تستهدف حملة الهجمات الإلكترونية السرية المتطورة ذكاء بيانات المقاولين العسكريين PlatoBlockchain. البحث العمودي. عاي.

تستهدف حملة الهجمات الإلكترونية السرية المتطورة المقاولين العسكريين

الطابع الزمني: 28 سبتمبر 2022 ، الساعة 4:59 مساءً

تسلط حملة هجوم إلكتروني ، يُحتمل أن تكون مصممة على التجسس الإلكتروني ، الضوء على الطبيعة المعقدة بشكل متزايد للتهديدات السيبرانية التي تستهدف مقاولي الدفاع في الولايات المتحدة وأماكن أخرى.

الحملة السرية ، التي اكتشفها الباحثون في Securonix ويتتبعونها باسم STEEP # MAVERICK ، أصابت العديد من مقاولي الأسلحة في أوروبا في الأشهر الأخيرة ، بما في ذلك مورد محتمل لبرنامج الطائرات المقاتلة الأمريكية F-35 Lightning II.

ما يجعل الحملة جديرة بالملاحظة وفقًا لبائع الأمان هو الاهتمام العام الذي أولاه المهاجم لأمن العمليات (أوبك) ولضمان صعوبة اكتشاف برمجياته الضارة ، وصعوبة إزالتها ، وصعوبة تحليلها. 

يحتوي مُستجر البرامج الضارة المستند إلى PowerShell والمُستخدم في الهجمات على "ظهرت مجموعة من التكتيكات المثيرة للاهتمام، منهجية المثابرة ، والطب الشرعي المضاد والطبقات فوق طبقات التشويش لإخفاء رمزها ، "قال Securonix في تقرير هذا الأسبوع.

قدرات البرامج الضارة غير الشائعة

يبدو أن حملة STEEP # MAVERICK قد انطلقت في أواخر الصيف بهجمات على اثنين من مقاولي الدفاع البارزين في أوروبا. مثل العديد من الحملات ، بدأت سلسلة الهجوم برسالة بريد إلكتروني تصيد احتيالي تحتوي على ملف مضغوط (.zip) مع ملف اختصار (.lnk) إلى مستند PDF يزعم أنه يصف مزايا الشركة. وصف Securonix رسالة البريد الإلكتروني المخادعة بأنها مشابهة لتلك التي واجهتها في حملة في وقت سابق من هذا العام تتضمن مجموعة التهديد APT37 في كوريا الشمالية (المعروفة أيضًا باسم Konni).

عندما يتم تنفيذ ملف .lnk ، فإنه يطلق ما وصفه Securonix بأنه "سلسلة كبيرة وقوية إلى حد ما من المُجمِّعين" ، كل منها مكتوب في PowerShell ويضم ما يصل إلى ثماني طبقات تشويش. تتميز البرامج الضارة أيضًا بقدرات واسعة النطاق لمكافحة الطب الشرعي والتصحيح المضاد والتي تشمل مراقبة قائمة طويلة من العمليات التي يمكن استخدامها للبحث عن السلوك الضار. تم تصميم البرامج الضارة لتعطيل التسجيل وتجاوز Windows Defender. يستخدم العديد من الأساليب للاستمرار في النظام ، بما في ذلك عن طريق تضمين نفسه في سجل النظام ، ودمج نفسه كمهمة مجدولة وإنشاء اختصار لبدء التشغيل على النظام.

قال متحدث باسم فريق أبحاث التهديدات في Securonix إن عدد وتنوع فحوصات مكافحة التحليلات والمراقبة التي تحتوي عليها البرامج الضارة أمر غير معتاد. وكذلك ، أيضًا ، العدد الكبير من طبقات التعتيم للحمولات ومحاولات البرامج الضارة لاستبدال أو إنشاء حمولات مركزة جديدة مخصصة للأوامر والتحكم (C2) استجابة لمحاولات التحليل: "بعض تقنيات التشويش ، مثل استخدام PowerShell get- نادرًا ما يتم مشاهدة الاسم المستعار لأداء [استدعاء استدعاء cmdlet]. "

تم تنفيذ الأنشطة الخبيثة بطريقة مدركة لـ OpSec مع أنواع مختلفة من الفحوصات المضادة للتحليل ومحاولات التهرب طوال الهجوم ، بوتيرة تشغيلية عالية نسبيًا مع حقن حمولات مخصصة. 

يقول المتحدث: "بناءً على تفاصيل الهجوم ، فإن إحدى الوجبات الجاهزة للمؤسسات الأخرى تولي اهتمامًا إضافيًا لمراقبة أدوات الأمان الخاصة بك". "يجب على المؤسسات ضمان عمل أدوات الأمان بالشكل المتوقع وتجنب الاعتماد على أداة أو تقنية أمان واحدة لاكتشاف التهديدات."

تهديد إلكتروني متزايد

حملة STEEP # MAVERICK ليست سوى أحدث حملة في عدد متزايد استهدف مقاولي وموردي الدفاع في السنوات الأخيرة. تضمنت العديد من هذه الحملات جهات فاعلة مدعومة من الدولة تعمل انطلاقاً من الصين وروسيا وكوريا الشمالية ودول أخرى. 

في كانون الثاني (يناير) ، على سبيل المثال ، أصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) تحذيرًا في حالة تأهب للجهات الفاعلة الروسية التي ترعاها الدولة والتي تستهدف ما يسمى بمقاولي الدفاع المعتمدين (CDCs) في هجمات مصممة لسرقة المعلومات والتكنولوجيا الدفاعية الحساسة للولايات المتحدة. وصف تنبيه CISA الهجمات بأنها تستهدف قطاعًا واسعًا من مراكز مكافحة الأمراض والوقاية منها ، بما في ذلك تلك الضالعة في تطوير أنظمة قتالية وتقنيات استخبارات ومراقبة وتطوير أسلحة وصواريخ وتصميم المركبات القتالية والطائرات.

في فبراير ، أفاد باحثون في Palo Alto Networks عن استهداف أربعة متعاقدين دفاعيين أمريكيين على الأقل في حملة للتوزيع باب خلفي بدون ملفات ، بدون فتحات يسمى SockDetour. كانت الهجمات جزءًا من حملة أوسع حققها البائع الأمني ​​جنبًا إلى جنب مع وكالة الأمن القومي في عام 2021 والتي تضمنت مجموعة صينية متطورة ومثابرة مقاولي الدفاع المستهدفين والمنظمات في قطاعات أخرى متعددة.

مقاولو الدفاع: شريحة معرضة للخطر

ومما يزيد المخاوف بشأن الحجم المتزايد للهجمات الإلكترونية الضعف النسبي للعديد من المتعاقدين الدفاعيين ، على الرغم من وجود أسرار يجب حمايتها عن كثب. 

أظهر البحث الأخير الذي أجرته Black Kite في الممارسات الأمنية لأكبر 100 مقاول دفاعي أمريكي أن ما يقرب من الثلث (32 ٪) عرضة لهجمات برامج الفدية. ويرجع ذلك إلى عوامل مثل بيانات الاعتماد المسربة أو المخترقة والممارسات الضعيفة في مجالات مثل إدارة بيانات الاعتماد وأمن التطبيقات وطبقة مآخذ التوصيل الأمنية / أمان طبقة النقل. 

واجه اثنان وسبعون في المائة من المستجيبين في تقرير Black Kite حادثة واحدة على الأقل تتعلق ببيانات اعتماد مسربة.

قد يكون هناك ضوء في نهاية النفق: طورت وزارة الدفاع الأمريكية ، بالاشتراك مع أصحاب المصلحة في الصناعة ، مجموعة من أفضل ممارسات الأمن السيبراني للمقاولين العسكريين لاستخدامها لحماية البيانات الحساسة. بموجب برنامج شهادة نموذج نضج الأمن السيبراني التابع لوزارة الدفاع ، يُطلب من مقاولي الدفاع تنفيذ هذه الممارسات - والحصول على شهادة على أنها تمتلكها - حتى يتمكنوا من بيعها للحكومة. الأخبار السيئة؟ إطلاق البرنامج لقد تأخر.

الطابع الزمني:

اكثر من قراءة مظلمة