هجمات ثقب الري تغرق الجميع ، وليس فقط المطورين في الفيسبوك ، تويتر

حملات "ثقب الري" أكثر وضوحًا مؤخرًا ، حيث يحدد الباحثون حوادث جديدة كل يوم تقريبًا. يبدو أن الهجوم الذي أضر بالعديد من أجهزة الكمبيوتر في Facebook و Twitter و Apple و Microsoft الشهر الماضي قد أثر على المزيد من الشركات أيضًا.

كشف موقع Facebook الشهر الماضي أن بعض مطوري البرامج أصيبوا بعدد Mac Trojan بعد زيارة منتدى مطور متنقل تم اختراقه. في ذلك الوقت ، أشارت الشركة إلى أن العديد من الشركات الأخرى قد تأثرت أيضًا. يبدو أن المهاجمين أصيبوا بالعدوى في "مجموعة واسعة من الشركات المستهدفة ، عبر الصناعات" ، كما وجدت The Security Ledger في وقت سابق من هذا الأسبوع. تضمنت قائمة المنظمات المتأثرة شركات صناعة السيارات البارزة ، والوكالات الحكومية الأمريكية ، و "حتى صانع الحلوى الرائد" ، وفقًا للتقرير.

وقال جو سوليفان ، رئيس الأمن في فيسبوك ، لـ The Security Ledger: " لا يعكس مدى أنواع الخدمات والكيانات المستهدفة هجومًا مستهدفًا على قطاع تكنولوجيا أو صناعة واحد".

ما هو ثقب الري؟

يبدو أن المهاجمين قاموا باختطاف موقعين آخرين لتطوير تطبيقات الهاتف المحمول - أحدهما مخصص لمطوري نظام أندرويد - بالإضافة إلى منتدى مطور iPhone الذي طور مطوري Facebook ، حسبما أفادت The Security Ledger . تم استخدام مواقع الويب الأخرى - وليس فقط مطور تطبيقات الهاتف المحمول أو أنواع أخرى من تطوير البرمجيات - في هذه الحملة الواسعة ، وفقًا لمصادر مطلعة على التحقيق.

في اعتداء سقي ، يقوم المهاجمون بتسوية ومعالجة موقع الويب لخدمة البرامج الضارة لزوار الموقع. ومع ذلك ، فإن دوافع المهاجمين في هذا النوع من الهجوم تختلف عن تلك المواقع الاختراقية كشكل من أشكال الاحتجاج أو النية على سرقة المعلومات أو المال. بدلاً من ذلك ، يستغل هؤلاء المهاجمون المواقع والتطبيقات غير الآمنة لاستهداف فئة المستخدمين الذين يحتمل أن يزوروا هذا الموقع المحدد. في حالة موقع "مجلس العلاقات الخارجية" في ديسمبر / كانون الأول ، كان المهاجمون على الأرجح بعد فائزين في السياسة وغيرهم ممن يتعاملون مع السياسة الخارجية. من المحتمل أن يزور مطورو الأجهزة المحمولة أحد مطوري البرامج ، وستستمر القائمة.

اخترق أو سقي هول الهجوم؟

يبدو أن عمليات ثقب الري تهاجم du jour ، حيث تتعرض تقارير جديدة عن المواقع للخطر كل يوم. عثرت مختبرات أمان Websense بالأمس على أن المواقع الإلكترونية ذات الصلة بالحكومة الإسرائيلية ict.org.il و herzliyaconference.org قد تم اختراقها لخدمة أحد مستخدمي Internet Explorer. وقال Websense إن الهجوم قام بتنزيل ملف بالقطارة من نظام ويندوز وفتح الباب الخلفي الدائم للتواصل مع خادم القيادة والتحكم. قدرت Labs أن المستخدمين أصيبوا بالعدوى في 23 يناير.

عثرت الشركة على أدلة تشير إلى أن مجموعة "Elderwood" نفسها وراء هجوم مجلس العلاقات الخارجية كانت هي الأخرى وراء هذه الحملة.

وجد باحثون في Invincea أن المجلة الوطنية ، وهي مطبوعة للمطلعين السياسيين في واشنطن العاصمة ، تخدم متغيرات من الجذور الخفية ZeroAccess ومكافحة الفيروسات المزيفة. توقيت الهجوم مفاجئ بعض الشيء ، لأن المجلة عثرت على برامج ضارة على موقعها في فبراير / شباط وقد قامت بتأمين الموقع وتنظيفه. استخدم الهجوم الأخير ثغرتين معروفتين في Java ووجه الزوار إلى موقع يستضيف مجموعة أدوات استغلال Fiesta / NeoSploit.

لماذا تحدث هذه الهجمات؟

المطورين "أهداف سهلة" ، حيث يتمتعون بوصول واسع النطاق إلى الموارد الداخلية وغالبًا ما يكون لديهم حقوق المسؤول (أو الامتيازات العالية) على أجهزة الكمبيوتر الخاصة بهم ، وفقًا لما قاله ريتش موغل ، المحلل والرئيس التنفيذي لشركة Securosis. يقضي المطورون الكثير من الوقت على مواقع مطوّري البرامج وقد يشاركون في مناقشات المنتدى. كثير من مواقع المنتدى هذه لا تتمتع بأفضل أمان في مكانها وتكون عرضة للتسوية.

كتب Anup Ghosh ، المدير التنفيذي ومؤسس Invincea ، بصرف النظر عما إذا كان المهاجم يشن هجومًا مستهدفًا ، أو لا يزال يعتمد على حملة واسعة النطاق لشباك أكبر عدد ممكن من الضحايا ، فإن المجرمين "يلاحقون الموظف إذا كنت تريد الوصول إلى المؤسسة"..

على الرغم من أن المهاجمين ربما كانوا يقومون بشبكة واسعة ولا يستهدفون نوعًا معينًا من المستخدمين ، إلا أن المجرمين اختاروا هذه المواقع لسبب ما. المواقع الحكومية والمطبوعات ومنتديات المطورين هي مواقع ذات حركة مرور عالية ، مما يوفر للمهاجمين مجموعة واسعة من الضحايا المحتملين.

بمجرد أن يكون لدى المهاجمين قائمة بالضحايا ، يمكنهم تحديد الضحايا ذوي القيمة العالية وصياغة الجولة التالية من الهجمات ، والتي قد تتضمن المزيد من الهندسة الاجتماعية أو إصدار تعليمات للبرامج الضارة المقيمين بتنزيل برامج ضارة إضافية.

من وجهة نظر المستخدم ، يبرز هذا فقط أهمية تحديث أدوات الأمان والبرامج ونظام التشغيل الخاص بك بأحدث التصحيحات. لا يستخدم المهاجمون أيام الصفر فقط ؛ تعتمد العديد من الهجمات بالفعل على نقاط الضعف القديمة والمعروفة لأن الأشخاص لا يقومون بالتحديث بانتظام. إذا كانت مهمتك تتطلب منك الوصول إلى المواقع التي تستخدم Java ، فلديك متصفح مخصص لتلك المواقع ، وتعطيل Java في متصفح الخلل للوصول إلى بقية الويب.

كن حذرا هناك.