أُبلغ في أوائل العام 2020 عن سلسلة من الهجمات الموجهة التي استهدفت شركات صناعية في عدة دول حول العالم، تركزت الهجمات وفقًا لأحدث النتائج التي توصل إليها فريق الاستجابة للطوارئ الإلكترونية لنظم الرقابة الصناعية لدى كاسبرسكي على أنظمة صناعية في اليابان وإيطاليا وألمانيا وبريطانيا.
تضمنت قائمة الأهداف موردي المعدات والبرمجيات للشركات الصناعية، وأظهر البحث الذي أجراه الفريق أن المهاجمين استخدموا مستندات (Microsoft Office) ملغّمة، ونصوص (PowerShell) وتقنيات متنوعة تصعّب اكتشاف البرمجيات الخبيثة وتحليلها، مثل إدراج الرسائل والمعلومات السرية ضمن الملفات، بصفته أسلوبًا متبعًا لإخفاء حقيقة وجود البيانات داخل الملفات أو النصوص.
تجتذب الهجمات الموجهة إلى أهداف صناعية وفقًا لشركة كاسبرسكي اهتمامًا متزايدًا من طرف مجتمع الأمن الرقمي؛ فهي معقدة ومركزة على أنواع الشركات التي تتسم بكونها ذات قيمة عالية، والتي يمكن أن يؤدي أي خلل في عملها إلى عواقب غير محمودة، حيث تبدأ من التجسس الصناعي وقد تنتهي بالخسائر المالية الشاملة.
لا تختلف سلسلة الهجمات التي خضعت لتحقيق فريق كاسبرسكي عما تقدّم، فقد صُمّمت وصيغت رسائل البريد الإلكتروني التصيدية التي تُستخدم ناقلًا أوليًا للهجوم، بأسلوب ولغة يناسبان الجهة الضحية المستهدفة.
استطاعت البرمجيات الخبيثة المستخدمة في هذا الهجوم أن تُحدث نشاطًا تخريبيًا في حال توافقت لغة نظام التشغيل مع اللغة المستخدمة في البريد التصيدي، ففي حال الهجوم على شركة في اليابان، على سبيل المثال، كتب نص رسالة البريد التصيدي ومستند (Microsoft Office) الذي يحتوي على الماكرو الخبيث، باللغة اليابانية، أما النجاح في فك تشفير البرمجية الخبيثة فيحتاج إلى أن يكون لنظام التشغيل نسخة عاملة باللغة اليابانية أيضًا.
أظهر التحليل الدقيق لخبراء كاسبرسكي أن المهاجمين استخدموا أداة (Mimikatz) لسرقة بيانات المصادقة الخاصة بحسابات ويندوز المخزنة على النظام المخترق. وبوسع المهاجمين الاستفادة من هذه المعلومات في الوصول إلى أنظمة أخرى داخل الشبكة المؤسسية وتطوير الهجمات. ولعل من أخطر المواقف في هذا السياق تمكن المهاجمين من اختراق حسابات مديري الشبكة.
تمكنت حلول كاسبرسكي الأمنية من حظر البرمجيات الخبيثة في جميع الحالات المكتشفة، ما منع المهاجمين من مواصلة نشاطهم، ونتيجة لذلك ظلّ الهدف النهائي للمجرمين من تلك الهجمات مجهولًا، ويواصل خبراء فريق الاستجابة للطوارئ الإلكترونية لنظم الرقابة الصناعية لدى كاسبرسكي رصد الحالات الجديدة المشابهة، ويمكن للشركات التي تواجه مثل هذا الهجوم الإبلاغ عنه عبر نموذج خاص على موقع كاسبرسكي الإلكتروني.
قال فياتشسلاف كوبيتسيف الخبير الأمني لدى كاسبرسكي: “إن هذا الهجوم لفت الانتباه بسبب توظيف المجرمين القائمين على تنفيذه عددًا من الحلول التقنية غير الاعتيادية، مثل تشفير وحدة البرمجية الخبيثة داخل الصورة باستخدام أسلوب إخفاء المعلومات، واستضافة الصورة نفسها على موارد ويب رسمية”.
وأكّد كوبيتسيف أن كل هذه التكتيكات تجعل من شبه المستحيل على أدوات مراقبة حركة مرور البيانات في الشبكة اكتشاف تنزيل هذه البرمجيات الخبيثة، موضحًا أن هذا النشاط لا يختلف من وجهة النظر التقنية عن إمكانية الوصول المعتاد الممنوحة إلى موارد استضافة الصور الرسمية.
أضاف الخبير الأمني: “تشير هذه الأساليب إلى الطبيعة المعقدة والانتقائية لهذه الهجمات، بجانب كونها ذات طبيعة موجهة، وما يثير القلق أن المتعاقدين مع الشركات الصناعية كانوا هم بدورهم بين ضحايا الهجمات. إذ قد يؤدي وقوع بيانات المصادقة الخاصة بموظفي الجهات المتعاقدة في أيدي المخربين إلى العديد من العواقب غير المحمودة، مثل سرقة البيانات السرية وشنّ الهجمات على المؤسسات الصناعية من خلال أدوات الإدارة عن بعد التي تستخدمها الجهات المتعاقدة”.
من جانبه شدد أنطون شيبولين رئيس حلول الأعمال التجارية للأمن الرقمي الصناعي لدى كاسبرسكي على أهمية تحقيق أعلى مستويات الحماية لأجهزة الحاسوب والخوادم المتصلة بكل من الشبكات التقنية والتشغيلية في محطات توليد الطاقة الكهربائية. وقال شيبولين إنه على الرغم من أن ترسيخ الحماية على النقاط الطرفية وحدها قد تكون كافية لمنع حدوث هجمات مماثلة في هذه الحالات إلا أن كاسبرسكي توصي باتباع النهج الأشمل لدعم الدفاع الإلكتروني الكامل للمنشآت الصناعية، معتبرًا أن الهجمات من خلال المتعاقدين والموردين قد تشكل (منافذ موصلة إلى قلب المنشأة، قد يكون بعضها متصلًا بالشبكات التشغيلية).
وأضاف شيبولين: “مع أن أهداف الهجوم ظلت غير واضحة، يبقى من الأدق أمنيًا افتراض قدرة المهاجمين على الوصول إلى الأنظمة الحيوية للمنشأة الصناعية. ويمكن أن تكون الوسائل الحديثة لرصد الشبكات، والكشف عن الحالات الشاذة في حركة البيانات، والكشف عن الهجمات، مفيدة في الكشف عن علامات وقوع هجمات على الأنظمة الصناعية ومعدات الرقابة الصناعية في الوقت المناسب، وبالتالي منع وقوع حادث أمني محتمل”.
توصي كاسبرسكي الشركات الصناعية بما يلي للحد من مخاطر التعرض للهجمات الرقمية:
- تقديم التدريب للموظفين على كيفية التعامل مع البريد الإلكتروني بشكل آمن، وتمكينهم من تحديد رسائل البريد الإلكتروني التصيدية.
- تقييد القدرة على تنفيذ وحدات الماكرو التي قد تحملها مستندات (Microsoft Office).
- تقييد القدرة على تنفيذ نصوص (PowerShell) البرمجية ما أمكن.
- الانتباه بالتحديد إلى إطلاق تطبيقات (Microsoft Office) عملية تنفيذ لنصوص (PowerShell)، ومنع البرمجيات من تلقي امتيازات (SeDebugPrivilege) ما أمكن.
- تثبيت حل أمني عند النقاط الطرفية في الشبكات المؤسسية، مثل (Kaspersky Endpoint Security for Business)، الذي يتمتع بالقدرة على إدارة سياسات الأمن مركزيًا، والوصول إلى أحدث قواعد بيانات مكافحة الفيروسات والوحدات البرمجية الخاصة بالحلول الأمنية.
- استخدام الحلول الأمنية للنقاط الطرفية على تقنيات الشبكات التشغيلية، مثل (KICS for Nodes and KICS for Networks)، وذلك لضمان الحماية الشاملة لجميع الأنظمة الحيوية الصناعية.
- قصر استخدام الحسابات ذات الحقوق الإدارية للشبكات على الحالات الضرورية. ويجب إجراء عملية إعادة تشغيل للنظام الذي جرت عليه المصادقة، وذلك بعد استخدام هذه الحسابات.
- تنفيذ سياسة خاصة بكلمات المرور تفرض وجود مستوى عالٍ من التعقيد والتغيير الدوري لكلمات المرور.
- المسارعة إلى إجراء فحص لمكافحة الفيروسات وفرض تغيير كلمات المرور لجميع الحسابات التي استخدمت لتسجيل الدخول على الأنظمة، عند وجود اشتباه أولي بإصابة النظام.