مرحبا،
نُشر تقرير مؤخرا مع بعض التقارير في الفترة السابقة توضح أن هناك #هجوم على عدة دول من ضمنها #تركيا و #السعودية ودول #الخليج.
مراحل الإختراق
الاتهام موجه لايران، والهدف جمع اكبر قدر من المعلومات. فتقرير شركة FireEye مؤخرا المعنون بـ APT33 هو بالتحديد ما حدث من إختراقات عام 2016 و عام 2017 لأغلب القطاعات في السعودية. كما حلل المختصون بعض من هذه الهجمات وهي تتم عبر عدة مراحل:
١-اختراق شركة صغيرة وجعلها منصة للهجوم، الشركة غالباً لها بعض من الموثوقية مثل com.sa
٢-استخدام المرحله الاولى كمنصة لشركة اكبر، واختراقها بنفس الطريقة. وفي #هجمات هذه المرحله، تستخدم طريقتين: ١-عن طريق الماكرو ٢-عن طريق الجافا سكربت 3-صفحة تحتوى على اكواد PowerShell او اكواد اخرى مشفرة.
٣-يزرع شمعون او غيره من ادوات خبيثة، تُنفذ وتتصل بجهاز المستخدم بدون علمه.
كما لوحظ ان الهجمات تحدث بإستخدام الجافا، وتأثير هذا الاختراق اعلى لسهولته، وأُستخدم هذا النوع على الأقل مره واحده خلال عام 2017 في احد المؤسسات الحكومية عبر باكدور معروف بإسم NetWire ايضا تم إستخدام AgentTesla وكما أُستغل برنامج آخر بإسم NANOCORE و فيروس نيرون كما تم تحليله من المجموعة السعودية لتحليل الاختراقات - Saudi Group for Incidents Response
لماذا نواجه صعوبة في منع هذه الإختراقات؟
المختلف هو الضجيج الذي يُحدِثه المُخترِقين في المرحله الثانيه، وهي استهداف الجهات الكبيرة التي تملك مقومات كشفهم. يفصل بين كل مرحله واخرى ايام فقط وقد تطول الى أسابيع وشهور. تختلف طريقة المرحله ١ و ٢ غالبا، اما الثالثة ثابته من #شمعون ارامكو ٢٠١٢ للان! وصعوبة منع هذه الإختراقات يعود لعدة أسباب لعل اهمها:
1-الاختراقات تستخدم ادوات تستخدمها الأنظمة في صميمها.
2-الاختراق على مرحلتين إن لم يكن ثلاثه.
3-الإختراقات تستخدم الباورشيل، الجافاسكربت، وملفات word and excel كما تستخدم صفحات تم تلغيمها خادعه للمستخدمين. 4- تطور ادوات الإختراق بشكل لافت للنظر مثل ادوات اختراق الباورشيل ( PowerShell Empire and PowerSploit)، وادوات تشفير الباورشيل (Invoke Obfuscation)، ادوات خلق اكواد باورشيل في صفحات غير مكتشفة من قبل (Cobalt Strike) وغيرها الكثير مما يصعب حصرها.
الاختراقات السابقة تمكن من اختراق كامل او جزئي كما قد تؤثرعلى بيانات العملاء سواء كانت منشئات حكومة او خاصة بما يشمل: معرفة بيتك، معاملاتك، ارقام جوالاتك، واتصالاتك ومراسلاتك الخاصة، اي معلومات عن الهوية الشخصية او البيانات المحفوظة عنك في القطاع الحكومي، ثم تخيل تم الوصول لبياناتك الموجودة في : شركة المياه، شركة الكهرباء، الاتصالات، بعض القطاعات الحكومية و الخاصة. النتيجة مخيفة للغايه!
لماذا نحن؟
نحن لسنا مختلفين عن الآخرين، بل إن استهدافنا المكثف بدأ متأخرا، فامريكا ايضا استُهدفت عبر شركة سوني المنتجة للافلام، استهدفتها كوريا الشماليه لانتاجها فلم the interview بفيروسات هزت مجتمع الحماية وأمن المعلومات. قُدمت بعض الإحصائيات مؤخرا من مركز الأمن الإلكتروني عن هذه الإختراقات التي ذكرت في تقارير الشركات الأمريكية عبر حسابها في تويتر https://twitter.com/NCSC_SA/status/849968611494154241
وذكرت ان العديد من القطاعات ما زالت مخترقة، وحسب الخبر، تمكن المخترقين من اغلب القطاعات وبتحكم كامل للشبكة متضمنا التنصت على 'جميع' مراسلات المستخدمين وتحركاتهم، نسبة القطاعات المستهدفة بالتفصيل:
بماذا انصح في هذا الوقت؟
1-المراقبه الدائمة لخطط العدو في الشأن الإلكتروني من مبدأ واعدوا لهم ما استطعتم
2-تاسيس نواه لفرق #امن_معلومات هجومية ودفاعية
3-زرع الادوات اللازمة في اصول العدو لتفعيلها عند الحاجه
مراجع
https://www.fireeye.com/current-threats/apt-groups.html
https://www.asd.gov.au/publications/protect/Securing_PowerShell.pdf
https://github.com/SG1R/Reports/blob/master/SGIR%20Malware%20Analysis%20P1.pdf
https://github.com/PowerShellMafia/PowerSploit
ليست هناك تعليقات:
إرسال تعليق