قد يرغب المسؤولون التنفيذيون في مجال أمن المؤسسات الذين ينظرون إلى المجموعات الإلكترونية المدعومة من الدولة على أنها تهديد بعيد في إعادة النظر في هذا الافتراض وبسرعة.
حفزت العديد من الأحداث الجيوسياسية الأخيرة حول العالم خلال العام الماضي زيادة حادة في نشاط الدولة القومية ضد الأهداف الحاسمة ، مثل سلطات الموانئ وشركات تكنولوجيا المعلومات والوكالات الحكومية والمؤسسات الإخبارية وشركات العملات المشفرة والجماعات الدينية.
تحليل Microsoft لـ مشهد التهديد العالمي خلال العام الماضي، تم إصداره في 4 تشرين الثاني (نوفمبر) ، أظهر أن الهجمات الإلكترونية التي تستهدف البنية التحتية الحيوية تضاعفت ، من تمثل 20٪ من جميع هجمات الدولة القومية إلى 40٪ من جميع الهجمات التي اكتشفها باحثو الشركة.
علاوة على ذلك ، فإن تكتيكاتهم تتغير - وعلى الأخص ، سجلت Microsoft ارتفاعًا طفيفًا في استخدام ثغرات يوم الصفر.
أدت العوامل المتعددة إلى زيادة نشاط تهديد الدولة القومية
ليس من المستغرب أن تعزى Microsoft الكثير من الارتفاع المفاجئ إلى الهجمات التي تشنها مجموعات التهديد المدعومة من روسيا والمتعلقة بحرب البلاد في أوكرانيا ودعمها. ركزت بعض الهجمات على تدمير البنية التحتية الأوكرانية ، بينما كان البعض الآخر أكثر صلة بالتجسس وشملت أهدافًا في الولايات المتحدة ودول أخرى أعضاء في الناتو. 48٪ من الهجمات الإلكترونية المدعومة من روسيا والتي اكتشفتها مايكروسوفت خلال العام الماضي استهدفت دول الناتو ؛ تم توجيه XNUMX٪ منهم إلى مزودي خدمات تكنولوجيا المعلومات في هذه البلدان.
بينما دفعت الحرب في أوكرانيا معظم نشاط مجموعات التهديد الروسية ، أدت عوامل أخرى إلى زيادة الهجمات من قبل الجماعات التي ترعاها الصين وكوريا الشمالية وإيران. تصاعدت هجمات الجماعات الإيرانية ، على سبيل المثال ، بعد التغيير الرئاسي في البلاد.
وقالت مايكروسوفت إنها لاحظت قيام مجموعات إيرانية بشن هجمات مدمرة ومحو القرص في إسرائيل بالإضافة إلى ما وصفته بعمليات اختراق وتسريب ضد أهداف في الولايات المتحدة والاتحاد الأوروبي. أطلق هجوم في إسرائيل إشارات صاروخية طارئة في البلاد بينما سعى هجوم آخر إلى محو البيانات من أنظمة الضحية.
تزامنت زيادة الهجمات التي تشنها الجماعات الكورية الشمالية مع زيادة في اختبارات الصواريخ في البلاد. ركزت العديد من الهجمات على سرقة التكنولوجيا من شركات الطيران والباحثين.
وفي الوقت نفسه ، زادت المجموعات في الصين من هجمات التجسس وسرقة البيانات لدعم جهود البلاد لممارسة المزيد من النفوذ في المنطقة ، حسبما قالت مايكروسوفت. تضمنت العديد من أهدافهم المنظمات التي كانت مطلعة على المعلومات التي تعتبرها الصين ذات أهمية استراتيجية لتحقيق أهدافها.
من سلسلة توريد البرمجيات إلى سلسلة مزودي خدمات تكنولوجيا المعلومات
استهدفت الجهات الفاعلة في الدولة شركات تكنولوجيا المعلومات بشكل أكبر من القطاعات الأخرى في تلك الفترة. وشكلت شركات تكنولوجيا المعلومات ، مثل مزودي الخدمات السحابية ومقدمي الخدمات المدارة ، 22٪ من المؤسسات التي استهدفتها هذه المجموعات هذا العام. وشملت القطاعات الأخرى المستهدفة بشكل كبير المؤسسات الفكرية الأكثر تقليدية وضحايا المنظمات غير الحكومية (17٪) والتعليم (14٪) والهيئات الحكومية (10٪).
وقالت مايكروسوفت إن الهجمات تستهدف مزودي خدمات تكنولوجيا المعلومات بهدف اختراق مئات المؤسسات دفعة واحدة من خلال اختراق بائع واحد موثوق. واعتداء العام الماضي على كاسية أسفر عن يتم توزيع برامج الفدية في النهاية للآلاف من عملاء المصب ، مثال مبكر.
كان هناك العديد من الآخرين هذا العام ، بما في ذلك واحد في كانون الثاني (يناير) حيث قام ممثل مدعوم من إيران بخرق مزود خدمات سحابية إسرائيلي لمحاولة التسلل إلى عملاء المصب في تلك الشركة. وفي حالة أخرى ، تمكنت مجموعة Polonium التي تتخذ من لبنان مقراً لها من الوصول إلى العديد من المنظمات الدفاعية والقانونية الإسرائيلية عبر مزودي الخدمات السحابية.
أشارت مايكروسوفت إلى أن الهجمات المتزايدة على سلسلة توريد خدمات تكنولوجيا المعلومات مثلت تحولًا بعيدًا عن التركيز المعتاد لمجموعات الدولة القومية على سلسلة توريد البرمجيات.
تتضمن الإجراءات الموصى بها من Microsoft للتخفيف من التعرض لهذه التهديدات مراجعة ومراجعة علاقات مزود الخدمة في المراحل الأولى والتناولية ، وتفويض إدارة الوصول المتميز المسؤولة ، وفرض الوصول الأقل امتيازًا حسب الحاجة. توصي الشركة أيضًا بأن تقوم الشركات بمراجعة الوصول لعلاقات الشركاء غير المألوفة أو التي لم يتم تدقيقها ، وتمكين التسجيل ، ومراجعة جميع أنشطة المصادقة لشبكات VPN والبنية التحتية للوصول عن بُعد ، وتمكين MFA لجميع الحسابات
شدة في أيام الصفر
أحد الاتجاهات الملحوظة التي لاحظتها Microsoft هو أن مجموعات الدول القومية تنفق موارد كبيرة للتهرب من الحماية الأمنية التي تطبقها المنظمات للدفاع ضد التهديدات المعقدة.
قالت Microsoft: "مثل الكثير من المؤسسات المؤسسية ، بدأ الخصوم في استخدام التطورات في الأتمتة والبنية التحتية السحابية وتقنيات الوصول عن بُعد لتوسيع هجماتهم ضد مجموعة أوسع من الأهداف".
تضمنت التعديلات طرقًا جديدة لاستغلال الثغرات الأمنية غير المصححة بسرعة ، وتقنيات موسعة لاختراق الشركات ، وزيادة استخدام الأدوات المشروعة والبرامج مفتوحة المصدر للتعتيم على النشاط الضار.
أحد أكثر مظاهر هذا الاتجاه إثارة للقلق هو الاستخدام المتزايد بين الجهات الفاعلة في الدولة القومية لاستغلال ثغرات يوم الصفر في سلسلة هجماتهم. أظهر بحث Microsoft أنه بين يناير ويونيو فقط من هذا العام ، تم إصدار تصحيحات لـ 41 نقطة ضعف يوم الصفر بين يوليو 2021 ويونيو 2022.
وفقًا لمايكروسوفت ، كانت الجهات الفاعلة في مجال التهديد المدعومة من الصين بارعة بشكل خاص في العثور على ثغرات يوم الصفر واكتشافها مؤخرًا. عزت الشركة هذا الاتجاه إلى لائحة الصين الجديدة التي دخلت حيز التنفيذ في سبتمبر 2021 ؛ يتطلب من المنظمات في الدولة الإبلاغ عن أي ثغرات يكتشفونها إلى سلطة حكومية صينية لمراجعتها قبل الكشف عن المعلومات مع أي شخص آخر.
تتضمن أمثلة تهديدات اليوم صفر التي تقع ضمن هذه الفئة CVE-2021-35211، عيب في تنفيذ التعليمات البرمجية عن بُعد في برنامج SolarWinds Serv-U والذي تم استغلاله على نطاق واسع قبل تصحيحه في يوليو 2021 ؛ CVE-2021-40539، a المصادقة الحرجة تجاوز الضعف في Zoho ManageEngine ADSelfService Plus ، المصححة في سبتمبر الماضي ؛ و CVE-2022-26134، ضعف في مساحات عمل التقاء Atlassian أن أحد الجهات الفاعلة في مجال التهديد الصيني كان يستغل بنشاط قبل أن يصبح التصحيح متاحًا في يونيو.
حذرت Microsoft من أن "هذا التنظيم الجديد قد يمكّن عناصر في الحكومة الصينية من تخزين نقاط الضعف المبلغ عنها من أجل تسليحها" ، مضيفة أنه ينبغي النظر إلى هذا على أنه خطوة رئيسية في استخدام ثغرات يوم الصفر كأولوية للدولة.
.
