المملكة المتحدة المركز الوطني للأمن السيبراني أصدرت (NCSC) والشريكة الأمريكية وكالة الأمن السيبراني وأمن البنية التحتية (CISA). تحذير بشأن التهديد المتطور من استهداف الجهات الفاعلة في مجال التهديد القرصنة المدعومة من روسيا البنية التحتية الوطنية الحيوية (CNI)، بعد تعرض عدد من المرافق الأمريكية للهجوم.
وقد حذر NCSC سابقًا من النمو في نشاط المرتزقة من قبل الجماعات الداعمة لروسيا التي تعمل على أسس أيديولوجية – هذه ليست بالضرورة مجموعات التهديد التي تبتهج بأسماء مثل Cozy Bear التي يدعمها الكرملين رسميًا، بل هي مجموعات غير متطورة من الناحية الفنية تعمل من تلقاء نفسها.
اعتبارًا من أوائل عام 2024، شوهدت هذه المجموعات تستهدف الفئات الضعيفة والصغيرة الحجم أنظمة التحكم الصناعية في كل من أوروبا وأمريكا الشمالية، وقد أدى هذا إلى بعض الاضطراب المادي في الولايات المتحدة.
على وجه التحديد، رأى العديد من ضحايا أنظمة المياه والصرف الصحي الأمريكية أن مضخات المياه ومعدات المنافيخ تتجاوز معايير التشغيل الخاصة بها لفترة وجيزة، كما شهد بعض حوادث فيضان الخزانات، بعد اختراق واجهات التفاعل بين الإنسان والآلة (HMIs).
في هذه الهجمات، وصل المتسللون إلى الحد الأقصى من النقاط المحددة، وغيروا الإعدادات الأخرى، وأوقفوا الإنذارات والتنبيهات، وقاموا بتغيير كلمات مرور المسؤول لإغلاق المشغلين.
لقد استخدموا مجموعة متنوعة من التقنيات للوصول إلى النظام، مستغلين بشكل رئيسي عناصر مختلفة من بروتوكول حوسبة الشبكة الافتراضية (VNC).
وقال مركز NCSC: “لا يزال هناك تهديد متزايد من الجهات الفاعلة المتحالفة مع الدولة لمشغلي التكنولوجيا التشغيلية (OT).” “يحث NCSC جميع مالكي ومشغلي التكنولوجيا التشغيلية، بما في ذلك مقدمي الخدمات الأساسية في المملكة المتحدة، على اتباع نصائح التخفيف الموصى بها الآن لتقوية دفاعاتهم.”
قد تكون مجموعات الهاكرز أو المرتزقة غير متطورة في نطاق هجماتها السيبرانية، لكنها تعتبر خطيرة بشكل خاص لأنها لا تخضع للرقابة المباشرة من وكالات الاستخبارات الروسية، وبالتالي قد تكون أفعالها أقل تقييدًا، واستهدافها أوسع، وتأثيرها أكبر مزعجة وأقل قابلية للتنبؤ بها.
ركزت هجماتهم عمومًا على هجمات حجب الخدمة الموزعة، وتشويه مواقع الويب، والتضليل، لكن العديد من المجموعات تعلن الآن علنًا عن رغبتها في المضي قدمًا وتحقيق تأثير أكثر تخريبًا، بل وتدميرًا، على منظمات CNI.
وقال مركز NCSC: “نتوقع من هذه المجموعات أن تبحث عن فرص لخلق مثل هذا التأثير، خاصة إذا كانت الأنظمة محمية بشكل سيئ”.
“بدون مساعدة خارجية، فإننا نعتبر أنه من غير المرجح أن تمتلك هذه الجماعات القدرة على التسبب عمدًا في إحداث تأثير مدمر، وليس تخريبي، على المدى القصير. ولكنها قد تصبح أكثر فعالية بمرور الوقت، ولذلك يوصي المركز الوطني للأمن الإلكتروني (NCSC) بأن تتحرك المنظمات الآن لإدارة المخاطر ضد الهجمات المستقبلية الناجحة.
الخطوات التالية للمدافعين
يوصي NCSC مشغلي CNI بتحديث أوضاع الأمن السيبراني الخاصة بهم على الفور، لا سيما بعد نصيحتها بشأن إدارة النظام الآمن. وقد عادت إلى الظهور أيضًا إطار التقييم السيبراني إرشادات لمساعدة المرافق وغيرها على تحديد مجالات التحسين بشكل أفضل.
في الولايات المتحدة، نشرت CISA بالإضافة إلى ذلك إرشادات حول الدفاع عن التكنولوجيا التشغيلية من المتسللين. كخطوة فورية، يجب على مشغلي CNI تشديد الوصول عن بعد إلى أجهزة HMI الخاصة بهم، وفصلها عن الإنترنت العام وتنفيذ جدران الحماية من الجيل التالي و/أو الشبكات الخاصة الافتراضية إذا كانت هناك حاجة حقيقية للوصول عن بعد، وتقوية بيانات الاعتماد وسياسات الوصول، والحفاظ على VNC تم تحديثها وإنشاء قائمة مسموح بها للسماح فقط لعنوان IP للجهاز المعتمد بالوصول إلى الأنظمة.
