لمجرمي الانترنت ...تكتيكات جديدة لمهاجمة الشركات الصناعية
كشف خبراء كاسبرسكي، في دراسة أجروها، عن سلسلة جديدة وسريعة التطوّر من حملات التجسّس الرقمية التي تهاجم أكثر من 2,000 شركة صناعية في أنحاء العالم،وتتسم هذه الهجمات بمحدودية عدد الأهداف في كل هجوم، وقصر عمر البرمجيات الخبيثة المستخدمة، بخلاف العديد من حملات التجسس الرقمية السائدة.
وحدّدت الدراسة أكثر من 25 سوقاً تُباع فيها البيانات المسروقة في هجمات التجسس، ونُشرت نتائج الدراسة في تقرير حديث صادر عن فريق الاستجابة لطوارئ الحاسوب في نظم الرقابة الصناعية لدى كاسبرسكي.
ولاحظ خبراء الفريق في دراسة لهم خلال النصف الأول من العام 2021، وجود حالة غريبة أثارت فضولهم في الإحصائيات الخاصة بتهديدات التجسس الرقمي المحظورة على أجهزة الحاسوب المرتبطة بنظم الرقابة الصناعية.
اقرأ أيضاً
وبالرغم من أن البرمجيات الخبيثة المستخدمة في هذه الهجمات تنتمي إلى عائلات برمجيات التجسس السلَعية المعروفة، مثل Agent Tesla/Origin Logger وHawkEye وغيرها، فإن ما يميّز هذه الهجمات عن نظيرتها السائدة يتمثل في العدد المحدود جداً من الأهداف في كل هجوم، والذي يتراوح بين بضع هجمات إلى بضع عشرات الهجمات، علاوة على العمر القصير جداً لكل برمجية خبيثة مستخدمة في شنّها.
وكشف تحليل دقيق أُجري على 58.586 عيّنة من برمجيات التجسّس التي حُظرت على أجهزة الحاسوب المرتبطة بنظم الرقابة الصناعية في النصف الأول من العام 2021، عن أن 21.2% منها تقريباً كانت جزءاً من سلسلة الهجمات الجديدة محدودة النطاق وقصيرة العمر، التي لا تزيد دورة حياتها على 25 يوماً في المتوسط، أي أقلّ بكثير من متوسط عمر حملة تجسس رقمي تقليدية.
ورغم قصر عمر كل عيّنة من برمجيات التجسس «الشاذة» ومحدودية نطاق أهدافها، فإنها تمثل حصّة كبيرة بشكل لا يتناسب من جميع هجمات التجسس. وقد تعرَّض واحد من كل سبعة أجهزة حاسوب صناعية هوجمت ببرمجيات التجسس في منطقة الشرق الأوسط، على سبيل المثال، إلى هجوم بإحدى العينات «الشاذة».
وتنتشر معظم هذه الحملات من شركة صناعية إلى أخرى عبر رسائل بريد إلكتروني تصيّدية صِيغت بعناية وإتقان، ويحوّل المهاجمون الجهاز المخترق إلى خادم للقيادة والسيطرة ويعدّونه لشنّ الهجوم التالي، ويمكنهم عبر الوصول إلى قائمة جهات الاتصال البريدي للضحية، استغلال البريد الإلكتروني المؤسسية في التوسُّع بنشر برمجيات التجسس.
وغالباً ما تصل البيانات الحساسة التي تُستخرج من أجهزة الحاسوب الصناعية إلى أسواق مختلفة، حددها خبراء كاسبرسكي بأكثر من 25 سوقاً بيعت فيها بيانات اعتماد الدخول المسروقة من حملات التجسس تلك. وأظهر تحليل لتلك الأسواق ارتفاع الطلب على بيانات الحسابات المؤسسية، لا سيما المتعلقة منها بحسابات الوصول عن بُعد إلى سطح المكتب. ووجد الباحثون كذلك أن أكثر من 46% من جميع حسابات RDP المباعة في الأسواق التي خضعت للتحليل مملوكة من شركات في الولايات المتحدة، في حين أتى الباقي من آسيا وأوروبا وأمريكا اللاتينية، وما يقرب من 4% (نحو 2.000 حساب) من جميع حسابات RDP المباعة تنتمي إلى شركات صناعية.
وتُعتبر «برمجيات التجسس المقدّمة كخدمة» سوقاً أخرى متنامية؛ فمنذ أن نُشرت الشيفرات المصدرية لبعض برمجيات التجسّس الشهيرة، أصبحت متاحة على نطاق واسع في المتاجر الرقمية في شكل خدمة. ولم يعد دور المطورين يقتصر على بيع البرمجيات الخبيثة، وإنما امتدّ لبيع تراخيص مُنشئي برمجيات خبيثة، وتصاريح وصول إلى بُنى تحتية مسبقة الإعداد لبناء البرمجيات الخبيثة.
