في الآونة الأخيرة، عثر عدد من مقدمي البنية التحتية الرئيسيين في أفريقيا والشرق الأوسط على جهة تهديد تتفوق على أقرانها من ذوي الجهد المنخفض. وتتميز هذه الهجمات الخبيثة بوجود منصات برامج ضارة مصممة خصيصًا، ويتم تقديمها عبر أساليب دقيقة ومجزأة.
لقد تهرب هؤلاء المهاجمون بالفعل من الضحايا لفترات طويلة من الزمن. الآن، أرسل اكتشافهم موجات من الخوف في جميع أنحاء العالم. الحلول الأمنية لمزودي خدمات الإنترنت لقد رسموا صورة زعنفة القرش وهي تخترق سطح الماء
ما هي أبت
الحقيقة المؤسفة هي أن البرامج ستحتوي دائمًا على عمليات استغلال. على الرغم من أن هذا يمكن أن يبقي محترفي الأمن القلقين مستيقظين ليلاً، إلا أن نعمة التوفير في هذه الصناعة هي أن معظم المهاجمين يعملون تحت دوافع بسيطة للغاية.
فالأهداف المالية، على سبيل المثال، تدفع المهاجمين نحو نهج الكمية بدلاً من الجودة. قد تكون لدى المنظمات الأضعف نقاط ضعف غير قابلة للإصلاح تعود إلى عقود من الزمن؛ هذه هي الهجمات الآلية والمجرمون الجائعون الذين سوف يجردونهم بكل سرور. بالنسبة لمعظم المؤسسات، تظل دفاعاتها جيدة بما يكفي لتجنب الاستغلال بأقل جهد.
تقوم الجهات الفاعلة في مجال التهديد المستمر المتقدم (APT) بقلب هذه العقلية الجيدة رأسًا على عقب: يستخدم هؤلاء المهاجمون أحدث تقنيات الوصول المستمر ليس فقط للوصول إلى النظام، بل للبقاء في الداخل، دون أن يتم اكتشافهم تمامًا لفترات طويلة من الوقت. وقت.
غالبًا ما يكون لمهاجمي التهديدات المستمرة المتقدمة دوافع سياسية، حيث يتم تمويل العديد من المجموعات أو تعمل بشكل مباشر تحت أوامر الحكومات الوطنية. تقوم هذه المجموعات بعمليات سيبرانية محددة تدفع أهداف الدولة الداعمة.
تقديم ميتادور
في وقت سابق من هذا العام، تبين أن مجموعة كبيرة من مزودي خدمات الإنترنت ومقدمي خدمات الاتصالات والجامعات تستضيف عددًا من سلالات البرامج الضارة الفريدة، والتي يبدو أن الهدف منها هو التجسس المستمر. تم العثور على هذه الحالات في المقام الأول في مقدمي الخدمات في أفريقيا والشرق الأوسط.
وكانت الأدوات المستخدمة عبارة عن مزيج انتقائي من التقنيات القديمة والبدائية، إلى جانب التنفيذ السريع للغاية والذكاء الصناعي. التركيز الأساسي للمجموعة: MetaMain وMafalda. هاتان منصتان مخصصتان للبرامج الضارة، تستهدفان نظام التشغيل Windows، وتدعمان مساحات واسعة من تقنيات التصعيد وتفجير الحمولة.
تمثل MetaMain، الأولى منها، منصة غنية بالميزات تهدف إلى دعم وإنفاذ الوصول على المدى الطويل. سمح هذا أيضًا لـ Metador بتسجيل ضغطات المفاتيح ونقل الملفات وتنفيذها بين الأنظمة وتنفيذ كود القشرة. وأخيرًا، يعمل MetaMain كبرنامج مساعد لنشر Mafalda.
تمثل مافالدا كريم ميتادور. تتمتع هذه الغرسة المرنة للغاية بدعم أصلي لأكثر من 65 أمرًا، بما في ذلك مجموعة واسعة بشكل مثير للإعجاب من إمكانيات برامج الفدية وبرامج التجسس. تنعكس خبرة Metador في البنية التحتية للبرامج الضارة الخاصة بها أيضًا. تقوم كلتا المنصتين بتثبيت نفسيهما على ذاكرة الجهاز المصاب، بدلاً من محرك الأقراص الذي سيكون من الأسهل اكتشافه وحذفه.
إلى جانب ذلك، من خلال قائمة ضحايا Metador الواسعة بالفعل، تم استهداف كل ضحية عبر خادم قيادة وتحكم فريد. وهذا يقلل بشكل كبير من خطر الاكتشاف، حيث أن اكتشاف ضحية واحدة لا يمنح الباحثين أي أدلة إضافية لأي ضحية أخرى.
علاوة على ذلك، عندما قام أحد ضحايا الاتصالات بتثبيت نظام كشف على شبكتهم المصابة، تحرك Metadordevs بسرعة، وقام بشحن نسخة مُعاد تجهيزها ثم انخرط في جولات ثقيلة من التشويش لإحباط التحليل.
ميتادور: لا يزال لغزا
على الرغم من أن التهديدات المستمرة المتقدمة يتم تمويلها بانتظام من قبل حكومات معادية، إلا أنه لا يوجد مثل هذا الإسناد على رأس ميتادور حتى الآن. ينشأ الاسم من سطر مدرج في الكود، والذي ينص على "أنا ميتا"؛ يعكس النصف الثاني من الاسم أدلة على أن المطورين أو المهاجمين يمكنهم التحدث باللغة الإسبانية.
يشير عدد من المراجع الثقافية واللغات المختلفة في جميع أنحاء التطوير إلى أن العديد من المطورين عملوا على هذا طوال فترة حياته. أخيرًا، على الرغم من عدم وجود أمثلة مكتشفة، يشير تاريخ إصدار البرنامج الحالي إلى جدول زمني للتطوير يمتد لفترة أطول بكثير مما اكتشفه الباحثون.
لا يزال ميتادور يحير الباحثين. وعلى الرغم من العناية القصوى التي يتم إظهارها، لا يبدو أن المشغلين يهتمون بشكل خاص بما إذا كان ضحاياهم قد تعرضوا للخطر من قبل مجموعات مهاجمة أخرى. وكان أحد ضحايا الاتصالات في الشرق الأوسط يستضيف أيضًا عشر مجموعات مهاجمة أخرى، بما في ذلك مجموعة Moshen Dragon الصينية.
من النادر أن تسمح التهديدات المستمرة المتقدمة (APTs) بالتلوث المتبادل لضحاياها: فك الارتباط هو عملية يتم تنفيذها عادةً قبل النشر مباشرة. يتحقق هذا من وجود برامج ضارة أخرى، وإذا تم اكتشافها، فإنه يقوم بإيقاف الهجوم. والفلسفة وراء ذلك هي أنه كلما زاد عدد المجموعات التي تتمسك بالهدف، زاد احتمال تنبيه الضحية للهجوم.
علاوة على ذلك، فإنه يزيد أيضًا من خطر الاقتتال الداخلي أو السرقة بين المجموعات المهاجمة. من الممكن أن يقوم أحد المهاجمين بسرقة الكود أو المعلومات ذات الصلة التي تستخدمها ATPs الأخرى. ومع ذلك، يبدو أن ميتادور لا يهتم بهذه المخاطر.
IPS لمقدمي خدمات الإنترنت
يدير مقدمو خدمات الإنترنت كميات هائلة من المعلومات الشخصية، إلى جانب دعم ملايين العملاء. وهذا يجعلها أهدافًا مغرية بشكل خاص، حيث إنها منصات رائعة لهجمات برامج التجسس وسلسلة التوريد واسعة النطاق.
يجب أن تتطور البنية التحتية لمزود خدمة الإنترنت مع المهاجمين، وتتطلب ATPs الحديثة شديدة الحذر دفاعات الجيل التالي. جزء كبير من هذا هو رؤية البيانات والشبكة. يمكن أن تمثل المنصات السحابية والمختلطة مهمة لا يمكن التغلب عليها لفريق الأمان الخاص بك؛ قد يكون من الصعب للغاية اكتشاف الموارد البعيدة التي تستدعيها عمليات محددة قائمة على السحابة.
توفر الحلول الأمنية المتطورة أدوات آلية لاكتشاف البيانات وتصنيفها، مما يسمح لك بتقييم المخاطر التي تتعرض لها مؤسستك بدقة، إلى جانب تحرير ساعات العمل التي سيتم إنفاقها في تمشيط الأصول. بدءًا من الأجهزة المتطورة التي يستخدمها الموظفون الذين يعملون عن بُعد، وحتى الشبكات الأساسية داخل الشركة والمخصصة لأعلى مستوى من الأمان، يجب أن يتطابق نظام الكشف عن الأصول لديك مع بنية مؤسستك تمامًا.
إلى جانب المراقبة النشطة لحالة بيانات مؤسستك، من المهم أن يكون لدى موفر الحلول الأمنية لديك نظام شامل وقابل للتكيف لكشف التسلل. لقد أثبتت النماذج الأمنية التقليدية القائمة على المحيط عدم فعاليتها مرارًا وتكرارًا، مما يعني أن الأمن الحديث يتطلب أنظمة منع التطفل (IPS).
تركز هذه الأنظمة الآلية على سلوك الشبكة والتطبيقات، وليس فقط توقيعات البرامج الضارة الموجودة مسبقًا. وبهذه الطريقة، يتم العثور على هجمات جديدة من مجموعات مثل Metador، وتنبيهها، والقضاء عليها.
