كاسبرسكي تكشف أكثر الصناعات تضرراً من الهجمات السيبرانية
تاريخ النشر: 28th, March 2024 GMT
كشف فريق الاستجابة للتهديدات السيبرانية لأنظمة التحكم الصناعية (ICS CERT) التابع لشركة كاسبرسكي عن تحليله لاتجاهات الأمن السيبراني للتقنية التشغيلية (OT) في النصف الثاني من عام 2023. فمع تعرض 38.6% من حواسيب التقنية التشغيلية بالمتوسط لهجمات في عام 2023، يكشف التقرير عن حظر أهداف خبيثة على 36% من حواسيب التقنية التشغيلية في أنظمة أتمتة المباني، لتكون بذلك أكثر القطاعات تعرضاً للتهديدات السيبرانية في النصف الثاني من عام 2023.
استمر مشهد التهديدات في النصف الثاني من عام 2023 بكونه متعدد الأوجه والأشكال، حيث استمر انتشار التهديدات عبر الإنترنت كمصدر رئيسي للمخاطر السيبرانية على حواسيب التقنية التشغيلية وكان مسؤولاً عن 18.1% من الهجمات، وتبعه برمجيات البريد الإلكتروني بنسبة 4%، ومن ثمّ الوسائط القابلة للإزالة بنسبة 1.9%.
حظرت حلول كاسبرسكي الأمنية برمجيات خبيثة تنتمي إلى 12,618 عائلة على أنظمة الأتمتة الصناعية. وتنتمي تلك الكائنات الخبيثة إلى عددٍ من الفئات، وكانت النصوص البرمجية الخبيثة، وصفحات التصيد الاحتيالي، وموارد الإنترنت المشمولة في قوائم المنع هي أكثرها انتشاراً.
علّق يفجيني جونشاروف، رئيس فريق الاستجابة للطوارئ السيبرانية لأنظمة التحكم الصناعي في كاسبرسكي: «يمكن تصنيف الأهداف الخبيثة التي تحظرها حلولنا في 3 فئات: تلك المستخدمة لنقل العدوى الأولية (مثل موارد الإنترنت الخطيرة، والنصوص البرمجية الخبيثة، والمستندات الخبيثة)، إلى جانب البرمجيات الخبيثة المتقدمة (بما في ذلك برمجيات التجسس، أو الفدية، أو التعدين الخبيث) التي عادة ما توقع بضحاياها عبر الإنترنت أو البريد الإلكتروني، والبرمجيات الخبيثة ذاتية الانتشار (مثل الديدان الحاسوبية والفيروسات). يمكن أن تكون كل هذه التهديدات السيبرانية ضارة للغاية لأي منظمة. لقد حققنا في حالات كادت فيها البرمجيات الخبيثة غير الصناعية حتى، مثل حصان طروادة مصرفي، أن تودي إلى إيقاف عمليات مصنع. وبأخذ ذلك بعين الاعتبار، يجب على الشركات الصناعية مواصلة تعزيز دفاعاتها عبر تعزيز استراتيجيات الأمن السيبراني الخاصة بها والبقاء على اطلاع بالتهديدات السيبرانية دائمة التطور.»
للحفاظ على حواسيب التقنية التشغيلية محمية من مختلف التهديدات، يوصي خبراء كاسبرسكي بما يلي:
إجراء تقييمات أمنية منتظمة لأنظمة التقنية التشغيلية لرصد تهديدات الأمن السيبراني المحتملة والقضاء عليها.
بناء أسس التقييم والمراجعة المستمرة للثغرات الأمنية لإدارتها بشكل فعال. قد تكون الحلول المخصصة مثل نظام الأمن السيبراني الصناعي من كاسبرسكي أداة مساعدة فعالة ومصدراً مهماً للمعلومات العملية الفريدة وغير المُتاحة بشكل كامل للعامة.
إجراء تحديثات دورية للمكونات الرئيسية لشبكة التكنولوجيا التشغيلية الخاصة بالمؤسسة؛ حيث يساهم تطبيق التصليحات والتصحيحات الأمنية أو تنفيذ تدابير التعويض في أقرب وقت ممكن فنياً بشدة في منع وقوع حادث كبير قد يُكلّف المصنع الملايين بسبب توقف عملية الإنتاج.
استخدام حلول الاكتشاف والاستجابة للنقاط الطرفية مثل حلKaspersky Endpoint Detection and Response للكشف عن التهديدات المعقدة والتحقيق فيها في الوقت المناسب، والعلاج الفعال للحوادث.
تحسين الاستجابة للبرمجيات الخبيثة الجديدة والمتطورة عبر تطوير وتعزيز مهارات الفرق في رصد الحوادث، ومنعها، والاستجابة لها. ويعد التدريب المخصص لأمن التقنية التشغيلية لموظفي أمن تكنولوجيا المعلومات وموظفي التقنية التشغيلية أحد أهم التدابير التي تساعد على تحقيق ذلك.
المصدر: بوابة الوفد
كلمات دلالية: الأمن السیبرانی عام 2023
إقرأ أيضاً:
كاسبرسكي تحذر من هجمات سيبرانية جديدة تستهدف سلاسل التوريد
كشفت شركة الأمن السيبراني "كاسبرسكي" عن حملة اختراق متطورة نسبت إلى مجموعة القرصنة الكورية الشمالية "لازاروس"، استهدفت ما لا يقل عن 6 منظمات كورية جنوبية تعمل في مجالات المالية، وتكنولوجيا المعلومات، وأشباه الموصلات، والبرمجيات، والاتصالات.
ورغم أن استهداف "لازاروس" لكوريا الجنوبية ليس جديدا، إلا أن هذه الهجمات التي أطلق عليها اسم عملية SyncHole، تميزت باستخدام تكتيك "حفرة الماء" watering hole، إلى جانب استغلال ثغرات أمنية في برامج تستخدم على نطاق واسع داخل البلاد.
اعتمدت "لازاروس" على ثغرة أمنية في تطبيق يعرف باسم Cross EX، والذي يستخدم داخل المؤسسات الكورية لضمان تشغيل برامج الأمان الإلزامية في بيئات المتصفح، خصوصا على مواقع الخدمات المصرفية والمواقع الحكومية التي تتطلب برمجيات خاصة لمنع تسجيل ضغطات المفاتيح وتوقيعات رقمية معتمدة على الشهادات.
ووفقا لـ"كاسبرسكي"، أظهرت المجموعة فهما عميقا للبيئة الرقمية المحلية في كوريا الجنوبية، واستخدمت هذا الفهم لتوجيه هجمات دقيقة تستهدف هذه البرامج الإلزامية.
يبدأ الهجوم عند زيارة المستخدمين مواقع إعلامية كورية جنوبية، حيث أعيد توجيههم إلى موقع خبيث يتحكم فيه المهاجمون، وذلك عبر نصوص برمجية خبيثة من جهة الخادم.
واستخدمت هذه البرمجيات ثغرات في تطبيق Cross EX ونظام Innorix Agent الذي يمستخدم لنقل الملفات داخل مؤسسات مالية وإدارية لتثبيت برمجيات خبيثة.
من أبرز البرمجيات المستخدمة في المراحل الأولى ThreatNeedle وwAgent، واللتين تم حقنهما في عملية نظام شرعية تدعى SyncHost، وهي تقنية استخدمت في كل حالات اختراق “SyncHole”.
وفي المراحل التالية، تم تفعيل برمجيات خبيثة إضافية مثل SignBT وCopperHedge، إلى جانب أدوات أخرى لجمع معلومات عن الأنظمة المستهدفة، مثل LPEClient لتحليل الضحايا، وأداة تنزيل تدعى Agamemnon، بالإضافة إلى أدوات لسحب بيانات تسجيل الدخول.
أظهر تحليل نسخ البرمجيات الخبيثة أن مجموعة لازاروس تقوم بتحديث أدواتها بشكل مستمر لتفادي أنظمة الكشف، كما تم رصد قيامها باستطلاع داخلي يدوي داخل الشبكات المصابة عبر تنفيذ أوامر نظام Windows.
وأكدت كاسبرسكي أنها أبلغت مركز الاستجابة للطوارئ السيبرانية في كوريا الجنوبية KrCERT، وتم بالفعل إطلاق تحديثات أمنية لإغلاق الثغرات المستغلة.
ورغم توثيق استهداف 6 منظمات فقط، فإن الشركة الأمنية ترجح أن عدد الضحايا أعلى بكثير، نظرا للاستخدام الواسع للتطبيقات المستهدفة في قطاعات متعددة داخل كوريا.
واختتمت كاسبرسكي بأن نسبة عالية من عينات البرمجيات المستخدمة في هذه الحملة تتطابق مع أنماط وتقنيات استخدمتها مجموعة "لازاروس" سابقا، ما يدعم بشكل قوي نسبة الهجمات إليها.
عبد المسيح: فلتكن العدالة التربوية أولوية لا شعارًا