مجرمو الإنترنت يستغلون الأدوات الرسمية في 30% من الهجمات الرقمية الناجحة
وجد فريق كاسبرسكي العالمي للاستجابة لحالات الطوارئ أن ما يقرب من ثلث الهجمات الرقمية (30%) التي حقق فيها في العام 2019 تضمنّت استغلال المهاجمين أدوات برمجية رسمية لإدارة الأنظمة عن بُعد، ما قد يجعل هجماتهم وأنشطتهم غير مكتشفة لفترة طويلة. وبلغ متوسط فترة هجمات التجسّس الإلكتروني وسرقة البيانات السرية 122 يومًا جرّاء استغلال المهاجمين أدوات رسمية معروفة. وقد وردت هذه النتائج وغيرها في تقرير كاسبرسكي الجديد الخاص بتحليلات الاستجابة للحوادث.
وتساعد برمجيات المراقبة والإدارة مسؤولي تقنية المعلومات والشبكات على أداء مهامهم اليومية، مثل اكتشاف الأخطاء وإصلاحها وتقديم الدعم الفني للموظفين. ومع ذلك، يمكن لمجرمي الإنترنت بدورهم استغلال هذه الأدوات البرمجية الرسمية المشروعة أثناء شنّهم هجمات رقمية على البنى التحتية للشركات، إذ تتيح لهم تشغيل العمليات على النقاط الطرفية (الأجهزة المتصلة بالشبكة)، والوصول إلى المعلومات الحساسة واستخراجها، وتجاوُز مختلف التدابير الأمنية التي تهدف إلى اكتشاف البرمجيات الخبيثة.
وفي المجموع، أظهر تحليل البيانات مجهولة المصدر المستمدة من حالات الاستجابة للحوادث أن 18 أداة رسمية مختلفة قد أسيء استخدامها من مجرمي الإنترنت لأغراض تخريبية، وقد جاءت أداة الإدارة عن بُعد القوية PowerShell على رأسها (25% من الحالات)، والتي استخدمت في عدّة أغراض، بينها جمع المعلومات وتشغيل البرمجيات الخبيثة. كذلك استخدم المهاجمون الأداة PsExec في 22% من الهجمات، وهي وحدة تحكّم مصمّمة لإطلاق العمليات على النقاط الطرفية البعيدة. وجاءت الأداة SoftPerfect Network Scanner (بنسبة 14%) التي تعمل على استرداد المعلومات المتعلقة بالبيئات الشبكية.
ويصعب على الحلول الأمنية اكتشاف الهجمات التي تُستخدم فيها أدوات برمجية رسمية، نظرًا لأن الإجراءات التي تتمّ بوساطتها يمكن أن تكون جزءًا من مهام العمل الاعتيادية التي يؤديها مسؤول النظام. وبلغ متوسط مدة الحوادث الرقمية في الهجمات التي استمرت أكثر من شهر، 122 يومًا، ومن المرجّح أنه أمكن لمجرمي الإنترنت جمع بيانات حساسة خاصة بضحاياهم نظرًا لعدم اكتشافهم لمُددٍ طويلة.
ومع ذلك، لاحظ خبراء كاسبرسكي أن الإجراءات الخبيثة التي تُتخذ في بعض الأحيان باستخدام أدوات برمجية رسمية سرعان ما تكشف عن نفسها بحسب الغرض من الهجوم، كأن يكون هجومًا لطلب الفدية على سبيل المثال يمكن معه مشاهدة الأضرار بوضوح. وقد بلغ متوسط مدة الهجوم للهجمات القصيرة يومًا واحدًا فقط.
وقال كونستنتين سابرونوف رئيس فريق كاسبرسكي العالمي للاستجابة لحالات الطوارئ، إن المهاجمين يستخدمون على نطاق واسع البرمجيات المطوَّرة لتلبية احتياجات المستخدم العادي، وتنفيذ مهام مسؤولي الأنظمة مثل تشخيصها، وذلك للحفاظ على عملهم في الخفاء ضمن الشبكة المخترقة وتجنُّب الانكشاف لأطول فترة ممكنة. وأضاف: “يمكن للمهاجمين باستخدام هذه الأدوات جمع معلومات حول الشبكات المؤسسية، ثم تغيير إعدادات البرمجيات والأجهزة أو حتى تنفيذ بعض الإجراءات التخريبية، فيمكنهم مثلًا استخدام برمجية رسمية لتشفير بيانات العملاء، فضلًا عن مساعدتهم في البقاء بعيدًا عن أعين محللي الأمن، الذين غالبًا ما لا يكتشفون الهجوم إلاّ بعد وقوع الضرر. لكن هذه الأدوات لا يمكن استبعادها لأسباب عديدة، بل إن توظيفها بالشكل الصحيح سيساعد في اكتشاف النشاط المشبوه في الشبكة والهجمات المعقدة في مراحل مبكرة”.
، وينبغي للشركات والمؤسسات اتخاذ تدابير مهمة من بينها توظيف حلّ لاكتشاف التهديدات عند النقاط الطرفية والاستجابة لها (EDR) مع خدمة MDR، للتمكّن من اكتشاف هذه الهجمات والرد عليها في الوقت المناسب. وتستطيع خدمة MITER ATT&CK®️ Round 2 Evaluation أن تُقيّم حلولًا مختلفة تشمل Kaspersky EDR وخدمة Kaspersky Managed Protection لمساعدة العملاء على اختيار منتجات EDR التي تتوافق مع احتياجاتهم المؤسسية وتلبيها. وتُثبت نتائج تقييم الخدمة أهميّة الحلّ الشامل الذي يجمع بين منتج أمني متعدّد المستويات ومؤتمت بالكامل وخدمة البحث اليدوي عن التهديدات.
وتوصي كاسبرسكي أيضًا باتخاذ الإجراءات التالية، لتقليل فرص استغلال برمجيات الإدارة عن بُعد في اختراق البنية التحتية:
• تقييد الوصول إلى أدوات الإدارة عن بُعد من عناوين IP الخارجية، والتأكد من عدم إمكانية الوصول إلى واجهات التحكّم عن بُعد إلا من خلال عدد محدود من النقاط الطرفية.
• فرض سياسة كلمات مرور صارمة لجميع أنظمة تقنية المعلومات وتفعيل ميزة المصادقة متعددة العوامل.
• اتباع مبدأ منح الموظفين امتيازات وصول محدودة ومنح امتيازات الوصول العالية لمن يحتاجون إليها لأداء وظيفتهم.