السبت - 23 نوفمبر 2024
السبت - 23 نوفمبر 2024

كاسبرسكي تكتشف حملة تجسس رقمي تستهدف أنظمة الرقابة الصناعية حول العالم

كاسبرسكي تكتشف حملة تجسس رقمي تستهدف أنظمة الرقابة الصناعية حول العالم

اكتشف خبراء كاسبرسكي، برمجية خبيثة، استهدفت أكثر من 35,000 جهاز حاسوب في 195 دولة، ضمن حملة تجسس عالمية واسعة النطاق، نشطت بين 20 يناير و10 نوفمبر 2021. وأُطلق على البرمجية الجديدة اسم PseudoManuscrypt، نظراً لأوجه شبه تجمع بينها وبين برمجية Manuscrypt، التي تقف وراءها عصابة التهديدات المتقدمة المستمرة Lazarus، وهي تتضمّن قدرات تجسّس متقدّمة، وشوهدت تستهدف المؤسسات الحكومية، علاوة على أنظمة التحكّم الصناعية في شركات عاملة في العديد من القطاعات.

وتُعدّ الشركات الصناعية من أكثر الأهداف التي يطمع بها مجرمو الإنترنت، سواء لتحقيق مكاسب مالية، أو جمع معلومات استخبارية. وقد شهد عام 2021، اهتماماً بالغاً من عصابات التهديدات المتقدمة المستمرة المعروفة، مثل Lazarus وAPT41، بالشركات الصناعية. واكتشف خبراء كاسبرسكي، أثناء التحقيق في سلسلة أخرى من الهجمات، برمجية خبيثة جديدة، فيها بعض أوجه الشبه مع برمجية Manuscrypt من Lazarus، وهي برمجية مصممة خصيصاً للاستخدام في حملة ThreatNeedle، التي استهدفت الجهات العاملة في الصناعات الدفاعية، ولهذا أطلق عليها الخبراء الاسم PseudoManuscrypt .

وحظرت منتجات كاسبرسكي ما بين 20 يناير و10 نوفمبر 2021، البرمجية PseudoManuscrypt، على أكثر من 35,000 جهاز حاسوب في 195 دولة. واشتملت العديد من الأهداف على شركات صناعية، وجهات حكومية، بينها مؤسسات صناعية عسكرية، ومختبرات أبحاث. وكانت 7.2 % من أجهزة الحاسوب التي تعرّضت للهجوم، جزءاً من أنظمة الرقابة الصناعية، حيث عُدّت الهندسة وأتمتة المباني، أكثر القطاعات تضرراً.

عدد الأنظمة

ويجري تنزيل البرمجيةPseudoManuscrypt في البداية على الأنظمة المستهدفة، عبر أرشيفات برمجية مقرصنة مزيّفة، وبعضها مخصص للبرمجيات المقرصنة الموجهة لنظم الرقابة الصناعية. ويُحتمل تقديم أدوات التثبيت المزيفة هذه، عبر منصة تقدّم البرمجيات الخبيثة كخدمة. وفي بعض الحالات، ثُبّتت PseudoManuscrypt عبر شبكة البوتات سيئة السمعة Glupteba . وبعد الإصابة الأولية، تبدأ سلسلة إصابات معقدة، تنزّل في النهاية الوحدة الرئيسة للبرمجية الخبيثة. وحدّد خبراء كاسبرسكي نوعين مختلفين من هذه الوحدة، كلاهما قادر على تنفيذ قدرات تجسسية متقدمة، تتضمن تسجيل ضربات المفاتيح، ونَسخ البيانات من الحافظة، وسرقة بيانات اعتماد المصادقة على الدخول إلى شبكات VPN (وربما بروتوكول التحكم عن بُعد بسطح المكتب)، وسرقة بيانات الاتصال، ونَسخ لقطات الشاشة، وما إلى ذلك.

لا تُظهر الهجمات أي تفضيل لقطاعات بعينها، لكن العدد الكبير من أجهزة الحاسوب الهندسية التي تعرّضت للهجوم، بما يشمل الأنظمة المستخدَمة للنمذجة المجسّمة والمادية، والتوائم الرقمية، تشير إلى أن التجسّس الصناعي، قد يكون هدفاً مشتركاً في جميع الهجمات.

واستغرب الخبراء أن بعض الضحايا تربطهم علاقات بضحايا حملة Lazarus، التي أبلغ عنها في السابق فريق الاستجابة لطوارئ الحاسوب في نظم الرقابة الصناعية لدى كاسبرسكي، كما استغربوا إرسال البيانات إلى خوادم المهاجمين عبر بروتوكول نادر، باستخدام مكتبة أدوات استخدمتها سابقاً عصابة APT41، مع برمجياتها الخبيثة. لكن كاسبرسكي لم تربط الحملة الحالية بـLazarus، أو أية جهة تهديد معروفة، نظراً للعدد الكبير من الضحايا، وعدم وجود تركيز واضح للحملة.

واعتبر فياتشيسلاف كوبيتسيف خبير الأمن الرقمي لدى كاسبرسكي، هذه الحملة «غير عادية بالمرّة»، قائلاً إن الخبراء ما زالوا يجمعون معاً كل ما بحوزتهم من معلومات. وأضاف: «هذا تهديد يستوجب على المتخصصين الانتباه إليه، وتوخّي الحذر منه، بعد أن تمكّن من شق طريقه إلى الآلاف من أجهزة الحاسوب المرتبطة بنُظم الرقابة الصناعية لدى جهات، بينها العديد من الشركات والمؤسسات المرموقة. وسنواصل تحقيقاتنا، ونُبقي مجتمع الأمن الرقمي على اطلاع على أي نتائج جديدة نتوصل إليها».

توصيات كاسبرسكي

وأوصت كاسبرسكي، المؤسسات، باتباع التدابير التالية، للبقاء في مأمن:

تثبيت نظام لحماية النقاط الطرفية على جميع الخوادم ومحطات العمل.

التحقّق من تمكين جميع مكونات حماية النقاط الطرفية على جميع الأنظمة، وأن هناك سياسة مطبقة تتطلب إدخال كلمة مرور المسؤول، في حالة محاولة شخص ما تعطيل النظام.

التحقق من أن سياسات Active Directory، تتضمن قيوداً على محاولات المستخدم تسجيل الدخول إلى الأنظمة. ويجب أن يُسمح للمستخدمين فقط بتسجيل الدخول إلى الأنظمة التي يحتاجون للوصول إليها، لأداء مسؤولياتهم الوظيفية.

حصر الاتصالات الشبكية، بما فيها شبكات VPN، في الأنظمة المتصلة بشبكات التقنيات التشغيلية، وحظر التوصيلات على جميع تلك المنافذ غير المطلوبة، لاستمرارية العمليات وسلامتها.

استخدام البطاقات الذكية (الرموز)، أو الرموز المستخدمة لمرة واحدة، ضمن عوامل المصادقة الثنائية عند إنشاء اتصال .VPN أيضاً استخدام تقنية «قائمة التحكّم بالوصول»، لتقييد قائمة عناوين بروتوكول الإنترنت، التي يمكن من خلالها بدء اتصال VPN، وذلك في الحالات الممكنة.

تدريب الموظفين على العمل مع الإنترنت والبريد الإلكتروني وقنوات الاتصال الأخرى بشكل آمن، وعلى وجه التحديد، شرح العواقب المحتملة لتنزيل الملفات، وتنفيذها من مصادر لم يجرِ التحقق منها.

استخدام الحسابات ذات امتيازات المسؤول المحلي ومسؤول النطاق، فقط عند الضرورة، لأداء المسؤوليات الوظيفية.

الأخذ في الاعتبار، استخدام خدمات المُدارة الخاصة بالكشف عن التهديدات والاستجابة لها، للتمكّن من اكتساب المعرفة عالية المستوى بسرعة، والحصول على خبرة المتخصصين في مجال الأمن.

• استخدام حماية متخصّصة للأنظمة الصناعية. ويستطيع الحلّ Kaspersky Industrial CyberSecurity، حماية النقاط الطرفية الصناعية، متيحاً الرقابة على شبكة التقنيات التشغيلية، لتحديد الأنشطة الخبيثة وحظرها.