كاسبرسكي تكشف عن وجود عصابة للتهديدات الرقمية تستغلّ ثغرة في MS Exchange لمهاجمة شركات الاتصالات والتصنيع
اكتشف فريق الاستجابة لطوارئ الحاسوب في نظم الرقابة الصناعية لدى كاسبرسكي، في منتصف أكتوبر 2021، جهة تهديد مجهولة ناطقة بالصينية تهاجم شركات الاتصالات والتصنيع والنقل في العديد من البلدان الآسيوية. واستغلت العصابة الرقمية خلال الهجمات الأولية، ثغرة في MS Exchange لنشر برمجية ShadowPad الخبيثة، كما استطاعت التسلّل إلى نظم أتمتة المباني في إحدى الشركات التي وقعت ضحية لها.
يربط نظام أتمتة المباني جميع الوظائف داخل المبنى، من تشغيل الكهرباء وأنظمة تكييف الهواء إلى مكافحة الحرائق والأمن، ويُدار من مركز تحكّم واحد. وبمجرد اختراق هذا النظام، تصبح جميع العمليات داخل تلك المؤسسة في خطر، ومنها المتعلقة بأمن المعلومات.
وشهد الخبراء في فريق الاستجابة لطوارئ الحاسوب في نظم الرقابة الصناعية لدى كاسبرسكي هجمات شُنّت على مؤسسات في باكستان وأفغانستان وماليزيا في قطاعات الاتصالات والتصنيع. واتسمت الهجمات بمجموعة فريدة من التكتيكات والأساليب والإجراءات التي دفعت الخبراء للاعتقاد بأن الجهة التخريبية القائمة وراءها هي تلك العصابة الناطقة بالصينية. وكان مما لفت انتباه الخبراء استخدام العصابة أجهزة الحاسوب الهندسية المتصلة بنظم أتمتة المباني، والتي تشكّل جزءًا من البنى التحتية للمؤسسات، للنفاذ إلى المؤسسات، وهو أمر غير معتاد في الهجمات التي تشنّها عصابات التهديدات المتقدمة المستمرة، التي يصبح بإمكانها، بعد السيطرة على هذه الأنظمة، الوصول إلى أنظمة أخرى أكثر حساسية وأهمية.
وكانت الأداة الرئيسية التي اعتمدت عليها العصابة في الهجمات المنفذ الخلفي ShadowPad، وفق ما أظهر التحقيق. وشهدت كاسبرسكي استخدام هذه البرمجية الخبيثة من قبل العديد من جهات التهديدات المتقدمة المستمرة الناطقة بالصينية. وأثناء هجمات العصابة المشار إليها، جرى تنزيل المنفذ الخلفي ShadowPad على أجهزة الحاسوب التي هوجمت وذلك تحت ستار برمجيات رسمية أخرى. واستغلت العصابة، في كثير من الحالات، ثغرة أمنية معروفة في MS Exchange، وأدخلت الأوامر يدويًا، ما يشير إلى الطبيعة شديدة التوجيه والدقة لحملاتها.
وتُعدّ نظم أتمتة المباني أهدافًا نادرة للعصابات الناشطة في مجال التهديدات المتقدّمة، بحسب كيريل كروغلوف الخبير الأمني في فريق الاستجابة لطوارئ الحاسوب في نظم الرقابة الصناعية لدى كاسبرسكي، الذي أوضح بأن هذه النظم قد تكون “مصدرًا قيمًا للمعلومات شديدة السرية”، مشيرًا إلى أنها قد تقدّم للمهاجمين “منفذًا سريًا” إلى مناطق أخرى في البنى التحتية أكثر أمنًا. وقال: “يجب اكتشاف هذه الهجمات والتخفيف من وطأتها في مراحلها المبكرة جدًا، نظرًا لأنها قادرة على التطوّر بسرعة كبيرة، لذا فإننا نوصي بتشديد المراقبة المستمرة للأنظمة المذكورة، لا سيما في القطاعات الحيوية”.
يمكن التعرف أكثر على الهجمات التي تستهدف نظم أتمتة المباني، على موقع الويب التابع لفريق الاستجابة للطوارئ الإلكترونية لنظم الرقابة الصناعية.
هذا، ويوصي خبراء كاسبرسكي باتباع التدابير التالية للحفاظ على سلامة حواسيب التقنيات التشغيلية وحمايتها من التهديدات المختلفة:
- الحرص على التحديث المنتظم لأنظمة التشغيل وأية برمجيات تطبيقية تشكل جزءًا من الشبكة المؤسسية، وتطبيق التصحيحات الأمنية على معدات شبكة التقنيات التشغيلية بمجرد أن تصبح متاحة من المنتجين.
- إجراء عمليات تدقيق أمنية منتظمة لأنظمة العمليات التشغيلية لتحديد الثغرات المحتملة والقضاء عليها.
- استخدام حلول مراقبة حركة البيانات وتحليلها واكتشافها في شبكة التقنيات التشغيلية، لتحسين مستوى الحماية من الهجمات التي قد تهدد أنظمة التقنيات التشغيلية والأصول المؤسسية.
- تقديم التدريب الأمني التخصّصي على أمن التقنيات التشغيلية لفرق أمن تقنية المعلومات ومهندسي التقنيات التشغيلية، في خطوة بالغة الأهمية لتحسين الاستجابة للتطورات التقنية الحديثة في الهجمات الخبيثة الجديدة والمتقدمة.
- تزويد الفريق الأمني المسؤول عن حماية نظم الرقابة الصناعية بأحدث المعلومات المتعلقة بالتهديدات. وتتيح خدمة ICS Threat Intelligence Reporting رؤى متعمقة حول التهديدات الحالية ونواقل الهجوم، بالإضافة إلى أضعف النقاط في العمليات التشغيلية وكيفية التخفيف منها.
- استخدام حلول الأمن لأجهزة التقنيات التشغيلية وشبكاتها، مثل Kaspersky Industrial CyberSecurity، لضمان الحماية الشاملة لجميع النظم المهمة.
- حماية البنية التحتية لتقنية المعلومات بحلول مثل Integrated Endpoint Security، الذي يحمي النقاط الطرفية ويتيح الكشف التلقائي عن التهديدات وقدرات الاستجابة لها.