كيف نجحت حملة "أكتوبر الأحمر" للهجوم السيبراني تحت الرادار

أصدرت Kaspersky Lab أول تقرير من جزأين عن "Red October" ، وهو هجوم برمجيات خبيثة تعتقد الشركة أنه ينتشر على أنظمة حكومية رفيعة المستوى في جميع أنحاء أوروبا ويمكن أن يستهدف بشكل خاص الوثائق المصنفة. وفقًا للتقرير ، فإن البيانات المسروقة بناءً على "مئات تيرابايت" ، ولم يتم اكتشافها إلى حد كبير لمدة خمس سنوات تقريبًا.

يأخذ اسم "أكتوبر الأحمر" أو "Rocra" اسمه من الشهر الذي تم فيه اكتشافه لأول مرة والغواصة الروسية الصامتة التي يتخيلها المؤلف توم كلانسي. يمكنك حول Red October وخلفيته في PC Mag.

الهجمات المستهدفة على وجه التحديد

يصف التقرير أكتوبر الأحمر بأنه "إطار عمل" ، يمكن ترقيته بسرعة للاستفادة من نقاط الضعف لدى ضحاياه. بدأ المهاجمون هجومهم باستخدام رسائل بريد إلكتروني مستنيرة أو مستندات مصابة مصممة خصيصًا لمناشدة أهدافهم. بمجرد الإصابة ، يقوم المتسللون بجمع المعلومات على النظام قبل تثبيت وحدات محددة لتنمية الاختراق. أحصى Kaspersky حوالي 1000 ملف فريد من نوعه يقع في حوالي 30 فئة من الوحدات.

هذا هو نهج مختلف بشكل ملحوظ عن Flame ، أو غيرها من البرامج الضارة التي تستحوذ على العناوين الرئيسية. يقول التقرير: "هناك درجة عالية من التفاعل بين المهاجمين والضحية - العملية مدفوعة بنوع التكوين الذي لديه الضحية ، ونوع الوثائق التي تستخدمها ، والبرامج المثبتة ، واللغة الأم ، وما إلى ذلك."

وكتب كاسبيرسكي: "بالمقارنة مع Flame and Gauss ، وهما حملتان للتجسس الآلي الآلي للغاية ، فإن Rocra هو" شخصي "كثيرًا ومضبوط بدقة للضحايا".

كان المهاجمون ملتزمين بقدر ما كانوا منهجيين ، في الواقع يغيرون التكتيكات لتوظيف معلومات مسروقة. يقول كاسبيرسكي: "المعلومات التي تم جمعها من الشبكات المصابة تُعاد استخدامها في الهجمات اللاحقة". "على سبيل المثال ، تم تجميع بيانات الاعتماد المسروقة في قائمة واستخدامها عندما يحتاج المهاجمون إلى تخمين كلمات المرور وبيانات اعتماد الشبكة في مواقع أخرى."

الابتعاد عن الرادار

هذا النوع من الهجمات المستهدفة لم يسمح فقط لمن يقف وراء أكتوبر الأحمر بالبحث عن أهداف رفيعة المستوى ، ولكن ساعد العملية أيضًا على عدم الكشف عنها لسنوات. وقال كبير الباحثين في كاسبرسكي رويل شويننبرغ لـ SecurityWatch: "إن الجمع بين المهاجمين ذوي المهارات العالية والتمويل الجيد والتوزيع المحدود عمومًا يعني أن البرامج الضارة قادرة على البقاء تحت الرادار لفترة طويلة من الزمن". "بالإضافة إلى ذلك ، لم نر استخدام أي ثغرات أمنية في يوم الصفر ، والتي تظهر مرة أخرى لإظهار مدى أهمية الترقيع."

ومضى شوينبيرج يقول إن طبقات الأمن المتعددة يمكن أن تساعد في منع هذه الأنواع من الهجمات. وقال لـ SecurityWatch ، "هذا هو السبب في أهمية الدفاع في العمق والنهج مثل الرفض الافتراضي ، والقائمة البيضاء والتحكم في التطبيق تدخل في الاعتبار. يمكن إيقاف الهجمات حتى بدون الكشف الدقيق."

ليس بالضرورة عمل الأمم

على الرغم من الأهداف رفيعة المستوى ، تشدد Kaspersky على عدم وجود رابط نهائي لهجوم ترعاه الدولة. يقول التقرير إنه في حين أن المعلومات المستهدفة يمكن أن تكون ذات قيمة للدول ، "يمكن تداول هذه المعلومات في باطن الأرض وبيعها إلى أعلى مزايد ، وهو ما يمكن أن يكون بالطبع في أي مكان".

تهديدات مصممة خصيصًا مثل Red October هي نوع من أسوأ السيناريوهات التي تبقي أفراد الأمن في البنتاغون مستيقظين طوال الليل. لحسن الحظ ، فإن الخصوصية التي جعلت Red October ناجحة تعني أيضًا أنه من غير المرجح أن تهدد المستهلكين العاديين مثلك ومثلي.

لسوء الحظ ، هذا لا يغير حقيقة أن لاعبًا جديدًا وقويًا يعمل خلف الكواليس لسنوات.

لمعرفة المزيد من ماكس ، اتبعه على Twitterwmaxeddy.