الجواسيس السيبرانيون، وليس مجرمي الإنترنت، هم الذين يقفون وراء معظم عمليات استغلال يوم الصفر
من المرجح بشكل كبير أن تكون الجهات الفاعلة في مجال التهديد التي تعمل بناءً على طلب من الداعمين الحكوميين وراء استغلال ثغرات يوم الصفر التي تم الكشف عنها حديثًا مقارنة بمجرمي الإنترنت ذوي الدوافع المالية، وذلك وفقًا للتحليل الذي تم إنتاجه بشكل مشترك من قبل مجموعة تحليل التهديدات في جوجل (تاج) و جوجل كلاود مانديانت.
رصدت TAG وMandiant 97 يومًا صفرًا تم استغلالها في البرية خلال عام 2023، ارتفاعًا من 62 يومًا في عام 2022، ولكن أقل من 106 أيام تم رصدها في عام 2021.
وقال المحللون إنه من بين 58 يوم صفر يمكن أن ينسبوا فيها دوافع جهة التهديد، 48 منها تعزى إلى مجموعات التهديد المستمر المتقدم المدعومة من الحكومة والتي تقوم بأنشطة تجسس، في حين أن 10 فقط تعزى إلى مجرمي الإنترنت ذوي الدوافع المالية. وعصابات برامج الفدية بشكل عام.
ومن بين عمليات القرصنة الحكومية الأربع الكبرى التي يُنظر إليها على أنها معادية للمملكة المتحدة والولايات المتحدة ودول غربية أخرى – الصين وإيران وكوريا الشمالية وروسيا – كان المشغلون الصينيون هم الذين قادوا الطريق، واستغلوا ما يقرب من ضعف عدد أيام الصفر في العام الماضي مقارنة لقد فعلوا ذلك في عام 2022، ويمثلون ما يزيد قليلاً عن 40% من إجمالي الاستغلال المنسوب.
ويأتي تحذير جوجل بشأن النشاط السيبراني الصيني بعد أيام فقط من الحكومتين البريطانية والأمريكية كيانات متعددة خاضعة للعقوبات وأصدرت تحذيرات جديدة بشأن استهداف السياسيين والشركات من قبل قراصنة صينيين يعتزمون سرقة أسرار الدولة والملكية الفكرية.
تشير النتائج التي توصلت إليها إلى أنه عند إعطاء الأولوية للاستجابة للكشف عن نقاط الضعف، يجب على تلك المنظمات التي تعتبر أكثر عرضة لخطر التدخل الخبيث من قبل الدولة، مثل الهيئات الحكومية والجامعات والمؤسسات البحثية، ومشغلي البنية التحتية الوطنية الحيوية (CNI)، أن تولي اهتمامًا وثيقًا بشكل خاص.
“تماشيًا مع العامين السابقين، أرجعنا المزيد من الاستغلال المدعوم من الحكومة لثغرات يوم الصفر إلى جمهورية الصين الشعبية. [People’s Republic of China] “المهاجمون المدعومين من الحكومة أكثر من أي دولة أخرى”، كتب مؤلفو التقرير، مادي ستون، وجاريد سيمرو، وجيمس سادوفسكي.
“أبلغ مانديانت على نطاق واسع عن العديد من حملات الاستغلال واسعة النطاق، بما في ذلك استغلال UNC4841 لاثنتين من نقاط الضعف في بوابة أمان البريد الإلكتروني في باراكودا – CVE-2023-2868 و CVE-2023-7102.
وقالوا: “أظهر الممثل اهتمامًا خاصًا بالمعلومات ذات الأهمية السياسية أو الاستراتيجية لحكومة جمهورية الصين الشعبية، مستهدفًا الحكومات والمنظمات العالمية في الصناعات ذات الأولوية العالية”. “علاوة على ذلك، لاحظنا اهتمامًا خاصًا بمجالات البريد الإلكتروني والمستخدمين من وزارات خارجية الدول الأعضاء في رابطة دول جنوب شرق آسيا، بالإضافة إلى الأفراد داخل مكاتب التجارة الخارجية ومنظمات البحث الأكاديمي في تايوان وهونج كونج.”
وقد تم تضمين أيام الصفر الأخرى ذات الأهمية الخاصة لجواسيس الإنترنت الصينيين في الأشهر الأخيرة CVE-2022-41328 في Fortinet FortiOS، الذي كان مقيدًا بثغرة أمنية لتجاوز مصادقة VMware، CVE-2023-20867، من قبل مجموعة تتبعها Mandiant باسم UNC3886. استغل UNC3886 أيضًا مشكلة أخرى في برنامج VMware بشكل كبير، CVE-2023-34048، كمقدمة لاستغلال ثغرة تجاوز المصادقة.
وأشار ستون وسيمراو وسادوفسكي إلى أنه في كلتا الحالتين، يعود تاريخ استغلال سلسلتي الثغرات الأمنية إلى أكثر من 12 شهرًا – وإلى عام 2021 في الحالة الثانية – مما يدل على مدى مهارة الجهات الفاعلة في مجال التهديد الصيني في اكتشاف واستغلال أيام الصفر الجديدة. وإبقائها طي الكتمان بنجاح لفترة طويلة من الزمن.
ولا ينبغي للتركيز على الصين أن يصرف الانتباه عن أنشطة التجسس الإلكتروني الروسية والكورية الشمالية – وهو أمر لا يستهان به – وكان عام 2023 أيضًا ملحوظًا لظهور مجموعة APT البيلاروسية، المعروف باسم وينتر فيفرن. هذه هي المرة الأولى التي يتم فيها ملاحظة ممثل بيلاروسي يستخدم تقنية الأيام الصفرية، على الرغم من أن بيلاروسيا هي في الأساس دولة تابعة لروسيا، فمن الصعب تحديد إلى أي درجة يعمل Winter Vivern بشكل مستقل.
وبالنظر إلى الجرائم السيبرانية ذات الدوافع المالية، والتي شكلت 17٪ من استغلال يوم الصفر – أقل مما كانت عليه في عام 2022 – شكلت مجموعة واحدة، FIN11، ما يقرب من ثلث الاستغلال ذي الدوافع المالية الذي شوهد في العام الماضي، بعد أن استثمرت بكثافة في يوم الصفر على مدى عدد من السنوات.
يرتبط FIN11 بعمليات متعددة لبرامج الفدية الغزيرة، ولا سيما Clop/Cl0p والمشغلين السابقين ذوي الصلة، ولكن العصابات الأخرى، بما في ذلك أكيرا وLockBit ونوكوياوا، متورطة أيضًا – أو كانت – بشكل كبير في استغلال يوم الصفر.
كتب ستون وسيمراو وسادوفسكي: “بالنظر إلى الموارد الهائلة المستثمرة في تحديد واستغلال ثغرات يوم الصفر، فمن المرجح جدًا أن تعطي الجهات الفاعلة في مجال التهديد ذات الدوافع المالية الأولوية لاستخدام الثغرات الأمنية التي توفر وصولاً فعالاً إلى المنظمات المستهدفة”.
وقالوا: “ركزت FIN11 بشكل كبير على تطبيقات نقل الملفات التي توفر وصولاً فعالاً وفعالاً إلى بيانات الضحية الحساسة دون الحاجة إلى حركة جانبية للشبكة، وتبسيط خطوات التسلل وتحقيق الدخل”. “وبعد ذلك، من المحتمل أن تؤدي الإيرادات الكبيرة الناتجة عن الابتزاز الجماعي أو حملات برامج الفدية إلى زيادة الاستثمار الإضافي من قبل هذه المجموعات في نقاط الضعف الجديدة.”
عمليات برامج التجسس التجارية
إحدى القصص السيبرانية الكبرى في السنوات الثلاث الماضية كانت الكشف عن أنشطة بائعي برامج التجسس التجارية (CSVs)، وهي شركات شرعية تعمل على تطوير وبيع أدوات المراقبة السيبرانية للحكومات.
إن ملف CSV الأكثر شهرة الذي ظهر في عشرينيات القرن الحالي هو مجموعة NSO ومقرها إسرائيل، والتي أصبحت الآن مخزية، والتي تستهدف أجهزة Apple التي تعمل بنظام التشغيل iOS، والتي تورطت برامجها في مقتل الصحفي السعودي جمال خاشقجي، بالإضافة إلى العديد من الأنشطة البغيضة الأخرى من قبل مختلف الحكومات، بما في ذلك الحكومات الغربية.
وباعتبارها داعمًا لنظام تشغيل الهاتف المحمول المنافس أندرويد، فإن لدى جوجل اهتمامًا خاصًا بمواجهة ملفات CSV، وأظهرت بيانات TAG/Mandiant أنه مثل التهديدات المتقدمة المستمرة المدعومة من الدولة، كانت ملفات CSV في النهاية وراء أكثر من 40% من نشاط استغلال يوم الصفر في 2023، وأكثر من 75% من إجمالي الأنشطة التي تستهدف منتجاتها وأجهزة النظام البيئي Android، و55% تستهدف iOS وSafari.
وكتب مؤلفو التقرير: “لقد ظهرت صناعة المراقبة التجارية لملء سوق مربحة: بيع أحدث التقنيات للحكومات في جميع أنحاء العالم التي تستغل نقاط الضعف في الأجهزة والتطبيقات الاستهلاكية لتثبيت برامج التجسس خلسة على أجهزة الأفراد”. “من خلال القيام بذلك، تتيح ملفات CSV انتشار أدوات القرصنة الخطيرة.
“تعمل ملفات CSV بخبرة تقنية عميقة لتقديم أدوات “الدفع مقابل التشغيل” التي تجمع سلسلة استغلال مصممة لتجاوز دفاعات جهاز محدد وبرامج التجسس والبنية التحتية اللازمة، كل ذلك لجمع البيانات المطلوبة من جهاز الفرد قالوا.
“يرغب العملاء الحكوميون الذين يشترون الأدوات في جمع أنواع مختلفة من البيانات حول أهدافهم الأعلى قيمة، بما في ذلك كلمات المرور والرسائل النصية القصيرة ورسائل البريد الإلكتروني والموقع والمكالمات الهاتفية، وحتى تسجيل الصوت والفيديو. من أجل جمع هذه البيانات، غالبًا ما تقوم ملفات CSV بتطوير برامج تجسس لاستهداف الأجهزة المحمولة. والجدير بالذكر أننا لم نتمكن من إسناد أي يوم صفر لنظام التشغيل Windows إلى ملفات CSV.
صفر يوم في عام 2024
وبالنظر إلى الأشهر المقبلة، يقدر فريق TAG/Mandiant أن وتيرة الاكتشاف والاستغلال الفوري ستظل مرتفعة فوق مستويات ما قبل كوفيد، ولكن بغض النظر عن عدد الحالات التي ستظهر، فمن الواضح أن صناعة الأمن لها تأثير جماعي، مع فقد قام بائعو منصات المستخدمين – ومن بينهم أبل وجوجل ومايكروسوفت – باستثمارات ملحوظة يبدو أن لها تأثيرًا على أنواع وعدد الأيام الصفرية “المتاحة” للاستغلال.
ومع ذلك، أشاروا إلى أن هذا قد يؤدي في النهاية إلى قيام الجهات الفاعلة في مجال التهديد بإلقاء شبكة أكبر واستهداف المزيد من المنتجات والخدمات لجذب الانتباه – وخاصة تلك التي تنتجها شركات الأمن السيبراني. ويبدو أن الاتجاهات الحديثة، بما في ذلك الهجمات التي تم تنظيمها من خلال نقاط الضعف في باراكودا وسيسكو وإيفانتي وتريند مايكرو، تثبت أن هذا يحدث بالفعل. لاحظ الباحثون أيضًا زيادة طفيفة في استغلال الأيام الصفرية في المكونات المأخوذة من مكتبات الطرف الثالث: وهو دليل إضافي على هذا التركيز المتزايد.
وقالوا: “نتوقع أن يستمر النمو الذي شهدناه خلال السنوات القليلة الماضية على الأرجح، مع استمرار البائعين في جعل سبل التسوية الأخرى أقل سهولة، ومع تركيز الجهات الفاعلة في مجال التهديد على زيادة الموارد على الاستغلال الفوري”. “لقد أدى الانتشار الواسع للتكنولوجيا إلى زيادة احتمالية استغلال يوم الصفر أيضًا: ببساطة، المزيد من التكنولوجيا يوفر المزيد من الفرص للاستغلال.
“على الرغم من وجود سبب للتفاؤل، إلا أنه يتعين على الصناعة ككل مواصلة تعلم هذه الدروس والقيام بالأشياء التي نحتاجها لتحقيق النجاح: مشاركة الدروس المستفادة حول كيفية التصحيح بشكل أكثر ذكاءً وليس أكثر صعوبة، والكشف عن الأنشطة التي يمكن أن يكون لها تأثيرات على المستخدمين والمؤسسات على حد سواء، ويجب أن تكون مستعدة ومرنة بما يكفي للتصرف بسرعة لتقصير عمر هذه الثغرات وقدرتها على البقاء.”
