستفادة من هذه المعلومات في الوصول إلى أنظمة أخرى داخل الشبكة المؤسسية وتطوير الهجمات، ولعلّ من أخطر المواقف في هذا السياق تمكّن المهاجمين من اختراق حسابات مديري الشبكة.

المخطط التفصيلي لـ اختراق الشركات الصناعية الكترونيًا 

وقد تمكّنت حلول كاسبرسكي الأمنية من حظر البرمجيات الخبيثة في جميع الحالات المكتشفة، ما منع المهاجمين من مواصلة نشاطهم.

ونتيجة لذلك، ظلّ الهدف النهائي للمجرمين من تلك الهجمات مجهولًا، ويواصل خبراء فريق الاستجابة للطوارئ الإلكترونية لنظم الرقابة الصناعية لدى كاسبرسكي رصد الحالات الجديدة المشابهة.

وقال فياتشسلاف كوبيتسيف الخبير الأمني لدى كاسبرسكي، إن هذا الهجوم على الشركات الصناعية لفت الانتباه بسبب توظيف المجرمين القائمين على تنفيذه عددًا من الحلول التقنية غير الاعتيادية، مثل تشفير وحدة البرمجية الخبيثة داخل الصورة باستخدام أسلوب إخفاء المعلومات، واستضافة الصورة نفسها على موارد ويب رسمية.

وأكّد أن كل هذه التكتيكات تجعل من شبه المستحيل على أدوات مراقبة حركة مرور البيانات في الشبكة اكتشاف تنزيل هذه البرمجيات الخبيثة.

وأوضح أن هذا النشاط لا يختلف من وجهة النظر التقنية عن إمكانية الوصول المعتاد الممنوحة إلى موارد استضافة الصور الرسمية.

وأضاف الخبير الأمني: "تشير هذه الأساليب إلى الطبيعة المعقدة والانتقائية لهذه الهجمات، بجانب كونها ذات طبيعة موجهة، وما يثير القلق أن المتعاقدين مع الشركات الصناعية كانوا هم بدورهم بين ضحايا الهجمات.. إذ قد يؤدي وقوع بيانات المصادقة الخاصة بموظفي الجهات المتعاقدة في أيدي المخربين إلى العديد من العواقب غير المحمودة، كسرقة البيانات السرية وشنّ الهجمات على المؤسسات الصناعية من خلال أدوات الإدارة عن بعد التي تستخدمها الجهات المتعاقدة".

توصيات مواجهة اختراق الشركات الصناعية:

وأوصى فرق البحث في مواجهة اختراق الشركات الصناعية بعدة توصيات للحد من مخاطر التعرض للهجمات الرقمية التي تعرضت لها الشركات الصناعية:

ـ تقديم التدريب للموظفين على كيفية التعامل مع البريد الإلكتروني بشكل آمن، وتمكينهم من تحديد رسائل البريد الإلكتروني التصيدية.

ـ تقييد القدرة على تنفيذ وحدات الماكرو التي قد تحملها مستندات Microsoft Office.

ـ تقييد القدرة على تنفيذ نصوص PowerShell البرمجية ما أمكن.

ـ الانتباه بالتحديد إلى إطلاق تطبيقات Microsoft Office عملية تنفيذ لنصوص PowerShell، ومنع البرمجيات من تلقي امتيازات SeDebugPrivilege ما أمكن.

ـ تثبيت حل أمني عند النقاط الطرفية في الشبكات المؤسسية لإدارة سياسات الأمن مركزيًا، والوصول إلى أحدث قواعد بيانات مكافحة الفيروسات والوحدات البرمجية الخاصة بالحلول الأمنية.

ـ استخدام الحلول الأمنية للنقاط الطرفية على التقنيات شبكات التشغيلية، لضمان الحماية الشاملة لجميع الأنظمة الحيوية الصناعية.

ـ قصر استخدام الحسابات ذات الحقوق الإدارية للشبكات على الحالات الضرورية، ويجب إجراء عملية إعادة تشغيل للنظام الذي جرت عليه المصادقة، وذلك بعد استخدام هذه الحسابات.

ـ تنفيذ سياسة خاصة بكلمات المرور تفرض وجود مستوى عالٍ من التعقيد والتغيير الدوري لكلمات المرور.

ـ المسارعة إلى إجراء فحص لمكافحة الفيروسات وفرض تغيير كلمات المرور لجميع الحسابات التي استخدمت لتسجيل الدخول على الأنظمة، عند وجود اشتباه أولي بإصابة النظام.طريقة اختراق الشركات الصناعية