اكتشفت كاسبرسكي تعرض وحدة تخزين USB آمنة للاختراق من خلال كود خبيث تم زرعه في برمجية إدارة الوصول الخاصة بها. طُورت وحدة التخزين هذه بواسطة جهة حكومية في جنوب شرق آسيا لتخزين ونقل الملفات بشكل آمن بين الأجهزة في البيئات الحساسة. وصُمم الكود الخبيث، والذي تم زرعه في وحدة التخزين هذه، لسرقة الملفات السرية المخزنة في القسم الآمن منها، بالإضافة إلى عمله كدودة برمجية تنتشر لتصيب وحدات تخزين USB أخرى من نفس النوع. في حين يتشابه هذا التكتيك مع اختراق وحدات تخزين USB التي استخدمت برمجية الإدارة UTetris العام الماضي، والذي نسبته كاسبرسكي إلى مجموعة TetrisPhantom.
إلا أن الشيفرة الخبيثة المزروعة في وحدة التخزين في الحادثة الأخيرة كانت جديدة. يتضمن أحدث تقرير لكاسبرسكي حول توجهات التهديدات المتقدمة المستمرة في الربع الثالث من هذا العام تحليلاً للبرنامج المستخدم في هذا الهجوم والذي يدير وحدات USB المزودة ببرمجيات حصان طروادة، فضلاً عن التوجهات الأخرى في الأدوات التي تستخدمها مجموعات المجرمين السيبرانيين لإجراء الهجمات في جميع أنحاء العالم.
تشمل أبرز النتائج التي تناولها تقرير كاسبرسكي للتهديدات المتقدمة المستمرة للربع الثالث ما يلي:
آسيا
- اكتشفت كاسبرسكي أساليب هجوم جديدة استخدمت إطار الهجوم P8، والذي استُخدم سابقاً لاستهداف منظمات فيتنامية. حدثت معظم الإصابات في المؤسسات المالية في فيتنام، مع وجود ضحية واحدة نشطة في قطاع التصنيع.
آسيا، وتركيا، وأوروبا، وروسيا
- تستهدف حملة التهديدات المتقدمة المستمرة Awaken Likho النشطة منذ يوليو 2021 على الأقل، بشكل رئيسي المؤسسات الحكومية والمقاولين. حتى الآن، اكتشفت الشركة أكثر من 120 هدفاً في روسيا، والهند، والصين، وفيتنام، وتايوان، وتركيا، وسلوفاكيا، والفلبين، وأستراليا، وسويسرا، وجمهورية التشيك، وغيرها. بينما اعتمد المهاجمون سابقاً على استخدام أداة الإدارة عن بُعد المشروعة UltraVNC، في حملة لا تزال مستمرة تم الكشف عنها في شهر يونيو 2024، إلا أنهم قاموا بتغيير الحمولة النهائية من أداة UltraVNC لأداة MeshAgent، وهي أداة أخرى للإدارة عن بُعد تستخدم خادم إدارة عن بُعد مفتوح المصدر.
إفريقيا وآسيا
- تم اكتشاف الباب الخلفي Scieron، وهو أداة تُستخدم عادةً في حملات التجسس السيبراني بواسطة مجموعة Scarab، في حملة جديدة استهدفت جهةً حكوميةً في إفريقيا ومزود لخدمات الاتصالات في آسيا الوسطى.
الشرق الأوسط
- استهدفت مجموعة MuddyWater، وهي مصدر تهديدات متقدمة مستمرة ظهرت في عام 2017، بشكل أساسي دولاً في الشرق الأوسط، وأوروبا، والولايات المتحدة الأمريكية. وقد كشفت كاسبرسكي مؤخراً عن برمجيات خبيثة قائمة على مكتبات VBS/DLL استخدمتها مجموعة MuddyWater في تنفيذ اختراقات، والتي لا تزال نشطة حتى الآن. تم العثور على البرمجيات الخبيثة في العديد من الجهات الحكومية وشركات الاتصالات في مصر، وكازاخستان، والكويت، والمغرب، وعمان، وسوريا، والإمارات العربية المتحدة.
- تستهدف مجموعة Tropic Trooper، وهي مصدر تهديدات متقدمة مستمرة تُعرف باسم KeyBoy وPirate Panda بدأت نشاطها منذ عام 2011، بشكل أساسي الجهات الحكومية، بجانب قطاعات الرعاية الصحية، والنقل، والتكنولوجيا المتقدمة في تايوان، والفلبين، وهونغ كونغ. وكشف التحليل الأحدث لكاسبرسكي أنه في عام 2024، نفذت المجموعة هجمات استهدفت جهة حكومية في مصر. حيث اكتُشف مكون هجوم يُفترض أنه استُخدم بواسطة فاعلين ناطقين باللغة الصينية.
روسيا
- في عام 2021، اكتشفت كاسبرسكي حملة تُدعى ExCone استهدفت جهات حكومية في روسيا باستخدام ثغرات في مشغل الوسائط VLC. ولاحقاً، تم العثور على ضحايا في مناطق أوروبا، وآسيا الوسطى، وجنوب شرق آسيا. وقد شهد عام 2022 بدء استخدام رسائل البريد الإلكتروني التصيدية كوسيلة للإصابة، وتم نشر نسخة محدثة من برمجية حصان طروادة Pangolin. وفي منتصف شهر يوليو 2024، لجأ مصدر التهديد لتضمين محمّل JavaScript كوسيلة أولية للإصابة، واستخدمه في مهاجمة المؤسسات التعليمية في روسيا.
أمريكا اللاتينية وآسيا
- في يونيو، حددت كاسبرسكي حملةً نشطةً تُدعى PassiveNeuron استهدفت جهات حكومية في أمريكا اللاتينية وشرق آسيا باستخدام برمجيات خبيثة غير معروفة مسبقاً. فقد تعرضت الخوادم للاختراق قبل تثبيت برمجيات الأمان. ولا تزال طريقة الإصابة غير معروفة. لا تشبه أكواد البرمجيات الخبيثة المستخدمة في هذه العملية نظيرتها الخاصة بالبرمجيات الخبيثة المعروفة، مما يجعل تحديد الجهة المسؤولة عن الهجوم غير ممكن في الوقت الحالي. وتظهر الحملة مستوى عالٍ جداً من التعقيد.
قال ديفيد إيم، باحث أمني رئيسي لدى كاسبرسكي: «خلال عام 2024، تمكنت كاسبرسكي من اكتشاف وحظر 3 مليار تهديد محلي على مستوى العالم. يُعد اختراق البرمجيات على وحدات تخزين USB الآمنة أمراً غير معتاد، ولكنه يبرز حقيقة أن المساحات الرقمية المحلية المحمية يمكن اختراقها بواسطة أساليب متقدمة. يعمل المجرمون السيبرانيون باستمرار على تحديث مجموعة أدواتهم وتوسيع نطاق أنشطتهم، مما يوسع نطاق أهدافهم، سواء كان ذلك من حيث المجالات المستهدفة أو جغرافياً. كما نلاحظ استخدام المزيد من الأدوات مفتوحة المصدر من قبل مصادر التهديدات المتقدمة المستمرة.»
تُعد التهديدات المتقدمة المستمرة أساليب اختراق مستمرة، وسرية، ومتطورة تُستخدم للوصول للأنظمة والبقاء داخلها لفترة طويلة، وقد تحدث عواقب مدمرة. وعادةً ما تُوجه هذه التهديدات نحو أهداف عالية القيمة، مثل الدول والشركات الكبرى، بهدف سرقة المعلومات خلال فترة طويلة، بدلاً من «الاختراق» والمغادرة بسرعة كما يفعل العديد من قراصنة القبعة السوداء في الهجمات السيبرانية منخفضة المستوى.
لتجنب الوقوع ضحية لهجوم موجه، يوصي باحثو كاسبرسكي الأفراد والمؤسسات بما يلي:
- زود فريق مركز العمليات الأمني (SOC) لديك بإمكانية الوصول لأحدث معلومات التهديدات (TI). وتُعد منصة Kaspersky Threat Intelligence Portal نقطة وصول فردية لمعلومات التهديدات الخاصة بالشركة، حيث توفر بيانات ورؤى عن الهجمات السيبرانية جمعتها كاسبرسكي على مدار أكثر من 20 عاماً.
- طور مهارات فريق الأمن السيبراني الخاص بك لمواجهة أحدث التهديدات الموجهة من خلال Kaspersky online training من كاسبرسكي، والذي طوره خبراء فريق GReAT.
- استخدم حلاً أمنياً على مستوى الشركات يكتشف التهديدات المتقدمة على مستوى الشبكة في مراحلها المبكرة، مثل منصة Kaspersky Anti Targeted Attack Platform.
- استخدم حلولًا مركزيةً مؤتمتةً مثل Kaspersky Next XDR Expert لتوفير حماية شاملة لجميع أصولك.
- قدم تدريباً للوعي الأمني وزود فريقك بمهارات عملية – على سبيل المثال، من خلال منصة Kaspersky Automated Security Awareness Platform، حيث تبدأ العديد من الهجمات الموجهة الأخرى بالتصيد الاحتيالي أو أساليب الهندسة الاجتماعية.
- حدث نظام التشغيل والبرمجيات في أسرع وقت ممكن، وبشكل منتظم.