تكتيكات القراصنة المفضلة

يمكن أن تحدث أنظمة الكمبيوتر المتسللة بعدة طرق مختلفة - من الهجمات المعقدة مع مكونات شبكة القرصنة إلى التقنيات البدائية تقنيًا مثل اختراق المراسلات التجارية. في هذا المنشور ، سنقوم بتحليل التكتيكات التي تستخدم أخطر مجموعات القراصنة - Lazarus و Pawn Storm و Cobalt و Silence و MoneyTaker .

تعتبر الفعالية من أهم المعايير لاختيار أدوات القراصنة ، بالإضافة إلى درجة ملكية أعضاء المجموعة لها. الهجمات السيبرانية الحديثة هي عمليات معقدة متعددة المراحل ، يتطلب تنفيذها الكثير من الوقت والموارد المالية الخطيرة. إذا فشل اختراق النظام ، فإن كل الأعمال الأولية والتكاليف ستذهب سدى. وبالتالي ، يمكن اعتبار تكتيكات الاختراق في الأنظمة التي تستخدمها المجموعات الرائدة الأكثر فاعلية.

من بين هذه التكتيكات يجب تسليط الضوء عليها:

1. جميع أنواع التصيّد الاحتيالي - الكلاسيكي ، المستهدف ، التصيّد الاحتيالي من خلال الشبكات الاجتماعية ، استخدام tabnabbing ؛
2. هجمات سلسلة التوريد ؛
3. هجمات مثل Watering Hole ؛
4. الهجمات من خلال نقاط الضعف لمعدات الشبكة وأنظمة التشغيل ؛
5. الهجمات من خلال اعتراض DNS.

في الواقع ، كل هذه الأساليب معروفة منذ فترة طويلة ، ولكن كل مجموعة تجلب "تطورها" الخاص بها ، وتحويل التكتيكات الفعالة فقط إلى قذيفة خارقة للدروع أو الجمع بين العديد من التقنيات برشاقة لتجاوز أنظمة حماية الشركات بسهولة.

التصيد

التصيد في أبسط صوره هو بريد إلكتروني عادي يحتوي على مرفق أو رابط ضار. يتكون نص الرسالة بطريقة تقنع المستلم بتنفيذ الإجراءات اللازمة للمرسل: افتح المرفق أو اتبع الرابط لتغيير كلمة المرور.

الرسائل المرسلة من قبل الزملاء أو المديرين أكثر مصداقية من الرسائل الواردة من الغرباء ، خاصة إذا كان تصميم الخطاب متسقًا مع الأسلوب الذي اعتمدته الشركة. في هذا الصدد ، فإن المرحلة التحضيرية لحملة الإنترنت باستخدام التصيد تتضمن بالضرورة جمع معلومات حول هيكل المنظمة وقائمة بالموظفين ورسائلهم الإلكترونية ، بالإضافة إلى رسائل حقيقية تحتوي على عناصر التصميم.

تجميع الصمتيستخدم التصيد الاحتيالي الأكثر شيوعًا للاختراق مع فارق بسيط: تتضمن حملاته بالضرورة مرحلة اختبار مع إرسال رسائل غير ضارة للتحقق من صلة قاعدة العناوين التي تم جمعها. هذا يسمح لك بزيادة فعالية الهجوم عن طريق إرسال رسائل مع تحميل ضار إلى قاعدة بيانات المستلمين التي تم التحقق منها.

تستخدم مجموعة Pawn Storm أيضًا رسائل التصيد الاحتيالي ، ويضاف مكبر تأثير مثل السلطة لزيادة فعاليتها. في هذا الصدد ، فإن المرحلة التحضيرية من حملتهم تشمل ما يسمى التصيد الاحتيالي - سرقة الحسابات عالية المستوى. بعد جمع كمية كافية من هذه البيانات عن المنظمة المستهدفة ، تقوم Pawn Storm بإرسال رسائل بريدية نيابة عن هؤلاء الأشخاص ، و "تفرض عليهم" حمولة تضمن تحقيق الهدف بنجاح.

في ترسانة حيل Fancy Bear ، هناك واحدة أخرى غير معروفة للغاية - استبدال موقع قانوني لموقع تصيد في علامات تبويب المتصفح - tabnabbing ، التي وصفها Aza Raskin من Mozilla في عام 2010. هجوم الطبق على النحو التالي:

• يتم إغراء الضحية إلى موقع غير ضار يسيطر عليه مهاجم ؛
• هناك نص برمجي على الموقع يراقب سلوك الضحية: بمجرد أن تنتقل إلى علامة تبويب أخرى أو لفترة طويلة لا تؤدي إجراءات ، يتغير محتوى الموقع إلى صفحة التفويض في البريد أو الشبكة الاجتماعية ، والرمز المفضل للموقع إلى رمز الخدمة المقابلة - Gmail ، Facebook ، إلخ. د.
• بالعودة إلى علامة التبويب ، تكتشف الضحية أنها "سجلت الدخول" ومن دون أدنى شك تدخل أوراق اعتمادها ؛
• , , .

لا يقوم الهاكرز لازاروس بالتبادل مع التفاهات ، مفضلين ضرب الهدف بالضبط. أسلحتهم تستهدف التصيد الاحتيالي عن طريق البريد والشبكات الاجتماعية. بعد اختيار موظف شركة مناسب لمهامهم ، يدرسون ملفات تعريفه في الشبكات الاجتماعية ، ثم يدخلون في مراسلات معه ، والتي تبدأ عادةً بعرض جذاب لوظيفة جديدة. باستخدام الهندسة الاجتماعية ، يقنعونه ، تحت ستار شيء مهم ، بتنزيل البرامج الضارة وتشغيلها على جهاز الكمبيوتر الخاص بهم.

يقوم فريق MoneyTaker ، المتخصص في البنوك ، بحملات تصيد نيابة عن البنوك الأخرى ، والبنك المركزي ، ووزارة المالية والمنظمات المالية الأخرى ذات الصلة. من خلال نسخ نماذج الإدارات ذات الصلة ، فإنها تعطي الرسائل درجة كافية وكافية من المصداقية لهجوم ناجح.

هجمات الطرف المقابل

غالبًا ما يحدث أن المنظمة المستهدفة محمية بشكل جيد ، خاصة عندما يتعلق الأمر ببنك أو جيش أو منظمة حكومية. حتى لا تكسر الجبين ضد "الجدار الخرساني" للمجمعات الدفاعية ، تهاجم الجماعات المعارضين الذين يتفاعل معهم هدفهم. بعد اختراق بريد العديد من الموظفين أو حتى اختراق المراسلات ، يتلقى المتسللون المعلومات اللازمة لمزيد من الاختراق والفرصة لتحقيق خطتهم.

على سبيل المثال ، اخترقت مجموعة Cobalt الشبكات المصرفية ، وهاجمت تكامل الأنظمة ومقدمي الخدمات الآخرين ، وأدت الاختراق من قبل مطوري المحفظة الإلكترونية ومحطات الدفع إلى السماح لها بسرقة الأموال تلقائيًا من خلال بوابات الدفع باستخدام برنامجها الخاص.

هجوم الري

Watering Hole ، أو Watering Hole ، هي واحدة من التكتيكات المفضلة لدى Lazarus. معنى الهجوم هو اختراق المواقع القانونية التي غالبا ما يزورها موظفو المنظمة المستهدفة. على سبيل المثال ، بالنسبة لموظفي البنك ، ستكون هذه الموارد هي الموقع الإلكتروني للبنك المركزي ، ووزارات المالية ، وبوابات الصناعة. بعد القرصنة ، يتم وضع أدوات القرصنة على الموقع تحت ستار محتوى مفيد. يقوم الزوار بتنزيل هذه البرامج على أجهزة الكمبيوتر الخاصة بهم وتزويد المهاجمين بإمكانية الوصول إلى الشبكة.

من بين مواقع لازاروس المخترقة هي لجنة الإشراف المالي البولندية ، وبنك جمهورية أوروغواي الشرقية ، واللجنة المصرفية الوطنية والأسهم في المكسيك . استخدم المتسللون نقاط الضعف في Liferay و JBoss لاختراق المواقع.

نقاط الضعف في نظام التشغيل وأجهزة الشبكة

يوفر استغلال نقاط الضعف في أنظمة التشغيل ومعدات الشبكات مزايا كبيرة ، ولكن هذا يتطلب معرفة ومهارات مهنية. إن استخدام مجموعات الاستغلال دون فهم عميق لمبادئ عملهم سيؤدي إلى إبطال نجاح الهجوم بسرعة: لقد اخترقوا الاختراق ، لكنهم لم يتمكنوا من فعل أي شيء.

هجمات الضعف شائعة في MoneyTaker و Lazarus و Pawn Storm. تستخدم المجموعتان الأوليان بشكل رئيسي الأخطاء المعروفة في البرامج الثابتة لمعدات الشبكة لإدخال خادمهم في شبكة الشركة من خلال VPN ، والتي من خلالها يقومون بتنفيذ المزيد من الإجراءات. ولكن في ترسانة Pawn Storm ، تم اكتشاف ثغرات يوم صفر خطيرة ، لا توجد بها بقع ؛ يمسح الأنظمة ذات الثغرات المعروفة.

هجمات DNS

هذه مجموعة من الهجمات التي سجلناها فقط مع Pawn Storm. تقتصر المجموعات الأخرى المعروفة عادة على التصيّد وطريقتين إلى ثلاث طرق بديلة.

يستخدم Pawn Storm عدة مستويات من تسوية DNS. على سبيل المثال ، هناك حالات عندما سرقوا بيانات اعتماد الشركة من لوحة تحكم DNS وغيروا خوادم MX إلى خوادمهم الخاصة ، وحصلوا على حق الوصول الكامل إلى المراسلات. استلم الخادم الضار كل البريد وأرسله إلى الشركة المستهدفة ، تاركًا نسخًا في حوزته ، ويمكن للمتسللين اختراق أي سلسلة في أي وقت وتحقيق النتيجة المرجوة ، دون أن يلاحظوا ذلك.

طريقة أخرى للتنازل هي السيطرة الكاملة على خوادم مسجل DNS. في العديد من البلدان ، لا يوجد سوى عدد قليل جدًا من المسجلين ، لذا فإن السيطرة على أكبرهم وفر إمكانيات لا حصر لها تقريبًا لإدخال معظم المنظمات العامة والخاصة في تبادل المعلومات والتصيد وأنواع التأثير الأخرى.

الموجودات

لا يعد التصيد الاحتيالي شائعًا مع النص البرمجي للأطفال الذين يستأجرون الوصول إلى الخدمات الضارة مثل الخداع كخدمة أو الابتزاز كخدمة. جعلت فعالية هذه الطريقة ورخصتها النسبية السلاح الرئيسي ، وأحيانًا هو السلاح الوحيد لأكثر المجموعات خطورة. إن ثروة الخيارات لاستخدامها تلعب في أيدي المجرمين: قبل المساومة على المراسلات التجارية ، تمر معظم الحلول الوقائية ، وستكون مصداقية وتشتيت المستخدمين دعمًا موثوقًا للهجمات الاحتيالية لفترة طويلة قادمة.
إن حماية أنظمة الكمبيوتر ومعدات الشبكات هي بلا شك مهمة مهمة جنبًا إلى جنب مع تثبيت التحديثات الأمنية في الوقت المناسب ، ولكن مع مراعاة مخططات تكتيكات الجرائم الإلكترونية ، تأتي التدابير المتعلقة بالحماية من العامل البشري أولاً.

بيانات الاعتماد التي تم اعتراضها من بريد أحد كبار السن ستسمح للمجرمين بسرقة معلومات حساسة ذات أهمية خاصة ، ثم استخدام هذا البريد والمعلومات للقيام بهجوم متعدد. وفي الوقت نفسه ، فإن التدريب العادي على المهارات واستخدام أسلوب العائالت المتعددة MFA سيحرم المتسللين من هذه الفرصة.

ومع ذلك ، فإن أنظمة الدفاع لا تقف أيضًا مكتوفة الأيدي ، وتكشف الأفعال الخبيثة باستخدام الذكاء الاصطناعي والتعلم العميق والشبكات العصبية. تقوم العديد من الشركات بتطوير هذه الفئة ، كما نقدم لعملائنا الحماية من هجمات BEC المعقدة بمساعدة الذكاء الاصطناعي المدربين بشكل خاص. سيسمح استخدامها جنبًا إلى جنب مع تدريب الموظفين على مهارات السلوك الآمن بمقاومة الهجمات السيبرانية بنجاح حتى من قبل أكثر المجموعات تدريبًا من الناحية الفنية.