مجرمو الإنترنت يستغلون الأدوات الرسمية لتنفيذ الهجمات الرقمية

وجدت شركة كاسبرسكي، المتخصصة في الأمن الرقمي، أن ما يقرب من ثلث الهجمات الرقمية (30%) التي حُقق فيها في العام 2019 تضمنّت استغلال المهاجمين أدوات برمجية رسمية لإدارة الأنظمة عن بُعد، ما قد يجعل هجماتهم وأنشطتهم غير مكتشفة لفترة طويلة. وبلغ متوسط فترة هجمات التجسّس الإلكتروني وسرقة البيانات السرية 122 يوماً جرّاء استغلال المهاجمين أدوات رسمية معروفة.

وتساعد برمجيات المراقبة والإدارة مسؤولي تقنية المعلومات والشبكات على أداء مهامهم اليومية، مثل اكتشاف الأخطاء وإصلاحها وتقديم الدعم الفني للموظفين. ومع ذلك، يمكن لمجرمي الإنترنت بدورهم استغلال هذه الأدوات البرمجية الرسمية المشروعة أثناء شنّهم هجمات رقمية على البنى التحتية للشركات، إذ تتيح لهم تشغيل العمليات على النقاط الطرفية (الأجهزة المتصلة بالشبكة)، والوصول إلى المعلومات الحساسة واستخراجها، وتجاوُز مختلف التدابير الأمنية التي تهدف إلى اكتشاف البرمجيات الخبيثة.

استغلال كبير للأدوات الرسمية

وفي المجموع، أظهر تحليل البيانات مجهولة المصدر المستمدة من حالات الاستجابة للحوادث أن 18 أداة رسمية مختلفة قد أسيء استخدامها من مجرمي الإنترنت لأغراض تخريبية، وقد جاءت أداة الإدارة عن بُعد القوية PowerShell على رأسها (25% من الحالات)، والتي استخدمت في عدّة أغراض، بينها جمع المعلومات وتشغيل البرمجيات الخبيثة. كذلك استخدم المهاجمون الأداة PsExec في 22% من الهجمات، وهي وحدة تحكّم مصمّمة لإطلاق العمليات على النقاط الطرفية البعيدة. وجاءت الأداة SoftPerfect Network Scanner (بنسبة 14%) التي تعمل على استرداد المعلومات المتعلقة بالبيئات الشبكية.

صعوبة في الاكتشاف

ويصعب على الحلول الأمنية اكتشاف الهجمات التي تُستخدم فيها أدوات برمجية رسمية، نظراً لأن الإجراءات التي تتمّ بوساطتها يمكن أن تكون جزءاً من مهام العمل الاعتيادية التي يؤديها مسؤول النظام. وبلغ متوسط مدة الحوادث الرقمية في الهجمات التي استمرت أكثر من شهر، 122 يوماً، ومن المرجّح أنه أمكن لمجرمي الإنترنت جمع بيانات حساسة خاصة بضحاياهم نظراً لعدم اكتشافهم لمُددٍ طويلة.

ومع ذلك، لاحظ خبراء كاسبرسكي أن الإجراءات الخبيثة التي تُتخذ في بعض الأحيان باستخدام أدوات برمجية رسمية سرعان ما تكشف عن نفسها بحسب الغرض من الهجوم، كأن يكون هجوماً لطلب الفدية على سبيل المثال يمكن معه مشاهدة الأضرار بوضوح. وقد بلغ متوسط مدة الهجوم للهجمات القصيرة يوماً واحداً فقط.

هجمات مطورة

وقال رئيس فريق كاسبرسكي العالمي للاستجابة لحالات الطوارئ، كونستنتين سابرونوف، إن المهاجمين يستخدمون على نطاق واسع البرمجيات المطوَّرة لتلبية احتياجات المستخدم العادي، وتنفيذ مهام مسؤولي الأنظمة مثل تشخيصها، وذلك للحفاظ على عملهم في الخفاء ضمن الشبكة المخترقة وتجنُّب الانكشاف لأطول فترة ممكنة.

وأضاف: “يمكن للمهاجمين باستخدام هذه الأدوات جمع معلومات حول الشبكات المؤسسية، ثم تغيير إعدادات البرمجيات والأجهزة أو حتى تنفيذ بعض الإجراءات التخريبية، فيمكنهم مثلاً استخدام برمجية رسمية لتشفير بيانات العملاء، فضلاً عن مساعدتهم في البقاء بعيداً عن أعين محللي الأمن، الذين غالباً ما لا يكتشفون الهجوم إلاّ بعد وقوع الضرر. لكن هذه الأدوات لا يمكن استبعادها لأسباب عديدة، بل إن توظيفها بالشكل الصحيح سيساعد في اكتشاف النشاط المشبوه في الشبكة والهجمات المعقدة في مراحل مبكرة”.

ولتقليل فرص استغلال برمجيات الإدارة عن بُعد في اختراق البنية التحتية، توصي كاسبرسكي بضرورة تقييد الوصول إلى أدوات الإدارة عن بُعد من عناوين IP الخارجية، والتأكد من عدم إمكانية الوصول إلى واجهات التحكّم عن بُعد إلا من خلال عدد محدود من النقاط الطرفية. إضافة إلى فرض سياسة كلمات مرور صارمة لجميع أنظمة تقنية المعلومات وتفعيل ميزة المصادقة متعددة العوامل. واتباع مبدأ منح الموظفين امتيازات وصول محدودة ومنح امتيازات الوصول العالية لمن يحتاجون إليها لأداء وظيفتهم.