استطاع باحثو كاسبرسكي رصد حملة رقمية تخريبية لم تكن معروفة من قبل، ونجحوا في نسبتها إلى العصابة الرقمية Lazarus، إحدى أشهر الجهات التي تقف وراء التهديدات المتقدمة المستمرة في عالم الإنترنت، والتي تنشط على الأقلّ منذ العام 2009 ونُسب إليها عدد من الحملات التخريبية الواسعة متعددة الأوجه.
وقد سعت هذه العصابة منذ أوائل العام 2020 في استهداف قطاع الصناعات الدفاعية بمنفذ خلفي متخصّص يطلق عليه اسم ThreatNeedle ويتحرك أفقيًا عبر الشبكات المصابة لجمع المعلومات الحساسة.
وتُعدّ Lazarus إحدى أكثر جهات التهديد انتشارًا اليوم، وشنّت حملات تجسس إلكتروني واسعة النطاق، وحملات لطلب الفدية، وحتى هجمات على سوق العملات الرقمية.
وبينما انصبّ تركيز العصابة في السنوات القليلة الماضية على استهداف المؤسسات المالية، يبدو أنها حرصت في بداية العام 2020 على أضافة قطاع الصناعات الدفاعية إلى القطاعات التي تستهدفها.
وأدرك باحثو كاسبرسكي هذا الأمر لأول مرة عندما استُدعوا للمساعدة في الاستجابة لحادث أمن رقمي استهدف إحدى الجهات، فاكتشفوا أن الجهة قد وقعت ضحية لمنفذ خلفي متخصص (نوع من البرمجيات الخبيثة التي تسمح بالتحكم الكامل عن بُعد في الجهاز).
وباستطاعة هذا المنفذ الخلفي المسمى ThreatNeedle أن يتحرّك بشكل جانبي، أو أفقي، عبر الشبكات المصابة ويستخرج المعلومات السرية منها. وتأثرت جهات في أكثر من عشرة بلدان حتى الآن بهذه الحملة التخريبية.
وتحدُث الإصابة الأولية عبر التصيد الموجّه؛ إذ يتلقى الشخص المستهدف رسالة عبر البريد الإلكتروني تحتوي إما على ملف Word خبيث أو رابط إلى ملف خبيث موجود على خوادم الشركة. وتدّعي الرسالة الإلكترونية في كثير من الأحيان بأنها واردة من مركز طبي معروف وأنها تشتمل على تحديثات عاجلة تتعلق بالجائحة.
وبمجرد فتح المستند الخبيث، تُسقط البرمجية الخبيثة ThreatNeedle لتبدأ المرحلة التالية من الإصابة، وتنتمي هذه البرمجية إلى عائلة من البرمجيات الخبيثة تعرف بالاسم Manuscrypt، وتنتمي إلى عصابة Lazarus، وشوهدت سابقًا تهاجم شركات عاملة في مجال العملات الرقمية.
وتصبح ThreatNeedle بمجرد تثبيتها قادرة على التحكم الكامل في جهاز الضحية، وقادرة على فعل أمور كثيرة بينها التلاعب بالملفات وتنفيذ الأوامر المستلمة.
ومن أكثر الأساليب إثارة للاهتمام في هذه الحملة قدرتها على سرقة البيانات من كل من شبكات تقنية المعلومات المكتبية التي تحتوي على أجهزة حاسوب متصلة بالإنترنت، والشبكات المخصصة للمصانع التي تحتوي على أصول حرجة وأجهزة حاسوب بها بيانات حساسة للغاية ولكنها غير متصلة بالإنترنت.
ووفقًا لسياسة الشركة التي تعاملت معها كاسبرسكي، فلا يُفترض نقل أية معلومات بين هاتين الشبكتين.
ومع ذلك، يمكن للمسؤولين الاتصال بكلتا الشبكتين لأغراض صيانة الأنظمة. وقد تمكّنت Lazarus من التحكّم بمحطات عمل المسؤولين ومن ثم إنشاء بوابة خبيثة لمهاجمة الشبكة المفصولة عن الإنترنت وسرقة البيانات السرية واستخراجها منها.
ووصف سيونغسو بارك الباحث الأمني الأول في فريق البحث والتحليل العالمي التابع لكاسبرسكي، عصابة Lazarus بأنها “ربما كانت الأكثر نشاطا بين مجموعات التهديدات الرقمية في العام 2020”.
أشار إلى ما يبدو عدم تغيّر هذا الأمر في المستقبل القريب، وقال: “أفاد فريق تحليل التهديدات في Google، في شهر يناير من هذا العام، أن Lazarus شوهدت تستخدم هذا المنفذ الخلفي نفسه لاستهداف باحثين أمنيين، وسنواصل مراقبة الوضع عن كثب متوقعين رؤية المزيد من الهجمات القائمة على ThreatNeedle”.
من جانبه، قال فياتشيسلاف كوبيتسيف الخبير الأمني في فريق الاستجابة للطوارئ الإلكترونية لنظم الرقابة الصناعية لدى كاسبرسكي، إن Lazarus ليست عصابة نشطة فحسب، ولكنها شديدة التطوّر أيضًا.
لفت إلى أن “تغلّبها على تجزئة الشبكة لم يكن الأمر الوحيد الذي ميّزها، وإنما نجاحها في إجراء بحث مكثف لإنشاء رسائل بريد إلكتروني تصيدية ذات طابع شخصي بحيث تكون فعالة للغاية، وبناء أدوات مخصّصة لاستخراج المعلومات المسروقة وإيصالها إلى خادم بعيد”.
وأضاف: “مع استمرار العمل عن بُعد في مختلف القطاعات، تظلّ المنشآت أكثر عُرضة للخطر، ما يستدعي اتخاذ احتياطات أمنية إضافية للحماية من هذه الأنواع من الهجمات المتقدمة”.
يمكن الاطلاع على المزيد عن حملة ThreatNeedle على موقع الويب التابع لفريق الاستجابة للطوارئ الإلكترونية لنظم الرقابة الصناعية لدى كاسبرسكي.
كما يمكن أيضًا الاستماع إلى سيونغسو بارك وهو يعرض بحث كاسبرسكي بشأن ThreatNeedle، والاستماع إلى نتائج أخرى مثيرة للاهتمام تتعلّق بالتهديدات المتقدمة المستمرة، في أحدث إصدار من GReAT Ideas: Green Tea Edition، عبر التسجيل في الصفحة https://kas.pr/9f5k.
توصبات كاسبرسكي
تزويد الموظفين بالتدريب على أساسيات الأمن الرقمي، نظرًا لأن العديد من الهجمات الموجهة تبدأ بمحاولات التصيّد أو بتسخير تقنيات الهندسة الاجتماعية الأخرى.
إذا كان لدى المنشأة تقنية تشغيلية أو بنية تحتية حيوية، فينبغي الحرص على فصلها عن شبكة الشركة أو منع الاتصالات غير المصرح بها عنها.
الحرص على تعريف الموظفين بسياسات الأمن الرقمي واتباعها.
تزويد فريق مركز العمليات الأمنية بإمكانية الوصول إلى أحدث معلومات التهديدات. وتُعدّ بوابة Kaspersky Threat Intelligence Portal نقطة وصول واحدة وشاملة إلى معلومات التهديدات، حيث تتاح بيانات الهجمات الرقمية وخلاصة الخبرات التي جمعتها كاسبرسكي على مدى أكثر من 20 عامًا.
تنفيذ حل أمني على المستوى المؤسسي، مثل Kaspersky Anti Targeted Attack Platform، يكون قادرًا على اكتشاف التهديدات المتقدمة الشبكية في مرحلة مبكرة.
يوصى أيضًا بتنفيذ حلّ متخصّص للعقد والشبكات الصناعية لمراقبة حركة البيانات في شبكات التقنيات التشغيلية وتحليلها واكتشاف التهديدات، مثل Kaspersky Industrial CyberSecurity.