المملكة المتحدة المركز الوطني للأمن السيبراني أصدرت شركة NCSC، بالتعاون مع حلفائها من منظمة Five Eyes من أستراليا وكندا ونيوزيلندا والولايات المتحدة، تحذيرًا عاجلاً لمشغلي البنية التحتية الوطنية الحيوية (CNI)، تشارك تفاصيل جديدة حول كيفية استخدام الجهات الفاعلة في مجال التهديد المدعومة من الدولة لتقنيات العيش خارج الأرض تستمر على شبكاتهم.
العيش خارج الأرض يشير إلى استغلال الأدوات المشروعة الموجودة على أنظمة تكنولوجيا المعلومات الخاصة بالمستخدمين من أجل الاندماج مع حركة المرور التي تحدث بشكل طبيعي والتي لا تثير أي دهشة في العادة. من خلال استغلال هذه الأدوات أو الثنائيات – المعروفة أيضًا باسم LOLbins – يمكن للجهات الخبيثة تجاوز الدفاعات والفرق الأمنية بسهولة نسبية والعمل بشكل منفصل في خدمة دافعي الرواتب.
قال NCSC إنه حتى المنظمات التي لديها تقنيات الأمن السيبراني الأكثر نضجًا يمكن أن تفشل بسهولة في اكتشاف هجوم خارج الأرض، وقيمت أنه “من المحتمل” أن مثل هذا النشاط يشكل تهديدًا واضحًا لـ CNI في المملكة المتحدة. وعلى هذا النحو، فإنها تحث جميع مشغلي CNI – موردي الطاقة، وشركات المياه، ومشغلي الاتصالات، وما إلى ذلك – على اتباع سلسلة من الإجراءات الموصى بها للمساعدة في اكتشاف التنازلات وتخفيف نقاط الضعف.
وعلى وجه الخصوص، حذرت من أن المتسللين الصينيين والروس قد لوحظ أنهم يعيشون خارج الأرض على شبكات CNI المخترقة – أحد الدعاة البارزين لهذه التقنية هو ممثل التهديد المستمر المتقدم (APT) الذي ترعاه GRU والمعروف باسم Sandworm، والذي يستخدم LOLbins على نطاق واسع لمهاجمة أهداف في أوكرانيا.
وقال بول تشيتشيستر، مدير عمليات المركز الوطني للأمن الإلكتروني: “من الضروري أن يستجيب مشغلو البنية التحتية الحيوية في المملكة المتحدة لهذا التحذير بشأن المهاجمين السيبرانيين الذين يستخدمون تقنيات متطورة للاختباء في أنظمة الضحايا”.
“إن الجهات التهديدية التي تُركت لتنفيذ عملياتها دون أن يتم اكتشافها تمثل تهديدًا مستمرًا وربما خطيرًا للغاية لتوفير الخدمات الأساسية. يجب على المؤسسات تطبيق إجراءات الحماية المنصوص عليها في أحدث الإرشادات للمساعدة في تعقب وتخفيف أي نشاط ضار يتم العثور عليه على شبكاتها.
وأضاف نائب رئيس الوزراء أوليفر دودن: “في هذا العالم الجديد الخطير والمتقلب حيث أصبحت الخطوط الأمامية على الإنترنت بشكل متزايد، يجب علينا حماية أنظمتنا وتأمينها في المستقبل”. “في وقت سابق من هذا الأسبوع، أعلنت عن مراجعة مستقلة للنظر إلى الأمن السيبراني كعامل تمكين لبناء الثقةوالمرونة وإطلاق العنان للنمو في جميع أنحاء اقتصاد المملكة المتحدة.
وأضاف: “من خلال تعزيز مرونة بنيتنا التحتية الحيوية في جميع أنحاء المملكة المتحدة، سندافع عن أنفسنا من المهاجمين السيبرانيين الذين قد يلحقون بنا الضرر”.
الإجراءات ذات الأولوية للمدافعين
في حين أنه من الضروري لمشغلي CNI اعتماد نهج دفاعي متعمق لوضع الأمن السيبراني الخاص بهم كجزء من أفضل الممارسات القياسية – تحدد الإرشادات المنشورة حديثًا عددًا من التوصيات ذات الأولوية:
- يجب على فرق الأمن تنفيذ عمليات التسجيل والسجلات المجمعة في موقع مركزي خارج النطاق؛
- وينبغي عليهم إنشاء خط أساس لنشاط المستخدم والشبكة والتطبيقات وتنفيذ الأتمتة لمراجعة سجلات الأنشطة ومقارنتها بشكل مستمر؛
- ينبغي عليهم تقليل ضوضاء التنبيه؛
- يجب عليهم تنفيذ القائمة المسموح بها للتطبيق؛
- وينبغي لها أن تعزز تجزئة الشبكة ومراقبتها؛
- وينبغي عليهم تنفيذ ضوابط المصادقة؛
- وينبغي عليهم أن يسعوا إلى الاستفادة من تحليلات سلوك المستخدم والكيان (UEBA).
وقد نشرت السلطات الأمريكية المزيد من التفاصيل حول هذه التوصيات وغيرها وهي متاحة للقراءة على موقع وكالة الأمن السيبراني وأمن البنية التحتية (CISA)..
سجل الإيقاع وقالت غابرييل همبل، مهندسة حلول العملاء: “إن أنظمة البنية التحتية الحيوية معقدة للغاية ومترابطة، الأمر الذي لا يجعل تأمينها ضد الهجمات صعبًا فحسب، بل يتطلب معرفة متخصصة لفهم أي نقاط ضعف قد تكون موجودة والتخفيف من حدتها.
“في كثير من الأحيان، تواجه مؤسسات البنية التحتية الحيوية أيضًا قيودًا على الموارد، مما يجعل من الصعب تنفيذ التدابير الأمنية والحفاظ عليها من الناحيتين البشرية والمالية.”
وقال همبل إن التكاليف الناجمة عن الهجمات على CNI من المرجح أن تكون متعددة المراحل، بما في ذلك التكلفة الأولية للاستجابة للحوادث، واستعادة النظام واستبداله، وأي غرامات تنظيمية وتكاليف قانونية قد تتبع ذلك. ومع ذلك، بعد ذلك سيكون هناك أيضًا تعطل مكثف لسلسلة التوريد من خلال أنظمة مختلفة قد تؤدي في النهاية إلى ارتفاع التكاليف بالنسبة للمستهلكين.
وأضاف همبل: “يسلط التحذير التعاوني الضوء على الحقيقة المثيرة للقلق المتمثلة في أن نفس التهديدات السيبرانية لها تأثير في جميع أنحاء العالم”.
“هناك العديد من الفرص لتعزيز التعاون الدولي، بما في ذلك تبادل المعلومات والاستخبارات في الوقت الحقيقي، ومبادرات البحث المشتركة، وتطوير معايير وأطر موحدة للأمن السيبراني.
“ومع ذلك، من المهم أيضًا التأكيد على أهمية تطوير الشراكات بين القطاعين العام والخاص ليس فقط على المستوى الوطني، ولكن على نطاق عالمي من أجل معالجة نقاط الضعف والهجمات على البنية التحتية الحيوية في جميع المجالات بشكل حقيقي. وقالت: “نظرًا لأن هذه الهجمات تمتد في الوقت نفسه عبر العالم جغرافيًا والمنظمات من القطاع العام إلى الخاص، فيجب معالجتها عبر هذه المستويات أيضًا”.
إعصار فولت يضرب
وفي الوقت نفسه، نشرت وكالات Five Eyes أيضًا استشارية منفصلة مشاركة تفاصيل APT الصينية المعروفة باسم Volt Typhoon، والتي لفتت الانتباه لأول مرة عبر Microsoft في مايو 2023.
يعد Volt Typhoon مستغلًا نشطًا آخر لـ LOLbins، والذي استخدمه على نطاق واسع لاختراق أنظمة CNI في الولايات المتحدة على وجه الخصوص. في الأسبوع الماضي فقط، السلطات الأمريكية تعطلت عملية فولت تايفون والتي شهدت قيام العملية باختطاف المئات من أجهزة توجيه Cisco وNetgear الضعيفة لإنشاء شبكة الروبوتات التي تم استخدامها للتعتيم على الهجمات اللاحقة على مشغلي CNI.
وقالت CISA إنها أكدت أن Volt Typhoon قد أضر بشبكات مشغلي CNI الأمريكيين في قطاعات الاتصالات والطاقة والنقل والمياه.
وحذرت الوكالة من أن نمط الاستهداف والسلوك الخاص بـ APT هو كذلك لا بما يتفق مع التجسس السيبراني الصيني التقليدي ــ الذي يميل إلى التركيز على سرقة الملكية الفكرية.
على هذا النحو، فإنه يقيّم بدرجة عالية من الثقة أن Volt Typhoon تجهز نفسها مسبقًا لتمكين الحركات الجانبية لأصول التكنولوجيا التشغيلية (OT) التي يمكنها تعطيلها في حالة تصاعد التوترات الجيوسياسية – خاصة بشأن تايوان – إلى صراع.
“جمهورية الصين الشعبية [People’s Republic of China] التهديد السيبراني ليس نظريًا: بالاستفادة من المعلومات الواردة من حكومتنا وشركائنا في الصناعة، تمكنت فرق CISA من العثور على عمليات اقتحام Volt Typhoon والقضاء عليها في البنية التحتية الحيوية عبر قطاعات متعددة. وقال جين إيسترلي، مدير CISA: “ما وجدناه حتى الآن هو على الأرجح قمة جبل الجليد”.
“إن الاستشارة والدليل المشترك اليوم هما نتيجة للتعاون التشغيلي الفعال والمستمر مع شركائنا في الصناعة والفيدراليين والدوليين، ويعكسان التزامنا المستمر بتوفير إرشادات قابلة للتنفيذ في الوقت المناسب لجميع أصحاب المصلحة لدينا. نحن في مرحلة حرجة بالنسبة لأمننا القومي. نحن نشجع بقوة جميع منظمات البنية التحتية الحيوية على مراجعة وتنفيذ الإجراءات الواردة في هذه التحذيرات والإبلاغ عن أي اشتباه بإعصار فولت أو العيش خارج النشاط البري إلى CISA أو مكتب التحقيقات الفيدرالي.
