أخرى
#الأمن_السيبراني
#التهديدات_السيبرانية
استراتيجيات جديدة في الأمن السيبراني: التصحيح الذاتي
في تطور مثير في إدارة التصحيحات، قام وسيط وصول أولي يُشتبه في ارتباطه بالصين باختراق الشبكات المستهدفة من خلال استغلال ثغرات غير مصححة، ثم قام لاحقًا بتصحيح هذه الثغرات بنفسه لطرد المنافسين من المهاجمين.
لاحظ الباحثون في الوكالة الوطنية للأمن السيبراني في فرنسا (ANSSI) أن الخصم استخدم هذه الاستراتيجية في هجمات على منظمات في البلاد في سبتمبر الماضي، ويعتقدون أن الحملة لا تزال مستمرة. استخدمت الهجمات مجموعة من التكتيكات والأدوات والبنية التحتية التي تتابعها ANSSI تحت اسم "هوكن"، والتي تعتقد الوكالة أنها تتوافق مع نفس مجموعة الاقتحام التي تتعقبها ماندينت تحت اسم UNC5174.
استغلال الثغرات من نوع صفر يوم للوصول الأولي
في كل من الهجمات التي حللتها ANSSI، استغل الخصم ثلاث ثغرات في Ivanti Connect Secure — CVE-2024-8190، CVE-2024-8963، وCVE-2024-9380 — للحصول على الوصول الأولي إلى شبكات الضحايا. بمجرد الدخول، تحركوا بسرعة للحصول على بيانات الاعتماد، وإقامة استمرارية، وتصحيح الأنظمة التي سمحت لهم بالدخول في المقام الأول. تم استغلال الثغرات جميعها كـ "صفر يوم"، مما يعني أن الهجمات حدثت قبل أن تكون Ivanti على علم بها أو لديها تصحيح لها.
قدرت ANSSI أن دافع المهاجمين كان في الأساس بيع الوصول إلى الشبكات المخترقة لجهات إجرامية أخرى.
قالت CERT الفرنسية في تحليل تقني عن النشاط: "هوكن هو مجموعة اقتحام يُحتمل أن تكون تديرها وسيلة وصول أولي. الدافع الرئيسي لمشغليها هو الحصول على الوصول الأولي من خلال جمع بيانات الاعتماد ونشر آليات الاستمرارية."
ومع ذلك، في بعض الحالات، قالت ANSSI إنها لاحظت أن المهاجم قام بنشاط هجومي إضافي على شبكة تم اختراقها، بما في ذلك الحركة الجانبية ونشر آليات استمرارية إضافية.
وصفت ماندينت UNC5174 بأنه مقاول محتمل لوزارة الأمن القومي الصينية (MSS) الذي اخترق مئات المنظمات في الولايات المتحدة وكندا وأماكن أخرى عبر ثغرات في تقنيات F5's BIG-IP وConnectWise's ScreenConnect. شملت ضحاياه مقاولين دفاعيين في الولايات المتحدة، ووكالات حكومية في المملكة المتحدة، والعديد من المنظمات في آسيا التي قد تكون ذات اهتمام لـ MSS الصينية.
في الهجمات على أجهزة F5 التي لاحظتها ماندينت، حاول المهاجم أيضًا تصحيح الثغرات بنفسه بعد استغلالها للحصول على الوصول الأولي.
استراتيجية منع السطو
يقول غاريت كالبوزوس، الباحث الأمني الرئيسي في Sonatype، إن التصحيح الذاتي هو استراتيجية تستخدمها مجموعات التهديد الأكثر تقدمًا لمنع الآخرين من السطو على شبكة قد تكون قد اخترقوها بالفعل وللبقاء غير مكتشفين.
يقول كالبوزوس في تعليقات له لـ Dark Reading: "[بعض] مجموعات التهديد تطور تصحيحاتها أو حلولها الخاصة للثغرات التي تستغلها، خاصة عند استهداف أنظمة ذات قيمة عالية أو عندما تريد الحفاظ على وجود دائم."
غالبًا ما لا تتطلب درجة التصحيح المعنية مستوى عالٍ من التعقيد، بل مجرد مهارات تقنية كافية لمنع التداخل مع مجموعات تهديد أخرى والبقاء تحت الرادار لفترة أطول.
قدرت ANSSI أن مشغل مجموعة اقتحام هوكن هو تهديد متوسط التعقيد "يتسم باستخدام متباين للموارد." بينما استغلت المجموعة عدة ثغرات من نوع صفر يوم، وجذر متطور، وخوادم مخصصة في حملاتها، فقد استغلت أيضًا العديد من الأدوات مفتوحة المصدر، وVPNs تجارية مثل NordVPN وExpressVPN، وعناوين IP سكنية لبنيتها التحتية للهجوم.
استهدفت هجمات هوكن التي لاحظتها ANSSI منظمات عبر قطاعات متعددة في فرنسا بما في ذلك الخدمات المالية، ووسائل الإعلام، والنقل، والاتصالات، والحكومة. لكن ضحايا المجموعة تشمل منظمات عبر مجموعة واسعة من البلدان، خاصة في جنوب شرق آسيا بما في ذلك تايلاند، وفيتنام، وإندونيسيا، وهونغ كونغ، وماكاو.
التعليقات 0
سجل دخولك لإضافة تعليق
لا توجد تعليقات بعد. كن أول من يعلق!