إنشاء مصيدة رقمية لمعرفة كيفية شنّ الهجمات الإلكترونية

كشفت شركة «سايبرزيون» المتخصصة في أمن المعلومات، عن تجربة لإنشاء مصيدة رقمية عملاقة، عبارة عن شبكة معلومات وهمية ضخمة، تبدو عبر الفضاء الإلكتروني كأنها شبكة شركة كبرى تعمل في مجال الكهرباء على مستوى الولايات المتحدة وأوروبا، وذلك لجذب المخترقين والمتسللين وسارقي البيانات الحساسة، وغيرهم من محترفي الجريمة الإلكترونية، للدخول إلى المصيدة، وممارسة أعمالهم الإجرامية، لفهمها وتحليلها، بما يساعد على وضع إجراءات الحماية اللازمة ضدها.

وأفادت الشركة، في بيان نشرته على مدونتها الرسمية، بأنه خلال التجربة التي نفذها فريق من خبراء أمن المعلومات التابع لها، استطاع المجرمون خلال ثلاثة أيام اكتشاف الشبكة بالكامل ومسحها، وكشف نقاط ضعفها، ومن ثم مهاجمتها بفيروسات الفدية والبرمجيات الخبيثة، وأدوات التحكم عن بعد.

كر وفر

وأشارت «سايبرزيون» إلى أن فريق الخبراء أجرى خلال التجربة العشرات من عمليات الكر والفر، والهجوم وصد الهجوم، مع العديد من محترفي الجريمة الإلكترونية حول العالم، سواء كانوا أفراداً، أو جماعات إجرامية محترفة تعمل لحسابها الخاص، أو مجموعات إجرامية ترعاها دول وحكومات، وتنفذ هجمات مخططة من قبل هذه الدول.

مواصفات المصيدة

وأوضح الخبراء أن المصيدة تضمنت كل ما يجعلها تبدو كشبكة معلومات عملاقة، لشركة تعمل في مجال الكهرباء، وغنية بخطوط الربط، والوحدات الطرفية، وأدوات إنترنت الأشياء، والحاسبات الخادمة، والحاسبات الشخصية، وقواعد البيانات، والتطبيقات المعتاد وجودها في شبكات مرافق الكهرباء، والأجزاء المهمة، مثل مركز التحكم الرئيس، ومراكز التحكم الفرعية.

وأضافوا أنه تم تزويد المصيدة بنظم التأمين والحماية الشائعة، مع الحرص على إيجاد بعض من نقاط الضعف الأمنية المتنوعة، التي تبدو منطقية وتحتاج إلى جهد لاكتشافها واستغلالها، كما تم تزويد الشبكة ببعض الإجراءات الأمنية التي تجعلها غير مرئية، ولا يسهل اكتشافها بسهولة عبر الفضاء الإلكتروني، ثم جرى إطلاقها، وجعلها في وضعية التشغيل الفعلي، عبر تمرير كميات كبيرة من البيانات في داخلها، لتبدو جميع مكوناتها وكأنها في حالة تشغيل كامل.

مسح ورصد

وذكر الخبراء أن الأمر استغرق من المجرمين ثلاثة أيام فقط، لكي يقوموا بالكشف عن وجود الشبكة، ثم تسليط برمجيات المسح والرصد الخاصة بهم، لتقوم بمسحها كاملة، لمعرفة نقاط القوة والضعف وطبيعة النشاط، وحركة البيانات، والإجراءات والأنظمة الأمنية العاملة عليها، ثم شن الهجمات عليها، بغية اختراقها والتحكم فيها، ومحاولة إغراقها بالبرمجيات الخبيثة والضارة التابعة لهم.

وبحسب الفريق، أصبحت الشبكة تحت القصف بوابل مستمر من الهجمات بعد ثلاثة أيام من وجودها على في الفضاء الإلكتروني، وهي نتيجة دالة على السرعة الكبيرة التي يكتشف بها المجرمون وجود مثل هذه الشبكات، ثم مهاجمتها.

كلمة المرور

وتابع الخبراء أنه بعد كشف الشبكة ومسحها، بادر المهاجمون إلى استغلال أدوات الإدارة عن بُعد للوصول إلى الشبكة، ومعرفة كلمة مرور المسؤول لتسجيل الدخول، والسيطرة على إدارة وتشغيل بروتوكول التحكم عن بُعد في سطح المكتب، مبينين أنهم من هنا قاموا بإنشاء باب خلفي إلى خادم تم اختراقه، واستخدموا أدوات الهجوم المعروفة باسم «باور شيل»، وفي مقدمتها أداة «ميمكاتز»، التي مكنتهم من سرقة بيانات اعتماد تسجيل الدخول.

هجمات الفدية

وأوضح الخبراء أنهم في المرحلة التالية زرعوا فيروسات «هجمات تشفير الملفات والفدية»، على كل جهاز تم اختراقه داخل الشبكة، مشيرين إلى أن كل شيء كان يجري بصمت، من دون إبلاغ الشبكة الضحية بما يريدونه.

ووفقاً للخبراء فإن المجرمين شعروا بأن مراحل الهجوم اكتملت حينما أصبح لديهم سلاحان، هما برامج الفدية، وكلمات المرور وبيانات الاعتماد والصلاحية المسروقة، حيث بات عليهم فقط إطلاق برامج التشفير، والإعلان عن وقوع الهجمة، ثم طلب الفدية لفك الشفير، وفي الوقت نفسه التلويح باستخدام أسماء المستخدمين وكلمات المرور والاعتماد المسروقة، في الكشف عن البيانات الحساسة بالشبكة إذا لم يتم دفع الفدية.

وبعدها نفذ المهاجمون الهجمة الفعلية بأن شغلوا برامج الفدية في جميع الأجهزة ونقاط النهايات الطرفية المخترقة في توقيت واحد متزامن، وهذه سمة من السمات الشائعة في هجمات برامج الفدية متعددة المراحل، والغرض منها تضخيم تأثير الهجوم على الضحية.

هجمات متنوعة

أفاد خبراء شركة «سايبرزيون» بأن الشبكات التي تدعم البنية التحتية المعلوماتية في قطاعات المرافق الحيوية حول العالم، باتت عملياً تحت القصف المستمر بوابل من الهجمات المتنوعة، من حيث الأنماط ومستوى الخطورة، ولذلك يجب أن تكون مرنة بما يكفي لدرء التدخلات غير المرغوب فيها، خصوصاً عندما يتعلق الأمر بتكنولوجيا المعلومات وشبكات التكنولوجيا التشغيلية.