بسم الله الرحمن الرحيم
الصلاة والسلام على اشرف المرسلين صلى الله عليه وسلم
السلام عليكم ورحمة الله
تحتاج الاتصالات إلى رفع مستوى الأمن السيبراني
شهدت عملية تشغيل Soft Cell أن تفقد شركات الاتصالات حول العالم أكثر من 100 جيجابايت من بيانات سجل المكالمات ، لكن كان يمكن أن تكون أسوأ من ذلك بكثير. كان بإمكان المهاجمين إغلاق شبكات الخلايا إذا أرادوا ذلك.
برج الاتصالات IDGNS
تم اكتشاف هجوم طويل المدى واسع النطاق يستهدف شركات الاتصالات حول العالم. وشهد الهجوم ، الذي أطلق عليه شركة الأمن Cybereason ، عملية Soft Cell ، مئات الجيغا بايت من المعلومات تتسلل. تدعي الشركة أن المهاجمين سيطروا تمامًا على الشبكات المعرضة للخطر وكان بإمكانهم إسقاط شبكات الهواتف المحمولة بالكامل إذا رغبوا في ذلك.
يقول أميت سيربر ، الباحث الأمني الرئيسي في Cybereason ومؤلف التقرير: "الخدمة الخلوية هي بنية أساسية حرجة في الوقت الحاضر". "ما يقلقني حقًا هو مقدار الوصول الذي لديهم - الوصول الكامل لديهم إلى الشبكة. أسوأ شيء يمكنهم القيام به هو تخريبه او أغلق الشبكة بالكامل. "
لم يذكر Cybereason أسماء شركات الاتصالات العشر المعنية ، لكن Serper تقول إنها تمتد عبر أوروبا وآسيا والشرق الأوسط وأفريقيا. وتقول الشركة إنها لم تعثر بعد على أدلة على تعرض شركات أمريكا الشمالية للخطر.
تعزو الشركة الهجوم إلى ممثل تهديد APT10 التابع للصين بناءً على تشابه الأدوات والتكتيكات والإجراءات المستخدمة في الهجمات السابقة المنسوبة إلى المجموعة.
يكتسب ممثلو التهديد "سيطرة كاملة" على شبكات الاتصالات
وفقًا لـ Cybereason ، قام المهاجمون بتجميع أكثر من 100 جيجابايت من المعلومات معظمها في شكل سجلات تفاصيل المكالمات (CDRs) ، والتي من المحتمل أن تكون نيابة عن وكالة استخبارات ، وربما خلال فترة زمنية تمتد إلى سبع سنوات. يقول سيربر: "إنه هجوم متطور وليس نشاطًا صاخبًا". "هذه عملية استراتيجية لوكالة جمع المعلومات الاستخباراتية."
تتضمن سجلات CDR سجلات المكالمات والرسائل ومعلومات الجهاز وبيانات موقع البرج التي يمكن أن توفر موقعًا فعليًا للهاتف ومالكه. بينما لا توفر هذه البيانات التعريفية معلومات عن محتوى المكالمات والرسائل التي يتم إرسالها ، إلا أنها يمكن أن توفر صورة مفصلة عن تحركات شخص ما وشبكته الشخصية ، مما يشير إلى أن العمل قد تم لأسباب استخبارية وليس لأسباب مالية. "تحتوي هذه السجلات بشكل أساسي على جميع المعلومات الأولية والبيانات الأولية الخام التي يرسلها هاتفك ويتلقىها من وإلى الشبكة الخلوية نفسها.
وورد أن المهاجمين تمكنوا من الوصول عبر خادم ضعيف يواجه الجمهور ، قبل إجراء الاستطلاع والانتشار عبر الشبكة. عن طريق المساومة على بيانات الاعتماد ، كانوا قادرين على إنشاء حسابات مستخدمين ذات مجال مميز. "لديهم حسابات مسؤول المجال الخاصة بهم ، لقد قاموا بالفعل بتجميع قاعدة بيانات Active Directory بأكملها ، بحيث يمكنهم الوصول إلى كل سجل في Active Directory."
على الرغم من أن أهداف الجهات الفاعلة تمثلت في جمع المعلومات الاستخباراتية ، إلا أن المجموعة كانت تتحكم بالكامل في الشبكة ويمكن أن تغلق الخدمات إذا رغبت في ذلك. لديهم سيطرة كاملة على الشبكة. إنهم اليوم يقومون بتصفية CDR ، لكنهم غدا يمكنهم إيقاف الشبكة إذا أرادوا ".
جمع الاستخبارات يمكن أن يكون مستمرا
استهدفت المجموعة ما لا يقل عن 20 فردًا على وجه التحديد لمعلومات مجلس الإنماء والإعمار الخاصة بهم ، مما يشير إلى أن هذا كان هجومًا مستهدفًا للغاية نيابة عن وكالة ، وليس أي شيء انتهازي. يقول سيربر: " لم يسرقوا أي بطاقات ائتمان". وهو أمر محدد للغاية ، ومن حياتي السابقة أعمل في وكالة استخباراتية ، مرتبط بجمع المعلومات الاستخبارية وهو مفيد للغاية لوكالات الاستخبارات."
تقوم Cybereason بالتحقيق في هذه العملية منذ تسعة أشهر وأبلغت كل من عملائها وأي شركات أخرى بأنها قد تكون عرضة للخطر. نظرًا لاستمرار التحقيقات ، لم تستطع الشركة تحديد ما إذا تم معالجة الهجمات على الشبكات المتأثرة أم لا.
لم يتم الكشف عن مؤشرات التسوية حيث يقول سيربر إن الطبيعة المستهدفة لهذه الهجمات ستكشف عن الضحايا ، لكن يقول إن Cybereason قد اجتمع مؤخرًا مع قادة أكبر 25 شركة اتصالات على مستوى العالم لتزويدهم بتفاصيل الهجوم.
"يجب على الشركات مراجعة من لديه حق الوصول إلى قواعد البيانات الخاصة به والتي تحتوي على مجلس الإنماء والإعمار ومراقبتها عن كثب ،" ينصح سيربر. "تأكد من أن كافة الخوادم الخارجية التي تواجهها مصححة تمامًا وأنه لا يوجد كود عرضة للإصابة بها."
من هو APT10؟
على الرغم من أن الإسناد صعب في مثل هذه الظروف ، وكان من الممكن الهجوم أن تقوم به مجموعة أخرى باستخدام تكتيكات تقليدية ، إلا أن Cybereason تقول إنها يمكن أن تدعي "مع احتمال كبير للغاية" أن هذا الهجوم كان دولة قومية أو ممثلاً مدعومًا من قِبل الدولة ، مع الشركة واثقة من أنه من المرجح APT10.
"الأدوات والسلوك والإجراءات ، التكتيكات ، كل شيء يشير إلى الصين ويشير في الواقع إلى مجموعة محددة. يقول Serper: نعتقد أنه APT10 ، لكن يمكن أن يكون APT3 أيضًا.
APT10
،المعروف أيضًا باسم Menupass Team ، نشط منذ عام 2009 على الأقل ، ويعتقد أنه يعمل نيابة عن الصين. سبق أن استهدفت المجموعة شركات الإنشاءات والهندسة والفضاء والاتصالات وكذلك الحكومات في الولايات المتحدة وأوروبا واليابان.
في عام 2016 ، تم تسميتهم على أنهم وراء حملة تستهدف مزودي الخدمات المدارة (MSPs) والتي يطلق عليها "عملية سحابة هوبر" من قبل PwC. يرتبط البرامج الضارة يشمل تبان، Snugride، Bugjuice وQuasarrat. في ديسمبر 2018 ، وجهت وزارة العدل الأمريكية الاتهام إلى شخصين صينيين متهمين بالانتماء إلى APT10 والعمل مع وزارة أمن الدولة الصينية.
في هذا الهجوم ، استخدمت المجموعة إصدارات مخصصة من الأدوات المعروفة ، يتم استخدام الكثير منها بانتظام في الهجمات المنسوبة إلى جهات تهديد مرتبطة بـ Chinse. يتضمن ذلك إصدارًا مخصصًا من أداة الوصول عن بُعد لـ Poison Ivy (RAT) ، و China Chopper web shell ، وأداة nbtscan المعدلة ، ونسخة "معدلة للغاية ومخصصة" من أداة سرقة بيانات الاعتماد Mimikatz .
يقول Serper بالإضافة إلى ضمان أن الأدوات تعمل في البيئات التي كانوا يستهدفونها ، فإن العديد من التعديلات كانت لتجنب الاكتشاف بواسطة منتجات الأمان. تحركت المجموعة ببطء ، حيث انتظرت أحيانًا شهورًا بين الإجراءات. هذا هو ما نسميه هجومًا منخفضًا وبطيئًا. في بعض الأحيان ، يحتاجون إلى تخصيص الأدوات من أجل أن تعمل أدواتهم بشكل صحيح داخل الشبكة ، وقد يعتقدون في بعض الأحيان أنها قد تم اكتشافها حتى يتم تغيير بعض الأشياء حتى لا يتم اكتشافها. "
يعتقد Cybereason أن المهاجمين ربما كانوا على شبكات معرضة للخطر لمدة تصل إلى سبع سنوات. "في بعض الانتهاكات ، وجدنا إصدارات أقدم من البرامج الضارة التي تتوافق مع الانتهاكات التي يرجع تاريخها إلى ما قبل سبع سنوات حتى عام 2012."
على الرغم من أن هذا قد لا يكون مؤشراً واضحًا على توقيت الهجوم ، إلا أن ممثلي التهديد كانوا موجودين لفترة طويلة بما يكفي للشعور بأنه يستحق تثبيت نظام VPN الخاص بهم للوصول السهل إلى الشبكات.
على الرغم من أن معظم التركيز الأخير على شبكات 5G وأمن الاتصالات كان على شركة Huawei ، إلا أن هذا الهجوم يظهر أن شركات الاتصالات لا تزال تلعب دورًا متواصلاً حول الأمن قبل الجيل التالي من الاتصالات الخلوية. وفقًا لتقرير EfficientIP's 2018 Global DNS Threat ، فقد ثلث شركات الاتصالات معلومات العملاء الحساسة في الأشهر الـ 12 الماضية.
في حدث حديث ، ادعى الرئيس التنفيذي لشركة NCSC ، سياران مارتن ، "هناك مشكلة هيكلية ومستمرة في الطريقة التي عملت بها أسواق الاتصالات في الماضي والتي لم تحفز الأمن السيبراني الجيد بما فيه الكفاية. نحتاج إلى استغلال هذه الفرصة لتغيير الطريقة الأساسية التي نقوم بها في مجال أمن الاتصالات السلكية واللاسلكية للتغلب على الأمن السيبراني والمرونة في بنيتنا التحتية. لذا ، فهناك ما هو أكثر من الأمان 5G أكثر من Huawei. "
عندما سئل عما إذا كان ضعف الأمن ساهم في نجاح عملية Soft Cell ، دافع Serper عن شركات الاتصالات. "إذا كانت الدولة القومية مهتمة بالوصول إلى مكان ما ، فستدخل. إنها مجرد مسألة وقت وكمية من الجهد والموارد التي يريدونها. وفي النهاية ، سوف يحدث ذلك وسيحصلون على حق الوصول. لا أعتقد أنه يقول بالضرورة أي شيء عن الموقف الأمني للمنظمة المهاجمة ".
المشاركات
ليست هناك تعليقات:
إرسال تعليق
(( مَا يَلْفِظُ مِنْ قَوْلٍ إِلَّا لَدَيْهِ رَقِيبٌ عَتِيدٌ))