تقنية وتكنولوجيا

يقول Infoblox أن محترفي تكنولوجيا المعلومات يفتقدون هذا التهديد الضخم من مجرمي الإنترنت العالميين المنظمين – TechToday


يتم تسليم كميات كبيرة من البرامج الضارة والمحتويات الضارة الأخرى إلى الشبكات في منطقة آسيا والمحيط الهادئ وأستراليا ونيوزيلندا وفي جميع أنحاء العالم نتيجة لمجموعة من الشراكات واسعة النطاق لمجرمي الإنترنت الضارين بقيادة جهة التهديد السرية إلى حد كبير ولكنها ماكرة، VexTrio.

صرح رينيه بيرتون، رئيس استخبارات التهديدات في Infoblox والمسؤول التنفيذي الأول السابق في وكالة الأمن القومي الأمريكية، لـ TechRepublic أن شبكة VexTrio الدولية تتضمن علاقات مع ClearFake وSocGholish وأكثر من 60 شركة تابعة أخرى سرية.

ويوصي بيرتون صناعة الأمن السيبراني في المنطقة بالتركيز بشكل أكبر على الكشف عن اللاعبين السريين من الطبقة الوسطى والقضاء عليهم مثل VexTrio، بدلاً من البرامج الضارة أو تهديدات التصيد الاحتيالي، وتنفيذ تدابير وقائية لنظام اسم النطاق لحظر النطاقات الضارة.

ما هو VexTrio، ولماذا تضع أستراليا ومنطقة آسيا والمحيط الهادئ نصب أعينها؟

تم تأسيس VexTrio منذ أكثر من ست سنوات، وتم الكشف عنه بواسطة Infoblox كواحد من أقدم وأكبر وسطاء حركة مرور الويب الضارة في العالم الذين يستهدفون مستخدمي الإنترنت من رجال الأعمال والمستهلكين. تقدر Infoblox أن تهديد VexTrio سيبلغ 10 تريليون دولار أمريكي في عام 2023 (15 تريليون دولار أسترالي)، ومن المتوقع أن يرتفع إلى 25 تريليون دولار أمريكي (38 تريليون دولار أسترالي) بحلول عام 2025.

يعمل VexTrio كنظام لتوزيع حركة المرور، وهو مصطلح مأخوذ من خدمات حركة مرور الويب المماثلة في عالم التسويق. يتم تمرير المستخدمين الذين يتم إغراءهم من خلال شبكتها الدولية التابعة إلى كيانات إجرامية أخرى، حيث يمكن استهدافهم بالبرامج الضارة والتصيد الاحتيالي (الشكل أ).

الشكل أ: يعمل VexTrio بمثابة الرجل الوسيط في شبكة إجرامية إلكترونية دولية.

كشفت أبحاث Infoblox أن VexTrio قد شكلت شراكات استراتيجية مع SocGholish وClearFake، والتي تستخدم أطر عمل JavaScript الضارة، بالإضافة إلى أكثر من 60 شركة تابعة أخرى سرية. يعتبر SocGholish واحدًا من أكبر ثلاثة تهديدات عالمية اليوم.

يريد VexTrio مستخدمي الإنترنت من الشركات والمستهلكين في منطقة آسيا والمحيط الهادئ والأستراليين

وقال بيرتون إن مستخدمي الإنترنت من الشركات والمستهلكين في منطقة آسيا والمحيط الهادئ في أستراليا ونيوزيلندا معرضون للخطر لأنه، على عكس بعض الجهات الفاعلة في مجال التهديد التي لديها تحيز ضد استهداف بلدان أو مناطق معينة، كانت VexTrio في الأساس “تسعى وراء الإنترنت”، بما في ذلك في منطقة آسيا والمحيط الهادئ وأستراليا.

انظر: يجب على المنظمات الأسترالية أن تظل على قمة اتجاهات الأمن السيبراني هذه.

تعمل بـ 32 لغة – تم الكشف عنها من خلال استخدام الشبكة لالتقاط robo لتحديد لغة متصفح المستخدم – وقال بيرتون إن هناك حجمًا من الشكاوى الواردة من المنطقة. وقالت إن المستخدمين في اليابان على وجه الخصوص يشكلون مصدرًا لعدد كبير من الشكاوى.

قال بيرتون: “إذا فكرت في إحدى الطرق الرئيسية التي تحصل بها VexTrio والشركات التابعة لها على ضحاياهم الأوائل، فستجد أن إحدى الطرق الرئيسية هي من خلال تسوية WordPress”. “إنهم يبحثون في الإنترنت بحثًا عن مواقع الويب المعرضة للقيام بأنواع مختلفة من الهجمات. إنهم لا يهتمون أين هم.”

فتح نافذة محدودة على عمليات الجريمة السيبرانية العالمية

يعد الكشف الجزئي عن VexTrio نافذة على كيفية عمل الجرائم الإلكترونية على مستوى العالم وفي منطقة آسيا والمحيط الهادئ. وفي حين يتم تصوير مجرمي الإنترنت في كثير من الأحيان على أنهم عصابات من المتسللين أو المبرمجين البارعين المنفردين، فإنهم بدلاً من ذلك في كثير من الأحيان “يشترون ويبيعون السلع والخدمات كجزء من اقتصاد إجرامي أكبر”.

وقال بيرتون: “يبيع بعض الجهات الفاعلة خدمات البرمجيات الخبيثة، والبرمجيات الخبيثة كخدمة تتيح للمشترين الوصول بسهولة إلى البنية التحتية لارتكاب الجرائم”. “يشكل مقدمو الخدمات هؤلاء أيضًا شراكات استراتيجية، على غرار الطريقة التي تقوم بها الشركات الشرعية، لتوسيع حدود عملياتها.”

إلا أن “مثل هذه العلاقات تتم في الخفاء، وقد تشمل عدداً من الشركاء”، بحسب قولها، مما يجعل من الصعب فكها وفهمها من منظور خارجي. قال بيرتون إنه على الرغم من بعض المعرفة بـ VexTrio، إلا أن هويتهم وموقعهم لا يزالان غامضين.

ما هي العلامات الشائعة لهجوم VexTrio على الأعمال التجارية؟

أسلوب الهجوم الأكثر شيوعًا الذي تستخدمه VexTrio والشركات التابعة لها هو “التسوية من خلال محرك الأقراص”، حيث يقوم الممثلون باختراق مواقع WordPress الضعيفة وحقن JavaScript ضار في صفحات HTML الخاصة بهم. يحتوي هذا البرنامج النصي عادةً على TDS الذي يعيد توجيه الضحايا إلى البنية التحتية الضارة ويجمع المعلومات، مثل عنوان IP الخاص بهم.

في كثير من الأحيان، قال بيرتون إن المستخدمين في الشركات يجدون هذه الصفحات من خلال نتائج بحث Google، حيث تتواجد مواقع الويب التابعة لـ VexTrio في الجزء العلوي من نتائج البحث مما يرسل الموظفين “إلى أسفل حفرة الأرانب”. وبعد اختراق جهاز ما، وخاصة من خلال ملحقات متصفح Chrome، يمكنهم بعد ذلك تقديم “أي شيء يريدونه”، بما في ذلك رسائل البريد الإلكتروني التصيدية.

عادةً ما يبلغ المستخدمون الذين تعرضوا لهجوم عبر VexTrio عن رؤية الكثير من الإعلانات والنوافذ المنبثقة و/أو عدم قدرتهم على التحكم في متصفحاتهم بعد الاستيلاء عليها. يمكن أن تتم سرقة بيانات اعتمادهم أو معلوماتهم المالية.

ما الذي يمكن أن يفعله محترفو تكنولوجيا المعلومات في منطقة آسيا والمحيط الهادئ لحماية أنفسهم من VexTrio؟

دعت Infoblox إلى اتخاذ المزيد من الإجراءات الجماعية في الصناعة التي تستهدف الوسيط مثل VexTrio بدلاً من البرامج الضارة الوجهة أو صفحات التصيد الاحتيالي، التي تتمتع بالقدرة على “التدوير إلى اليسار واليمين”. وقالت إن هذا هو المكان الذي تركز فيه الصناعة بدلاً من أنظمة توزيع حركة المرور.

PREMIUM: قد ترغب الشركات في تطوير قائمة مرجعية لتقييم المخاطر الأمنية.

وقال بيرتونز: “كصناعة، سواء كانت بين الحكومات أو المؤسسات التجارية، فإننا نركز حقًا على البرامج الضارة – هناك فصول دراسية حول البرامج الضارة، ومؤتمرات حول البرامج الضارة”. “نحن لا نركز على البنية التحتية. تعمل معظم المنتجات في أمان نقطة النهاية وجدار الحماية وطبقة IP.

وأضاف بيرتون أن التعليم كان ناجحًا مع أمثال تسوية البريد الإلكتروني الخاص بالعمل. وقالت إنه يمكن نشره بالمثل لتحذير المستخدمين من التهديدات النموذجية ذات الصلة بـ VexTrio، مثل قول لا عند ظهور النوافذ المنبثقة التي تطلب من المستخدمين السماح لهم بعرض الإشعارات.

تنفيذ آليات حماية DNS المتاحة

تُعرّف Infoblox DNS الوقائي على أنه أي خدمة أمان تحلل استعلامات DNS وتتخذ الإجراءات اللازمة للتخفيف من التهديدات من خلال الاستفادة من بروتوكول DNS الحالي وبنيته. يمكنه منع الوصول إلى البرامج الضارة وبرامج الفدية وهجمات التصيد الاحتيالي من المصدر وتحسين أمان الشبكة.

وقال بيرتون إن دولًا مثل أستراليا لديها تاريخ في تقديم DNS وقائي مجانًا، وإذا تم توسيع هذا الجهد أو كان هناك المزيد من التبني، فمن الممكن حظر نطاقات TDS. سيؤدي هذا إلى إيقاف التهديدات عند الطبقة الوسطى، بغض النظر عن البرامج الضارة لنقطة النهاية أو صفحة التصيد الاحتيالي.

وأوصت متخصصي تكنولوجيا المعلومات في منطقة آسيا والمحيط الهادئ بالاستفادة من برنامج DNS الوقائي المتاح للاستخدام التجاري للتحكم في التهديدات على مستوى DNS، سواء تم الحصول على ذلك من خلال حكوماتهم المحلية أو مقدمي الخدمات التجاريين أو عن طريق “توزيع خدماتك الخاصة”.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى