تعتبر البنية التحتية الحرجة أحد الأهداف المفضلة لهجمات APT (التهديدات المتقدمة المستمرة). ما يجعلها خطيرة حقًا هو أن لاعبي التنس المحترفين لا يهاجمون بشكل عشوائي ، ولكن بدلاً من ذلك لديهم هدف محدد. إذا نجحت هجوم الكتروني متقدم في شل إمدادات المياه أو انقطاع خدمة المستشفى ، فإن APT تحقق مهمتها: إضعاف بلد "عدو".
LYCEUM ، تهديد جديد
في شهر يوليو ، شاهدنا مثالًا على هذا النشاط ضد البنية التحتية الحيوية عندما بدأت شركة APT تسمى XENOTIME ، والتي اشتهرت بمهاجمة شركات النفط في الشرق الأوسط ، بدخول شبكات شركات الطاقة في الولايات المتحدة.
الآن ، تم الكشف عن APT جديدة تسمى LYCEUM من خلال إشراك شركات الغاز والنفط في الشرق الأوسط. وفقًا للباحثين من Dell SecureWorks ، كان من الممكن أن تكون المجموعة نشطة منذ أبريل 2018. وتشير تسجيلات النطاق إلى أن LYCEUM نفذت هجمات في جنوب إفريقيا العام الماضي ، ربما في قطاع الاتصالات. يبدو أن تركيز المجموعة هو الحصول على الوصول وتوسيعه داخل شبكة مستهدفة.
مجموعة واسعة من التكتيكات
للوصول إلى حسابات الشركات الضحية ، استخدم المهاجمون في LYCEUM تكتيكًا يسمى spra password الرش. هذا هو استخدام قائمة كلمات المرور الشائعة التي يتم استخدامها لمحاولة الوصول إلى عدد كبير من الحسابات في هجوم القوة الغاشمة. بمجرد اختراق الحساب ، تستخدمه المجموعة لتنفيذ هجوم رمح التصيد ضد المستخدمين الآخرين في الشركة ، وإرسال ملفات Excel الخبيثة.
ميزة غريبة لهذه الحملة هي الإحساس الساخر للمهاجمين. استخدمت العديد من رسائل البريد الإلكتروني موضوعًا يتعلق بـ "أفضل ممارسات الأمان". على سبيل المثال ، تضمن بريد إلكتروني مرفقًا ضارًا يسمى "أسوأ 25 كلمة مرور لعام 2017".
عندما ينقر المستخدم على برنامج Excel المرفق ، يتم نشر برامج ضارة تسمى DanBot ، وهي أداة وصول عن بعد طروادة (RAT) ، والتي يمكن استخدامها لتنفيذ الأوامر التعسفية وتحميل الملفات وتنزيلها. تسمى أداة أخرى تستخدم LYCEUM kl.ps، هذا هو كلوغر مخصص.
أصل LYCEUM
على الرغم من المعلومات المسجلة ، لا يبدو أن مجموعة الباحثين قادرة على تحديد أصل LYCEUM تمامًا ، لكنهم رأوا في السابق بعضًا من الأسلوب المستخدم من قبل هذه المجموعة من الجرائم الإلكترونية ، يوضح Rafe Pilling of SecureWorks ، "كان من المثير للاهتمام اكتشاف مجموعة جديدة باستخدام أسلوب مشابه لتلك الخاصة بـ APT الإيرانية ، ولكن لم يكن لها خصائص تقنية سمحت لنا بربطه بأي نشاط موثق سابق. "
كيف تدافع عن هذا التهديد
يمثل تدخل المهاجم في أي شركة أو مؤسسة مصدر قلق كبير. ولكن عندما يتعلق الأمر بالمنظمات التي تتحكم في شيء مهم مثل طاقة أي بلد ، تصبح الحماية ضد هذه التهديدات ضرورية.
يؤكد استخدام تقنية مثل "رش كلمات المرور" على أهمية كلمات المرور القوية. يجب عدم استخدام مجموعات واضحة مثل qwerty أو 1234. من المهم أيضًا عدم إعادة تدوير كلمات المرور في حسابات متعددة – إذا تم استخدام كلمة مرور لجميع الخدمات ، يمكن أن يوفر خرق البيانات بيانات اعتماد يمكن استخدامها في هجمات الحشو المعتمدة.
إن استخدام المرفقات الخبيثة في هذه الحملة يذكرنا بأهمية توخي الحذر مع الملفات التي نتلقاها في البريد الإلكتروني. في حالة LYCEUM ، هو ذو أهمية خاصة ، منذ استخدام رمح التصيد وهذا يعني أن رسائل البريد الإلكتروني يبدو أنها تأتي من شريك معروف. عليك أن تسأل نفسك ما إذا كان الشريك المعني سيرسل بالفعل مثل هذا الملف.
هناك عنصر حيوي آخر في الحماية من هذه التهديدات وهو حلول الأمن السيبراني المتقدمة. تراقب Panda Adaptive Defense باستمرار جميع العمليات الجارية في نظام الكمبيوتر. توقف أي عملية مشبوهة قبل تنفيذها. هذا يعني أنه حتى لو وصل ملف ضار في رسالة بريد إلكتروني ، فلن يلحق الضرر بشركتك.
