تقنية وتكنولوجيا

يصدر NCSC في المملكة المتحدة تحذيرًا حيث يستهدف قراصنة SVR الخدمات السحابية – TechToday


حذر تقرير استشاري من المركز الوطني للأمن السيبراني في المملكة المتحدة ووكالات الأمن الدولية من أن قراصنة الدولة الروس يقومون بتكييف تقنياتهم لاستهداف المنظمات التي تنتقل إلى السحابة.

ويوضح التقرير كيف تستهدف مجموعة التجسس الإلكتروني APT29 بشكل مباشر نقاط الضعف في الخدمات السحابية التي تستخدمها المنظمات الضحية للوصول الأولي إلى أنظمتها. تعمل APT29 أيضًا على توسيع نطاق هجماتها لتتجاوز الحكومات ومراكز الأبحاث ومقدمي الرعاية الصحية والطاقة لتشمل الضحايا في مجالات الطيران والتعليم وإنفاذ القانون والمجالس المحلية ومجالس الولايات والإدارات المالية الحكومية والمنظمات العسكرية. تم ربط APT29 بجهاز المخابرات الخارجية الروسي.

ويحث الاستشارة المؤسسات على معالجة نقاط الضعف الشائعة في بيئاتها السحابية عن طريق إزالة الحسابات الخاملة، وتمكين المصادقة متعددة العوامل وإنشاء حسابات الكناري لمراقبة الأنشطة المشبوهة.

من هي APT29؟

APT29، والمعروفة أيضًا باسم Cozy Bear أو Midnight Blizzard أو Dukes، هي مجموعة تجسس إلكترونية يُعتقد على نطاق واسع أنها الجهة المسؤولة عن هجوم SolarWinds سيئ السمعة عام 2020، والذي استغل نقاط الضعف في شبكة Orion وكان له تأثير مدمر على الوكالات الحكومية الأمريكية. وشركات القطاع الخاص المختلفة.

كما تم إلقاء اللوم على مجموعة القرصنة أيضًا في هجوم رش كلمة المرور الأخير على Microsoft والذي أدى إلى اختراق عدد صغير من حسابات البريد الإلكتروني للشركة.

كيف تقوم APT29 بتكييف هجماتها الإلكترونية للتركيز على البيئات السحابية و”قصف MFA”

ووفقًا للتقرير، فقد تمت ملاحظة APT29 وهي تستخدم عددًا من التقنيات على مدار الـ 12 شهرًا الماضية، مما يشير إلى أنها تتكيف مع التحول نحو بيئات التشغيل المستندة إلى السحابة عبر القطاعين العام والخاص.

وعلى وجه التحديد، تستغل المجموعة بشكل متزايد نقاط الضعف في الخدمات السحابية التي تستخدمها المؤسسات للوصول الأولي إلى الشبكات. ويمثل هذا تحولًا بعيدًا عن أساليب الهجوم التقليدية التي يستخدمها التنظيم، وتحديدًا تلك التي تستهدف المعدات الموجودة في أماكن العمل.

تشمل التقنيات التي تستخدمها APT29 رش كلمات المرور وهجمات القوة الغاشمة التي تستهدف الحسابات الخاملة أو التي لا يديرها شخص وتستخدم لإدارة التطبيقات الأخرى على الشبكة.

“يُستخدم هذا النوع من الحسابات عادةً لتشغيل التطبيقات والخدمات وإدارتها. لا يوجد مستخدم بشري وراءها، لذلك لا يمكن حمايتها بسهولة من خلال المصادقة متعددة العوامل (MFA)، مما يجعل هذه الحسابات أكثر عرضة للتسوية الناجحة.

“غالبًا ما تتمتع حسابات الخدمة أيضًا بامتيازات عالية اعتمادًا على التطبيقات والخدمات المسؤولة عن إدارتها. إن الوصول إلى هذه الحسابات يوفر للجهات الفاعلة في مجال التهديد وصولاً أوليًا متميزًا إلى الشبكة، لبدء المزيد من العمليات.

تستغل APT29 أيضًا نقاط الضعف في بروتوكولات MFA عبر “قصف MFA”، والذي يتضمن قصف جهاز الضحية بطلبات المصادقة حتى يتعب من قبولها – إما عن طريق الخطأ أو غير ذلك.

بعد تجاوز MFA، يتمكن المتسللون من تسجيل أجهزتهم الخاصة على الشبكة والحصول على وصول أعمق إلى أنظمة المنظمة الضحية. وقد لوحظ أيضًا أن عناصر SVR يسرقون رموز المصادقة الصادرة عن النظام، مما يمكنهم من الوصول إلى حسابات الضحايا دون الحاجة إلى كلمة مرور.

وقال توبي لويس، رئيس تحليل التهديدات في شركة الأمن السيبراني البريطانية Darktrace، إن التغيير في تكتيكات APT29 سلط الضوء على بعض “التحديات المتأصلة” في تأمين البنية التحتية السحابية.

قال لويس لـ TechRepublic عبر البريد الإلكتروني: “لقد أدت زيادة البيانات وترحيل عبء العمل إلى السحابة إلى فتح أسطح هجوم جديدة يتوق مجرمو الإنترنت إلى استغلالها”.

“تحتوي البيئات السحابية على كميات هائلة من البيانات الحساسة التي تجذب الجهات الفاعلة السيئة ومجموعات الدول القومية على حد سواء. إن الطبيعة الموزعة للبنية التحتية السحابية، والتوفير السريع للموارد، وانتشار التكوينات الخاطئة قد شكلت تحديات أمنية كبيرة.

كيف يظل قراصنة SVR غير مكتشفين

كما أثبت الوكلاء المحليون والحسابات الخاملة أنهم أدوات مفيدة للغاية لمتسللي SVR، حسبما تشير الملاحظات الاستشارية.

يتم عادةً إنشاء الحسابات الخاملة عندما يغادر الموظف المؤسسة ولكن حسابه يظل نشطًا. يمكن للمتسللين الذين لديهم حق الوصول إلى حساب خامل الالتفاف على أي عمليات إعادة تعيين لكلمة المرور يتم فرضها من قبل مؤسسة بعد حدوث خرق أمني، حسبما تشير الملاحظات الاستشارية؛ يقومون ببساطة بتسجيل الدخول إلى الحساب الخامل أو غير النشط واتباع تعليمات إعادة تعيين كلمة المرور. وتقول: “لقد سمح هذا للممثل باستعادة إمكانية الوصول بعد أنشطة الإخلاء استجابة للحوادث”.

وبالمثل، يستخدم ممثلو SVR وكلاء محليين لإخفاء موقعهم وجعله يبدو كما لو أن حركة مرور الشبكة الخاصة بهم تنشأ من عنوان IP قريب. وهذا يجعل من الصعب على المنظمة الضحية اكتشاف نشاط الشبكة المشبوه، ويجعل دفاعات الأمن السيبراني التي تستخدم عناوين IP كمؤشرات للنشاط المشبوه أقل فعالية.

وجاء في التحذير: “نظرًا لأن الدفاعات على مستوى الشبكة تعمل على تحسين اكتشاف الأنشطة المشبوهة، فقد بحث ممثلو SVR في طرق أخرى للبقاء سريين على الإنترنت”.

تحديات تأمين الشبكات السحابية

على الرغم من عدم ذكره على وجه التحديد في الاستشارة، قال لويس إن التطورات في الذكاء الاصطناعي التوليدي تطرح تحديات إضافية لتأمين البيئات السحابية – أي أن المهاجمين يستفيدون من التكنولوجيا لصياغة هجمات تصيد أكثر تطوراً وتقنيات هندسة اجتماعية.

كما أشار أيضًا إلى أن العديد من المؤسسات تلجأ إلى الأمن السحابي لأنها تفترض أن هذه مسؤولية مزود الخدمة السحابية، في حين أنها في الواقع مسؤولية مشتركة.

تنزيل: سياسة التوعية والتدريب الأمني ​​هذه من TechRepublic Premium

“تفترض العديد من المؤسسات خطأً أن موفر السحابة سيتعامل مع جميع جوانب الأمان. ومع ذلك، بينما يقوم المزود بتأمين البنية التحتية الأساسية، يحتفظ العميل بالمسؤولية عن تكوين الموارد بشكل صحيح وإدارة الهوية والوصول والأمن على مستوى التطبيق.

“يجب على قادة الأعمال أن يأخذوا الأمن السحابي على محمل الجد من خلال الاستثمار في المهارات والأدوات والعمليات المناسبة. يجب عليهم التأكد من أن الموظفين لديهم بنية سحابية وتدريب أمني لتجنب التكوينات الخاطئة الأساسية. ويجب عليهم أيضًا أن يتبنوا نموذج المسؤولية المشتركة، حتى يعرفوا بالضبط ما يقع ضمن نطاق اختصاصهم.

نصائح NCSC للبقاء آمنًا فيما يتعلق بنصائح SVR

يؤكد تقرير NCSC على أهمية أساسيات الأمن السيبراني، والتي تشمل:

  • تنفيذ وزارة الخارجية.
  • استخدام كلمات مرور قوية وفريدة للحسابات.
  • تقليل عمر الجلسة للرموز المميزة وجلسات المستخدم.
  • تنفيذ مبدأ الامتياز الأقل لحسابات النظام والخدمة، حيث يتم منح كل حساب فقط الحد الأدنى من مستويات الوصول اللازمة لأداء وظائفه.

وهذا يقلل من الأضرار المحتملة الناجمة عن الحسابات المخترقة ويقيد مستوى الوصول الذي قد يحصل عليه المهاجمون. ويشير التحذير إلى أن “خط الأساس الجيد لأساسيات الأمن السيبراني يمكن أن ينكر حتى تهديدًا معقدًا مثل SVR، وهو جهة فاعلة قادرة على تنفيذ تسوية عالمية لسلسلة التوريد مثل تسوية SolarWinds لعام 2020”.

تنزيل: سياسة الأمان السحابية هذه من TechRepublic Premium

علاوة على ذلك، يقترح الاستشارة إعداد حسابات خدمة الكناري – أي الحسابات التي تبدو شرعية ولكنها تُستخدم بالفعل لمراقبة الأنشطة المشبوهة على الشبكة. يجب تنفيذ سياسات التسجيل بدون لمس حيثما أمكن ذلك بحيث يمكن إضافة الأجهزة المرخصة فقط تلقائيًا إلى الشبكة، ويجب على المؤسسات “النظر في مجموعة متنوعة من مصادر المعلومات مثل أحداث التطبيق والسجلات المستندة إلى المضيف للمساعدة في منع البرامج الضارة المحتملة واكتشافها والتحقيق فيها سلوك.”

وشدد لويس على أهمية التعاون في الاستجابة لمشهد التهديدات المتطور، فضلاً عن ضمان حصول الشركات على المهارات والأشخاص والعمليات المناسبة للدفاع ضد التهديدات الجديدة والناشئة.

“إن التعاون العالمي بين وكالات وشركات الأمن السيبراني أمر بالغ الأهمية لتحديد التهديدات المتطورة والاستجابة لها. وقال إن المهاجمين مثل APT29 يفكرون عالميًا، لذا يجب على المدافعين ذلك أيضًا.

“إن تبادل المعلومات الاستخبارية حول التكتيكات الجديدة يسمح للمؤسسات في جميع أنحاء العالم بتحسين دفاعاتها والاستجابة بسرعة. ولا تتمتع أي وكالة أو شركة برؤية كاملة بمفردها.”

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى