كشفت تقنية كاسبرسكي لاب للمنع التلقائي من الاستغلال Kaspersky Lab Automatic Exploit Prevention، والمتضمَّنة في معظم منتجات الشركة، عن سلسلة جديدة من الهجمات الإلكترونية الموجهة استهدفت مستخدمين في منطقة في الشرق الأوسط. وشُنّت الهجمات من خلال استغلال ثغرة أمنية جديدة لم تكن معروفة من قبل في نظام التشغيل الشهير "ويندوز" من مايكروسوفت، هي الثانية التي يتم الكشف عنها خلال شهر. وقد أغلقت مايكروسوفت الثغرة الأمنية في 13 نوفمبر الجاري بعد أن سارع خبراء كاسبرسكي لاب إلى إبلاغ الشركة عنها.
وتُعد الهجمات التي تُشنّ من خلال الثغرات الأمنية المجهولة، والتي تُعرف باسم "هجمات بلا انتظار" Zero-Day أحد أخطر أشكال الهجمات الإلكترونية، نظراً لأنها تنطوي على استغلال ثغرة لم يتم اكتشافها أو إصلاحها بعد، وذلك بسبب رغبة مجرمي الإنترنت بالمسارعة إلى استغلالها في شنّ هجمات قبل أن يتم إغلاقها. وإذا عثر مجرمون على مثل هذه الثغرة في نظام ما، فإنه يمكنهم إنشاء برمجية استغلال خبيثة تتيح الوصول إلى كامل النظام. ويستخدم سيناريو "التهديد الخفي" هذا على نطاق واسع من جهات تخريبية متطورة لشنّ هجمات متقدمة مستمرة.
وقادت التحليلات التي أجرتها كاسبرسكي لاب لدراسة عملية الاستغلال الجديدة الخبراء إلى ثغرة لم تكن معروفة من قبل. وتم تنفيذ عملية الاستغلال من قبل المرحلة الأولى من أداة لتثبيت البرمجيات الخبيثة من أجل الحصول على امتيازات ضرورية للاستمرار في الوجود ضمن نظام الضحية، وذلك بالرغم من أن طريقة إيصال البرمجية التخريبية ما زالت غير معروفة حتى الآن. ويسمح هذا الاستغلال باستهداف إصدار 32 بت من النظام Windows 7 فقط.
ووفقاً لخبراء كاسبرسكي لاب، لم تتضح بعد هوية الجهة الكامنة وراء الهجمات، لكن استغلال الذي تمّ تطويره يُستخدم من قِبل واحد أو أكثر من الجهات المسؤولة عن التهديدات المتقدمة المستمرة. ويمكن الاطلاع على تفاصيل أوفى بهذا الشأن من خلال الرابط intelreports@kaspersky.com.
وكانت كاسبرسكي لاب رصدت قبل أسابيع قليلة فقط، عملية استغلال أخرى لثغرة استخدمت في شنّ هجمات Zero-Day استهدفت النظام "ويندوز" وتم إيصالها عبر منفذ PowerShellخلفي. وحدّدت تقنية كاسبرسكي لاب التهديد بطريقة استباقية وتم إبلاغ مايكروسوفت عنه عند اكتشافه.
وقال أنتون إيڤانوڤ الخبير الأمني لدى كاسبرسكي لاب، إن خريف 2018 أصبح "موسماً ساخناً لاستغلال الثغرات في شنّ هجمات Zero-Day، مشيراً إلى أنه في غضون شهر واحد فقط "اكتشفنا اثنين سلسلتين من الهجمات في منطقة واحدة"، وأضاف: "تذكِّرنا التفاصيل المتعلقة بالنشاط التهديدي الذي تمارسه الجهات التخريبية بأهمية حيازة الشركات لجميع الأدوات والحلول الضرورية التي تكفل لها مستوى عالياً من الحماية من التهديدات المتطورة. وبخلاف ذلك، يمكن أن تُصبح الشركات عُرضة لهجمات موجهة معقدة قد تُشنّ عليها من أي مكان".
ولتجنب الهجمات بلا انتظار" توصي كاسبرسكي لاب بتنفيذ الإجراءات التقنية التالية:
· تجنُّب استخدام برمجيات مشهورة بضعفها الأمني أو استخدمت حديثاً في شنّ هجمات إلكترونية، وذلك بقدر الإمكان.
· التأكُّد من تحديث البرمجيات المستخدمة في الشركات بانتظام. وقد تساعد منتجات الأمن ذات الإمكانيات الخاصة بتقييم الضعف وإدارة التصحيح، على أتمتة هذه الإجراءات.
· استخدام حل أمني قوي مثل Kaspersky Endpoint Security for Business الذي تم تجهيزه بقدرات الكشف المستندة على السلوكيات، من أجل الحماية الفعالة من التهديدات المعروفة والمجهولة بما في ذلك عمليات الاستغلال.
· استخدام أدوات أمنية متقدمة مثل Kaspersky Anti Targeted Attack Platform، إذا أصبحت الشركة عُرضة لهجمات موجهة.
· إتاحة وصول فريق الأمن في الشركة إلى مصدر موثوق لأحدث المعلومات المتعلقة بالتهديدات الإلكترونية.
