جاكرتا - اكتشف فريق الاستجابة لطوارئ الحاسب الآلي التابع لشركة Kaspersky ICS موجة من الهجمات المستهدفة على شركات المجمعات الصناعية العسكرية والمؤسسات العامة في العديد من دول أوروبا الشرقية وأفغانستان. يمكن لمجرمي الإنترنت السيطرة على البنية التحتية لتكنولوجيا المعلومات الكاملة للضحية لأغراض التجسس الصناعي.
فريق الاستجابة للطوارئ السيبرانية لأنظمة التحكم الصناعية من كاسبرسكي (Kaspersky ICS CERT) هو مشروع عالمي أطلقته كاسبرسكي في عام 2016 لتنسيق جهود موردي أنظمة الأتمتة ومالكي المنشآت الصناعية ومشغليها والباحثين في مجال أمن تكنولوجيا المعلومات لحماية المؤسسات الصناعية من الهجمات السيبرانية.
وفي يناير 2022، شهد باحثو كاسبرسكي عدة هجمات متابعة على الشركات العسكرية والمؤسسات العامة. الغرض الرئيسي من هذه الهجمات هو الوصول إلى المعلومات الشخصية للشركة والسيطرة على أنظمة تكنولوجيا المعلومات. تشبه البرامج الضارة التي يستخدمها المهاجمون تلك التي تنتشر بواسطة TA428 APT ، وهي مجموعة APT باللغة الصينية.
يتسلل المهاجمون إلى شبكات الشركات عن طريق إرسال رسائل بريد إلكتروني للتصيد الاحتيالي تم إعدادها بعناية ، وبعضها يحتوي على معلومات خاصة بالمؤسسة لم تكن متاحة للجمهور في وقت إرسال رسائل البريد الإلكتروني. هذا يشير إلى أن المهاجم يستعد عمدا للهجوم ويختار هدفه مسبقا.
تتضمن رسائل البريد الإلكتروني الاحتيالية مستندات Microsoft Word مع تعليمات برمجية ضارة لاستغلال الثغرات الأمنية التي تسمح للمهاجمين بتنفيذ تعليمات برمجية عشوائية دون أي نشاط إضافي. توجد الثغرة الأمنية في إصدار قديم من محرر معادلات Microsoft، وهو أحد مكونات Microsoft Office.
بالإضافة إلى ذلك ، يستخدم المهاجم ستة أبواب خلفية مختلفة في وقت واحد لإعداد قنوات اتصال إضافية مع النظام المصاب إذا تم اكتشاف أي من البرامج الضارة وإزالتها بواسطة الحل الأمني. يوفر هذا الباب الخلفي وظائف واسعة النطاق للتحكم في الأنظمة المصابة وجمع البيانات السرية.
تضمنت المرحلة الأخيرة من الهجوم اختطاف وحدات التحكم في المجال والسيطرة الكاملة على جميع محطات العمل والخوادم الخاصة بالمنظمة ، وفي إحدى الحالات ، استولوا حتى على مركز التحكم في حل الأمن السيبراني.
بعد الحصول على حقوق مشرف المجال والوصول إلى Active Directory ، ينفذ المهاجم هجوم "التذكرة الذهبية". انتحال شخصية حساب مستخدم المؤسسة بشكل تعسفي والبحث عن مستندات أو ملفات أخرى تحتوي على بيانات حساسة للمؤسسة التي تتعرض للهجوم. ثم يتم اختراق البيانات إلى خوادم المهاجم المستضافة في بلدان مختلفة.
وقال فياتشيسلاف كوبيتسيف ، خبير الأمن في ICS CERT Kaspersky ، إن هجوم Golden Ticket يستفيد من بروتوكول المصادقة الافتراضي الذي كان قيد الاستخدام منذ توفر Windows 2000. من خلال تزوير تذاكر منح تذاكر Kerberos داخل شبكة الشركة ، يمكن للمهاجمين الوصول بشكل مستقل إلى أي خدمة. التي تمتلكها الشبكة لفترة غير محددة من الزمن.
"نتيجة لذلك ، فإن مجرد تغيير كلمة المرور أو حظر الحساب المخترق لن يكون كافيا. نصيحتنا هي التدقيق بعناية في جميع فياتشيسلاف كوبيتسيف ، خبير الأمن في ICS CERT Kaspersky بحثا عن نشاط مشبوه والاعتماد على حلول أمنية موثوقة ".
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)
