اكتشف خبراء Kaspersky برامج ضارة استهدفت أكثر من 35000 جهاز كمبيوتر في 195 دولة ، كجزء من حملة تجسس عالمية واسعة النطاق ، والتي كانت نشطة بين 20 يناير و 10 نوفمبر 2021. وكان يطلق على البرنامج الجديد PseudoManuscryptبسبب التشابه بينها وبين البرامج مانوسكربتعصابة التهديدات المستمرة المتقدمة (APT) هي من ورائها لعازرويشمل قدرات تجسس متطورة وشوهد يستهدف المؤسسات الحكومية وكذلك أنظمة التحكم الصناعية في الشركات العاملة في العديد من القطاعات.
تعد الشركات الصناعية من بين أكثر الأهداف المرغوبة لمجرمي الإنترنت ، سواء لتحقيق مكاسب مالية أو جمع معلومات استخبارية. شهد عام 2021 اهتمامًا شديدًا من عصابات التهديدات المستمرة المتقدمة المعروفة ، مثل لعازر وAPT41، الشركات الصناعية. اكتشف خبراء كاسبرسكي ، أثناء التحقيق في سلسلة أخرى من الهجمات ، برنامجًا ضارًا جديدًا ، له بعض أوجه التشابه مع مانوسكربت من لعازر، وهو برنامج مصمم خصيصًا للاستخدام في الحملة التهديدالتي استهدفت المنظمات العاملة في الصناعات الدفاعية ، ولهذا أطلق عليها الخبراء الاسم PseudoManuscrypt .
تم حظر منتجات Kaspersky بين 20 يناير و 10 نوفمبر 2021 PseudoManuscryptعلى أكثر من 35000 جهاز كمبيوتر في 195 دولة. شملت العديد من الأهداف شركات صناعية ووكالات حكومية بما في ذلك مؤسسات صناعية عسكرية ومعامل بحثية. كانت نسبة 7.2٪ من أجهزة الكمبيوتر التي تعرضت للهجوم جزءًا من أنظمة التحكم الصناعية ، وكانت الهندسة وأتمتة المباني أكثر القطاعات تضررًا..
عدد الأنظمة
يتم تنزيل البرنامجPseudoManuscrypt في البداية على الأنظمة المستهدفة ، من خلال أرشيفات البرامج المقرصنة المزيفة ، بعضها مخصص للبرامج المقرصنة المخصصة لأنظمة التحكم الصناعية. من المحتمل أن يتم تسليم أدوات التثبيت المزيفة هذه عبر نظام أساسي للبرامج الضارة كخدمة. في بعض الحالات ، كان كذلك PseudoManuscrypt عبر شبكة الروبوت سيئة السمعة جلوبتيبا . بعد الإصابة الأولية ، تبدأ سلسلة إصابة معقدة ، والتي تقوم في النهاية بتنزيل الوحدة الرئيسية للبرنامج الضار. حدد خبراء Kaspersky نوعين مختلفين من هذه الوحدة ، كلاهما قادر على تنفيذ إمكانات تجسس متقدمة ، بما في ذلك تسجيل ضغطات المفاتيح ، ونسخ البيانات من الحافظة ، وسرقة بيانات اعتماد مصادقة تسجيل الدخول إلى الشبكة. VPN (ربما RCP) ، وسرقة بيانات الاتصال ، ونسخ لقطة الشاشة ، وما إلى ذلك..
لا تُظهر الهجمات أي تفضيل لقطاعات معينة ، لكن العدد الكبير من أجهزة الكمبيوتر الهندسية التي تعرضت للهجوم ، بما في ذلك الأنظمة المستخدمة للنمذجة ثلاثية الأبعاد والمادية والتوائم الرقمية ، تشير إلى أن التجسس الصناعي قد يكون هدفًا شائعًا في جميع الهجمات..
فوجئ الخبراء بأن بعض الضحايا كانت لهم صلات بضحايا الحملة لعازر، تم الإبلاغ عنها سابقًا بواسطة فريق استجابة طوارئ الكمبيوتر في Kaspersky ICS ، ومن المدهش أنهم أرسلوا أيضًا البيانات إلى خوادم المهاجمين عبر بروتوكول نادر ، باستخدام مكتبة أدوات سبق استخدامها من قبل إحدى العصابات. APT41ببرامجها الضارة. لكن كاسبيرسكي لم تربط الحملة الحالية بـلعازر، أو أي جهة تهديد معروفة ، بالنظر إلى العدد الكبير للضحايا ، وعدم وجود تركيز واضح للحملة.
ووصف فياتشيسلاف كوبيتسيف ، خبير الأمن الرقمي في Kaspersky ، الحملة بأنها “غير عادية تمامًا” ، قائلاً إن الخبراء ما زالوا يجمعون معًا كل المعلومات التي لديهم. وأضاف: “هذا تهديد يجب على المختصين الانتباه إليه والحذر منه بعد أن تمكن من شق طريقه إلى آلاف الحواسيب المرتبطة بأنظمة التحكم الصناعية في الأطراف ، بما في ذلك العديد من الشركات والمؤسسات ذات السمعة الطيبة. سنواصل تحقيقاتنا ونبقي مجتمع الأمن الرقمي على اطلاع بأي نتائج جديدة “..
توصيات كاسبيرسكي
أوصت Kaspersky بأن تتخذ المؤسسات التدابير التالية للبقاء في أمان:
• قم بتثبيت نظام حماية نقطة النهاية على جميع الخوادم ومحطات العمل.
• تحقق من تمكين جميع مكونات حماية نقطة النهاية على جميع الأنظمة ، وأن هناك سياسة مطبقة تتطلب إدخال كلمة مرور المسؤول ، في حالة محاولة شخص ما تعطيل النظام.
• تحقق من تلك السياسات الدليل النشط، يتضمن قيودًا على محاولات المستخدم لتسجيل الدخول إلى الأنظمة. يجب السماح للمستخدمين فقط بتسجيل الدخول إلى الأنظمة التي يحتاجون إليها للوصول ، لأداء مسؤولياتهم الوظيفية.
• جرد اتصالات الشبكة ، بما في ذلك الشبكات VPN، في الأنظمة المتصلة بشبكات OT ، وحظر الاتصالات على جميع تلك المنافذ غير المرغوب فيها ، من أجل استمرارية العمليات وتكاملها.
• استخدم البطاقات الذكية (الرموز) ، أو رموز الاستخدام لمرة واحدة ، كعوامل مصادقة ثنائية عند إنشاء اتصال .VPN أيضًا ، استخدام تقنية “Access Control List” لتقييد قائمة عناوين IP التي يمكن بدء الاتصال من خلالها VPN، في الحالات الممكنة.
• تدريب الموظفين على العمل مع الإنترنت والبريد الإلكتروني وقنوات الاتصال الأخرى بشكل آمن ، وعلى وجه الخصوص ، شرح العواقب المحتملة لتنزيل الملفات وتنفيذها من مصادر لم يتم التحقق منها.
• استخدم الحسابات ذات امتيازات المسؤول المحلي ومسؤول المجال ، فقط عند الضرورة ، لأداء المسؤوليات الوظيفية.
• ضع في اعتبارك استخدام خدمات الكشف عن التهديدات والاستجابة المدارة لاكتساب معرفة عالية المستوى سريعًا واكتساب خبرة متخصصي الأمن.
• استخدام الحماية المتخصصة للأنظمة الصناعية. يمكن أن تحل الأمن السيبراني الصناعي من Kaspersky، حماية نقطة النهاية الصناعية ، مما يسمح بالإشراف على شبكة التكنولوجيا التشغيلية لتحديد الأنشطة الخبيثة وحظرها.
www.alroeya.com …. المصدر
التعليقات