أخباراتصالات وتكنولوجيا

       

برمجية الفدية Cring تصيب شركات صناعية عبر ثغرات أمنية في خوادم VPN

       

       

       

       

       


في أوائل العام 2021، نفّذت جهات تخريبية سلسلة من الهجمات باستخدام برمجية Cring الخبيثة. وذكر فريق الاستجابة لحوادث أمن الحاسوب التابع لشركة “سويس كوم” Swisscom CSIRT هذه الهجمات، لكن لم يتّضح بعدُ كيف تصيب برمجية الفدية هذه شبكات الشركات الصناعية،

لكن تحقيقًا أجراه خبراء فريق الاستجابة لطوارئ الحاسوب لنظم الرقابة الصناعية لدى كاسبرسكي، في إحدى الشركات التي تعرضت للهجوم، كشف عن أن هجمات Cring تستغل ثغرة في خوادم الشبكة الافتراضية الخاصة VPN. وضربت هذه الهجمات شركاتٍ صناعية في دول أوروبية، وأدّت في حالة واحدة على الأقل إلى إغلاق مؤقت لأحد مواقع الإنتاج.

وأصبحت ثغرة CVE-2018-13379 الموجودة في خوادم Fortigate VPN معروفة منذ العام 2019. وجرت معالجتها وتصحيحها، لكن لم يتم تحديث جميع الأجهزة التي توجد بها هذه الثغرة.

ومنذ خريف العام 2020 بدأت تظهر في منتديات الويب المظلمة قوائم جاهزة بعناوين IP للأجهزة التي تحتوي على الثغرة، ما قد يمكّن المهاجمين من الاتصال بالجهاز عبر الإنترنت والوصول عن بُعد إلى ملف XML الذي يحتوي على اسم المستخدم وكلمة المرور المخزنين بنص واضح.

وكشفت الاستجابة للحوادث، التي أجراها خبراء فريق الاستجابة لطوارئ الحاسوب لدى كاسبرسكي، أن سلسلة هجمات Cring من هجمات طلب الفدية، استغلت الجهة التخريبية ثغرة CVE-2018-13379 للوصول إلى شبكة الشركة.

وأظهر التحقيق أنه في وقت ما قبل المرحلة الرئيسة من العملية، أجرى المهاجمون اتصالات لاختبار بوابة VPN، للتأكّد على ما يبدو من أن بيانات اعتماد المستخدم المسروقة لشبكة VPN لا تزال صالحة.

استخدم المهاجمون في يوم الهجوم، بعد وصولهم إلى أول نظام على شبكة المؤسسة، الأداة المساعدة Mimikatz في سرقة بيانات اعتماد حساب مستخدمي Windows الذين سبق لهم تسجيل الدخول إلى النظام المخترق.

وكان المهاجمون محظوظين بعد ذلك في اختراق حساب مسؤول النطاق الشبكي، ليبدأوا بعد ذلك في الانتشار إلى أنظمة أخرى على شبكة الشركة مستغلين تمتّع المسؤول بحقوق الوصول إلى جميع الأنظمة على الشبكة باستخدام حساب مستخدم واحد.

وبعد أن أجرى المهاجمون استطلاعًا شاملًا وأحكموا سيطرتهم على الأنظمة المهمة للعمليات الصناعية، نزّلوا البرمجية الخبيثة Cring وأطلقوا بها هجوم طلب الفدية.

ووفقًا للخبراء، فإن عدم تحديث قواعد البيانات الخاصة بالحل الأمني المستخدم على الأنظمة المهاجمة، أولًا بأول، لعب أيضًا دورًا رئيسًا في نجاح الهجوم، إذ منع الحلّ الأمني من اكتشاف التهديد وإيقافه. كذلك تجدر الإشارة إلى أن بعض مكونات حل مكافحة الفيروسات، كانت قد عُطّلت، ما قلّل من فعالية الحماية.

وقال ياخسلاف كوبيتسيف الخبير الأمني في فريق الاستجابة لطوارئ الحاسوب لنظم الرقابة الصناعية لدى كاسبرسكي، إن تفاصيل مختلفة للهجوم تشير إلى أن المهاجمين حلّلوا بعناية البنية التحتية للشركة المستهدفة وأعدوا بنيتهم التحتية وأدواتهم الخاصة بناءً على المعلومات التي جمعوها في مرحلة المعاينة والاستطلاع،

موضحًا، مثلًا، أن الخادم المضيف للبرمجية الخبيثة التي جرى منها تنزيل Cring، مُنح إمكانية التسلل عن طريق عنوان IP ولم يستجب إلا للطلبات الواردة من عدد من الدول الأوروبية.

وأضاف: “أخفت النصوصُ البرمجية، التي استخدمها المهاجمون في نشاطهم التخريبي، البرمجيات الخبيثة لتبدو وكأنها إجراءات يتخذها حلّ مكافحة الفيروسات المؤسسي،

وأنهت العمليات التي نفذتها خوادم قاعدة البيانات (Microsoft SQL Server) وأنظمة النسخ الاحتياطي (Veeam) التي تم استخدامها في الأنظمة المختارة للتشفير.

ويوضّح تحليل نشاط المهاجمين، بناءً على نتائج التحقيق الذي أجري على شبكة الشركة، أنهم اختاروا تشفير تلك الخوادم التي اعتقد المهاجمون أنها ستسبب أكبر ضرر لعمليات الشركة في حالة فقدها”.

يمكن الاطلاع على المزيد من المعلومات عن التحقيق على موقع فريق الاستجابة لطوارئ الحاسوب لنظم الرقابة الصناعية لدى كاسبرسكي.

ويوصي خبراء كاسبرسكي باتباع التدابير التالية للحفاظ على الأنظمة محمية من هذا التهديد:

• الحرص على تحديث البرمجيات الثابتة على بوابة الشبكة الافتراضية الخاص VPN Gateway متى ما أتيحت أحدث الإصدارات.
• الحرص على تحديث حلول حماية النقاط الطرفية وقواعد البيانات الخاصة بها لأحدث الإصدارات.
• الحرص على الإبقاء على جميع الوحدات النمطية في حلول حماية النقاط الطرفية نشطة دائمًا، على النحو الموصى به من قبل الجهة المنتجة.
• الحرص على من أن سياسة الأدلة النشطة لا تسمح إلا للمستخدمين بتسجيل الدخول إلى تلك الأنظمة وفق احتياجاتهم التشغيلية.
• تقييد الوصول عبر VPN بين المرافق والحرص على إغلاق جميع المنافذ التي لا تتطلبها الاحتياجات التشغيلية.
• إعداد نظام النسخ الاحتياطي لتخزين النسخ الاحتياطية على خادم مخصص.
• ضع في اعتبارك تنفيذ حلول أمنية من النوع الذي يكشف عن التهديدات ويستجيب لها عند النقاط الطرفية في كلٍ من شبكات تقنية المعلومات وشبكات التقنيات التشغيلية، وذلك تعزيزًا لقدرة الشركة على مقاومة هجمات برمجيات الفدية المحتملة.
• قد يكون من الملائم تعديل خدمات الكشف والاستجابة المدارة، من أجل الوصول الفوري إلى أعلى مستوى من المهارات والمعرفة من خبراء الأمن المحترفين.
• استخدم حلول الحماية المخصصة للعمليات الصناعية، مثل الحلّ Kaspersky Industrial CyberSecurity الذي يحمي العُقد الصناعية ويتيح مراقبة شبكة التقنيات التشغيلية للكشف عن أي نشاط خبيث وإيقافه.