كتب :  محمد الخولى – نهله مقلد

كشف خبراء كاسبرسكي ، عن سلسلة جديدة وسريعة التطوّر من حملات التجسّس التي تهاجم أكثر من 2,000 شركة صناعية في أنحاء العالم حيث تتسم هذه الهجمات بمحدودية عدد الأهداف في كل هجوم وحدّدت الدراسة أكثر من 25 سوقاً تُباع فيها البيانات المسروقة في هجمات التجسس، ونُشرت نتائج الدراسة في تقرير صادر عن فريق الاستجابة لطوارئ الحاسوب في نظم الرقابة الصناعية لدى كاسبرسكي.

ولاحظ خبراء الفريق خلال النصف الأول من عام 2021، وجود حالة شاذة أثارت فضولهم في الإحصاءات الخاصة بتهديدات التجسس الرقمي المحظورة على أجهزة الحاسوب المرتبطة بنظم الرقابة الصناعية وبالرغم من أن البرمجيات الخبيثة المستخدمة في هذه الهجمات تنتمي إلى عائلات برمجيات التجسس السّلعية المعروفة، مثل Agent Tesla/Origin Logger وHawkEye وغيرهما، فإن ما يميّز هذه الهجمات عن نظيرتها السائدة يتمثل في العدد المحدود جداً من الأهداف في كل هجوم، والذي يتراوح بين بضع هجمات لعشرات الهجمات، علاوة على العمر القصير جداً لكل برمجية خبيثة مستخدمة في شنّها.

وكشف تحليل دقيق أُجري على 58,586 عيّنة من برمجيات التجسّس التي حُظرت على أجهزة الحاسوب المرتبطة بنظم الرقابة الصناعية في النصف الأول من عام 2021، عن أن 21.2% منها تقريباً كانت جزءاً من سلسلة الهجمات الجديدة محدودة النطاق وقصيرة العمر، التي لا تزيد دورة حياتها على 25 يوماً في المتوسط، أي أقلّ بكثير من متوسط عمر حملة تجسس رقمي تقليدية.

وبالرغم من قصر عمر كل عيّنة من برمجيات التجسس «الشاذة» ومحدودية نطاق أهدافها، فإنها تمثل حصّة كبيرة بشكل لا يتناسب مع جميع هجمات التجسس. وقد تعرَّض واحد من كل سبعة أجهزة حاسوب صناعية هوجمت ببرمجيات التجسس في منطقة الشرق الأوسط، على سبيل المثال، إلى هجوم بإحدى العيّنات «الشاذة».

وتنتشر معظم هذه الحملات من شركة صناعية إلى أخرى عبر رسائل بريد إلكتروني تصيّدية صِيغت بعناية وإتقان. ويحوّل المهاجمون الجهاز المخترق إلى خادم للقيادة والسيطرة، ويعدّونه لشنّ الهجوم التالي، ويمكنهم عبر الوصول إلى قائمة جهات الاتصال البريدي للضحية، استغلال البريد الإلكتروني المؤسسي في التوسُّع بنشر برمجيات التجسس.

وفقاً للقياسات التي حصل عليها عن بُعد فريق كاسبرسكي للاستجابة لطوارئ الحاسوب في نظم الرقابة الصناعية، فقد جُعلت أكثر من 2,000 شركة صناعية في أنحاء العالم تعرضت للهجمات، ضمن البنية التحتية التخريبية التي استخدمتها عصابات الإنترنت لنشر الهجوم إلى قوائم الاتصال والشركاء التجاريين. وقدّر الخبراء العدد الإجمالي للحسابات المؤسسية المخترقة أو المسروقة جرّاء هذه الهجمات بأكثر من 7,000 حساب.

وغالباً ما تصل البيانات الحساسة التي تُستخرج من أجهزة الحاسوب الصناعية إلى أسواق مختلفة، حددها خبراء كاسبرسكي بأكثر من 25 سوقاً بيعت فيها بيانات اعتماد الدخول المسروقة من حملات التجسس تلك. وأظهر تحليل لتلك الأسواق ارتفاع الطلب على بيانات الحسابات المؤسسية، لا سيما المتعلقة منها بحسابات الوصول عن بُعد إلى سطح المكتب (RDP). ووجد الباحثون كذلك أن أكثر من 46% من جميع حسابات RDP المباعة في الأسواق التي خضعت للتحليل مملوكة من شركات في الولايات المتحدة، في حين أتى الباقي من آسيا وأوروبا وأمريكا اللاتينية، وما يقرب من 4% (نحو 2,000 حساب) من جميع حسابات RDP المباعة تنتمي إلى شركات صناعية.

وتُعتبر «برمجيات التجسس المقدّمة كخدمة» سوقاً أخرى متنامية؛ فمنذ أن نُشرت الشيفرات المصدرية لبعض برمجيات التجسّس الشهيرة، أصبحت متاحة على نطاق واسع في المتاجر الرقمية في شكل خدمة. ولم يعد دور المطورين يقتصر على بيع البرمجيات الخبيثة، وإنما امتدّ لبيع تراخيص مُنشئي برمجيات خبيثة، وتصاريح وصول إلى بُنى تحتية مسبقة الإعداد لبناء البرمجيات الخبيثة.

واستخدم مجرمو الإنترنت على نطاق واسع طوال عام 2021 برمجيات التجسس لمهاجمة أجهزة الحاسوب الصناعية، بحسب الخبير الأمني في فريق الاستجابة للطوارئ الإلكترونية لنظم الرقابة الصناعية لدى كاسبرسكي، كيريل كروجلوف، الذي قال إن هناك توجهاً سريع التطور اليوم في مشهد التهديدات الصناعية، يتمثل في حرص المجرمين على تجنب انكشافهم على الحلول الأمنية عبر تقليص حجم الهجوم والحدّ من استخدام كل عينة من البرمجيات الخبيثة عن طريق فرض أن تُستبدل بها سريعاً برمجية أخرى حديثة البناء. وأضاف: «تشمل التكتيكات الأخرى إساءة استخدام البنية التحتية للبريد الإلكتروني المؤسسي لنشر البرمجيات الخبيثة، ما يختلف عن كل ما لوحظ من قبل في برمجيات التجسس، ونتوقع أن تكتسب مثل هذه الهجمات قوة في العام المقبل».