تمكنت مجموعة الهجمات الإلكترونية التي ترعاها الدولة والمعروفة باسم Billbug من اختراق سلطة الشهادات الرقمية (CA) كجزء من حملة تجسس واسعة النطاق امتدت إلى شهر مارس - وهو تطور مثير للقلق في كتاب اللعب المتقدم للتهديد المستمر (APT) ، كما يحذر الباحثون.
الشهادات الرقمية هي ملفات تُستخدم لتوقيع البرامج على أنها صالحة ، والتحقق من هوية الجهاز أو المستخدم لتمكين الاتصالات المشفرة. على هذا النحو ، يمكن أن يؤدي حل CA الوسط إلى عدد كبير من هجمات المتابعة الخفية.
وفقًا لـ تقرير هذا الأسبوع من Symantec. "من المحتمل أيضًا استخدام الشهادات المخترقة لاعتراض حركة مرور HTTPS."
وأشار الباحثون إلى أن "هذا من المحتمل أن يكون خطيرًا للغاية".
فيض مستمر من التنازلات السيبرانية
Billbug (المعروف أيضًا باسم Lotus Blossom أو Thrip) هي مجموعة تجسس مقرها الصين وتستهدف بشكل أساسي الضحايا في جنوب شرق آسيا. وهي معروفة بصيد الألعاب الكبيرة - أي مطاردة الأسرار التي تحتفظ بها المنظمات العسكرية والهيئات الحكومية ومقدمو الاتصالات. أحيانًا يلقي بشبكة أوسع ، ملمحًا إلى دوافع أكثر قتامة: في إحدى الحالات السابقة ، تسلل إلى مشغل طيران لإصابة أجهزة الكمبيوتر التي تراقب وتتحكم في تحركات الأقمار الصناعية.
في أحدث سلسلة من الأنشطة الشائنة ، ضربت APT مجموعة من الوكالات الحكومية والدفاعية في جميع أنحاء آسيا ، في حالة واحدة غزت "عددًا كبيرًا من الأجهزة" على شبكة حكومية ببرامجها الضارة المخصصة.
تقول بريجيد أو جورمان ، كبيرة محللي الاستخبارات في فريق Symantec Threat Hunter: "كانت هذه الحملة مستمرة من مارس 2022 على الأقل إلى سبتمبر 2022 ، ومن المحتمل أن يكون هذا النشاط مستمراً". "Billbug هي مجموعة تهديد عريقة والتي نفذت حملات متعددة على مر السنين. من الممكن أن يمتد هذا النشاط إلى مؤسسات أو مناطق جغرافية إضافية ، على الرغم من عدم وجود دليل على ذلك لدى Symantec في الوقت الحالي ".
نهج مألوف للهجمات الإلكترونية
في تلك الأهداف وكذلك في CA ، كان ناقل الوصول الأولي هو استغلال التطبيقات الضعيفة التي تواجه الجمهور. بعد اكتساب القدرة على تنفيذ التعليمات البرمجية ، يواصل المهاجمون تثبيت أبوابهم الخلفية المعروفة والمخصصة لـ Hannotog أو Sagerunex قبل التعمق في الشبكات.
بالنسبة لمراحل سلسلة القتل اللاحقة ، يستخدم مهاجمو Billbug عدة ثنائيات المعيشة خارج الأرض (LoLBins)، مثل AdFind و Certutil و NBTscan و Ping و Port Scanner و Route و Tracert و Winmail و WinRAR ، وفقًا لتقرير Symantec.
يمكن إساءة استخدام هذه الأدوات المشروعة في العديد من الاستخدامات المشابهة ، مثل الاستعلام عن Active Directory لتعيين شبكة ، وملفات ZIP للتسلل ، وكشف المسارات بين نقاط النهاية ، ومسح NetBIOS والمنافذ ، وتثبيت شهادات الجذر للمتصفح - ناهيك عن تنزيل برامج ضارة إضافية .
تعد الأبواب الخلفية المخصصة جنبًا إلى جنب مع الأدوات ذات الاستخدام المزدوج بصمة مألوفة ، وقد استخدمتها APT في الماضي. لكن عدم وجود قلق بشأن انكشاف الجمهور على قدم المساواة للدورة للمجموعة.
يقول جورمان: "من الجدير بالملاحظة أن Billbug يبدو أنه لم يردعه احتمال أن يُنسب هذا النشاط إليه ، مع إعادة استخدام الأدوات التي تم ربطها بالمجموعة في الماضي".
وتضيف: "إن الاستخدام المكثف للمجموعة للعيش بعيدًا عن الأرض والأدوات ذات الاستخدام المزدوج أمر ملحوظ أيضًا ، وتؤكد على حاجة المؤسسات إلى وضع منتجات أمنية لا يمكنها اكتشاف البرامج الضارة فحسب ، بل يمكنها يتعرف أيضًا على ما إذا كان من المحتمل استخدام الأدوات المشروعة بطريقة مريبة أو ضارة. "
أخطرت Symantec المرجع المصدق الذي لم يذكر اسمه لإبلاغها بالنشاط ، لكن Gorman رفض تقديم مزيد من التفاصيل بشأن الاستجابة أو جهود الإصلاح.
على الرغم من عدم وجود ما يشير حتى الآن إلى أن المجموعة كانت قادرة على المضي قدمًا في اختراق الشهادات الرقمية الفعلية ، ينصح الباحث ، "يجب أن تدرك الشركات أنه يمكن توقيع البرامج الضارة بشهادات صالحة إذا كان بإمكان الجهات الفاعلة في التهديد الوصول إلى سلطات مصدقة."
بشكل عام ، يجب على المؤسسات اعتماد استراتيجية دفاعية متعمقة ، باستخدام تقنيات الكشف والحماية والتقوية المتعددة لتقليل المخاطر في كل نقطة من سلسلة هجوم محتملة ، كما تقول.
وأشار جورمان إلى أن "سيمانتيك ستنصح أيضًا بتنفيذ التدقيق السليم والتحكم في استخدام الحساب الإداري". "نقترح أيضًا إنشاء ملفات تعريف لاستخدام أدوات المسؤول حيث يتم استخدام العديد من هذه الأدوات من قبل المهاجمين للتحرك بشكل جانبي دون أن يتم اكتشافهم عبر الشبكة. في جميع المجالات ، يمكن أن تساعد المصادقة متعددة العوامل (MFA) في الحد من فائدة بيانات الاعتماد المخترقة ".
