تكنونيوز - دبي - كشفت شركة "سيمانتك" النقاب عن عمليات يشنها أحد عوامل التهديد ويطلق عليه Leafminer حيث يستهدف طيفاً واسعاً من شبكات المؤسسات والشركات الحكومية على امتداد منطقة الشرق الأوسط منذ مطلع العام 2017. وتقوم هذه المجموعة من القراصنة باستغلال تكتيكات وأدوات متاحة لشن هجماتها وتهديداتها باستخدام ثغرات ملموسة. تتم هجمات Leafminer بهدف اختراق الشبكات المستهدفة عبر عدة وسائل، وهي: استهداف مواقع إلكترونية جماعية، وإشعارات بالفحص عبر شبكة الإنترنت، ومحاولات الاختراق بفك التشفير/تسجيل الدخول بالفهرس. وتشير أدوات الاختراق التي تستخدمها جهة القرصنة إلى أن هذه المجموعة تسعى إلى اختراق البريد الإلكتروني والملفات وخوادم قاعدة البيانات الموجودة ضمن أنظمة الشبكات المستهدفة.

ترسانة Leafminer

كشفت عمليات الفحص الموسّعة التي أجرتها "سيمانتك" عن وجود علاقة بين Leafminer وعددٍ من الهجمات التي تعرضت لها شبكات في منطقة الشرق الأوسط، حيث أظهرت هذه الفحوصات طبيعة الأدوات التي تم استخدامها من قبل مجموعة Leafminer وتحركاتها وتسريب البيانات. فقد تبيّن نجاح هذه المجموعة في تنزيل رابط يحمل برمجية خبيثة، حيث يقوم هذا الرابط بدوره بتوجيه الشبكة المستهدفة نحو نطاق يحمل الاسم e-qht.az، ومن ثَمّ نشر ترسانة من البرمجيات الخبيثة وملفات وأدوات اختراق على جهاز الضحية للاستعانة بها مرة أخرى.

وفي مطلع شهر يونيو 2018، بلغ عدد الملفات الموجودة في دليل فرعي على خادم الشبكة 112 ملفاً قابلاً للدخول إليها عن طريق شبكة عامة أنشأتها مجموعة القراصنة. وبالإضافة إلى البرمجيات الخبيثة وأدوات الاختراق، تضمّنت الملفات أيضاً تحميل سجلات مستقاة من عمليات الفحص والأدوات التي استخدمت بعد الاختراق.

كما أظهرت عمليات الفحص بشأن وجود مصدر هام للمعلومات المستهدفة قائمة تضم 809 أهداف تم استخدامها من قبل القراصنة بغرض استكشاف الثغرات. وتبيّن أن هذه القائمة تمّت كتابتها باللغة الفارسية، وهي تقوم بتصنيف كل تبويب للمؤسسات المستهدفة بحسب المنطقة الجغرافية وطبيعة النشاط. يوضح الشكل التالي توزيعاً للقطاعات. وقد شملت الدول المستهدفة بهذه الهجمات كلاً من: المملكة العربية السعودية ودولة الإمارات العربية المتحدة وقطر والكويت والبحرين ومصر وأفغانستان.

اختراق

لاحظنا استخدام Leafminer لثلاث وسائل لشن عمليات الاختراق على الشبكات المستهدفة، وهي على النحو التالي:

إصابة خوادم المواقع الإلكترونية من أجل شن هجمات جماعية
أظهرت عمليات الفحص التي قامت بها شركة "سيمانتك" اكتشاف كود JavaScript ضمن المواقع الإلكترونية بالشرق الأوسط. ويمارس هذا الكود تشويشاً على الموقع الإلكتروني بهدف الاستيلاء على خاصية مشاركة الملفات، ومن ثَمّ إجبار الخادم الخاص بشبكة الضحية على الخروج عن الشبكة.


فحوصات/ ثغرات للنقاط الحساسة في خدمات الشبكة
تقوم مجموعة Leafminer بتقليد التطورات والمنشورات التي تتبعها فرق التأمين ضد الهجمات، من خلال الاستعانة بالأدوات نفسها. وقد أصبح ذلك واضحاً بشكل كبير عند تحليل الأساليب التي تستخدمها المجموعة وأدواتها في استكشاف الثغرات. ومن هذا المنطلق، فإن خادم الشبكة الخاص بأجهزة الضحايا تتضمن ترسانة من أدوات وأساليب الاختراق التي ثبتت دقتها والخاصة بـ Leafminer.

هجمات عبر حفظ بيانات الدخول لخدمات الشبكة
تتبع مجموعة Leafminer وسيلة أخرى في شن هجماتها على شبكات الضحايا، وهي استخدام أدوات قرصنة خاصة لتخمين بيانات دخول المستخدمين وكلمات المرور، وهي وسيلة ثبتت فعاليتها، رغم أنها أقل تطوراً من الوسيلة السابقة. وقد لوحظت هذه الطريقة من خلال خوادم معينة أنشأتها Leafminer، ومن خلال خوادم تجريبية تمكنت المجموعة من قرصنتها.


هناك مؤشرات ترجح أن المهاجمين استخدموا عملية تصيّد للبريد الإلكتروني عن طريق إرسال مرفقات خبيثة. إلا أن ذلك لم تتم ملاحظته أو التأكد منه بشكل مباشر.

أفضل الممارسات

يتعين إنشاء كلمات مرور تتضمن ما لايقل عن 8 -10 رموز وحروف (ويفضل أن تكون أطول) بالنسبة للمستخدمين ذوي الأهمية في المؤسسة أو الشركة، على أن تتضمن مزيجاً من الحروف والأرقام. ولابد من تجنب إعادة استخدام كلمات المرور ذاتها المستخدمة من قبل على أكثر من موقع، وألا تتم مشاركتها مع الآخرين. كما يجب حذف بيانات الدخول غير المستخدمة وأن تقتصر بيانات الدخول الإدارية على عدد محدود. ويجب استخدام طريقة دخول تحتوي على عاملين إضافيين (مثل Symantec VIP) من أجل ضمان توفير مستوى إضافي من الأمان والحيلولة دون سرقة بيانات الدخول من قبل القراصنة.
التأكد من أن أنظمة الدعم المتنوعة والمتداخلة والتشاركية تقوم بمهامها في الحماية من الإخفاق انطلاقاً من نقطة موحّدة، بغض النظر عن استخدام تقنية أو وسيلة حماية بعينها. فلابد من أن يتضمن ذلك إجراء تحديثات دورية للجدران النارية وغيرها من برمجيات مكافحة الفيروسات، وبرمجيات استكشاف الاختراقات أو أنظمة الحماية، ودعم النقاط الحساسة في المواقع الإلكترونية ضد البرمجيات الخبيثة، والحلول الأمنية لبوابات الشبكة.
تطبيق سياسة تأمين إجبارية يتم من خلالها فرض تشفير للبيانات المخزنة أو المستخدمة، مع التأكد في الوقت نفسه من أن بيانات العملاء محميّة أيضاً. ويساهم ذلك في تخفيف الأضرار الناجمة عن أية تسريبات محتملة للبيانات من داخل المؤسسة. وتطبيق سياسة تنقية عملية مشاركة الملفات في إطار الأجهزة الواقعة ضمن محيط الشبكة، بما يضمن منع تسرب الملفات إلى شبكة الإنترنت.
· توعية الموظفين في المؤسسة بشأن المخاطر التي تتسبب فيها رسائل البريد الإلكتروني الهادفة للتصيّد، بما في ذلك التحذير من رسائل البريد الإلكتروني الواردة من مصادر مجهولة وفتح ملفات مرفقة لم تخضع للفحص. وتتوفر مجموعة متكاملة من برمجيات الحماية ضد رسائل البريد الإلكتروني، مثل Symantec Email Security.cloud وهي منصة لصد الهجمات عبر البريد الإلكتروني، وSymantec Endpoint Protection التي تتصدى للبرمجيات الخبيثة عند نقاط النهاية. وتوفر تقنية Disarm الموجودة في منصة Symantec Messaging Gateway الحماية لأجهزة الكمبيوتر من التهديدات من خلال إزالة البرمجيات الخبيثة الموجودة داخل الملفات قبل وصولها إلى المستخدم.

· الإحاطة بالمعلومات حول كافة الأدوات والأساليب والإجراءات المتبعة من قبل القراصنة، وذلك من خلال الاستعانة بمنصات، مثل DeepSight Adversary Intelligence والتي تساعد في تعزيز قدرات الحماية ضد مجموعات القرصنة، مثل Leafminer. وبالإضافة إلى ذلك، يتعين استخدام الذكاء الاستراتيجي الذي يكشف دوافع مجموعة القرصنة وقدراتها والخطوات المقبلة، ما يضمن اتخاذ قرارات استباقية سليمة ومواتية لحماية منظومة العمل داخل المؤسسة.

التاريخ : 2018/08/04 05:42:36