مشهد التهديدات الالكترونية في النصف الأول من العام 2018

بقلم علاء هادي، المدير الإقليمي للأسواق سريعة النمو، رابطة الدول المستقلة، والشرق الأوسط، لدى شركة نتسكاوت آربور.
يقوم نظام تحليل مستوى التهديدات الإلكترونية (ATLAS®) من آربور التابعة لشركة نتسكاوت برصد ومراقبة المشهد العالمي لتهديدات الإنترنت بشكل فعال منذ عام 2007. ويوفر اليوم لنا رؤية واضحة لما يقرب من ثلث حركة الإنترنت عالمياً.
ومع نمو التهديدات الإلكترونية، فإن مكانة نتسكاوت الفريدة التي تحمي شبكات المؤسسات والإنترنت من خلال عملاء مزودي الخدمة تقدم لنا رؤية واسعة في هذه البيئة الديناميكية والمتغيرة باستمرار. من خلال الاعتماد على هذا العرض الشامل جنباً إلى جنب مع تحليلات من قسم البحوث الأمنية لديها وفريق الاستجابة لطوارئ الحاسب الآلي لدى آربور (ASERT)، أنشأنا عرضاً تمثيلياً لمشهد التهديدات الالكترونية وفقاً لما لاحظناه في الأشهر الستة الأولى من عام 2018 استناداً إلى جميع بياناتنا وبقيادة أبحاثنا وتحليلاتنا الواسعة.
وجد التقرير أن مشهد التهديدات الإلكترونية يتحرك بسرعة أكبر، مما يوسع الآثار ويغير التكتيكات. إن الطرق الشائعة في مجموعة تهديدات هجمات حجب الخدمة الموزعة قد نشأت عن عمليات البرمجيات الإجرامية والتجسس الإلكتروني. يغير هذا النموذج المتسارع لتهديد الإنترنت الحدود لأين وكيف يمكن إطلاق الهجمات ومراقبتها ومنعها.
وفيما يلي نتائج التقرير:
زيادة في حجم هجمات حجب الخدمة الموزعة:
دخلت هجمات حجب الخدمة الموزعة عصر الهجمات ذات الحجم 1 تيرابايت في عام 2018، حيث نجحت نتسكاوت آربور في تخفيف أكبر هجمة حجب خدمة موزعة تم تسجيلها على الاطلاق بسرعة 1.7 تيرابايت في فبراير 2018.
ارتفاع حجم الهجمات وتناقص الوتيرة.
لقد شهدنا حوالي 2.8 مليار هجوم في النصف الأول من عام 2018. وعلى الرغم من أن هذا العدد كبير من الهجمات، إلا أن الأخبار الكبرى تكمن في الحجم وليس الوتيرة.
لقد شهدنا من عام 2017 إلى عام 2018 انخفاضاً طفيفاً في وتيرة الهجوم مصحوباً بزيادة هائلة في حجم الهجمات ونطاقهها. ومع ذلك، فإن هذا الانخفاض في الوتيرة لا يعني أن هجمات حجب الخدمة الموزعة آخذة في الانخفاض. لقد ازداد الحد الأقصى لحجم هجمات حجب الخدمة الموزعة بنسبة 174٪ في النصف الأول من عام 2018 مقارنةً بالفترة الزمنية نفسها في عام 2017. ومن تقديرنا أنه مع ازدياد تطور أدوات الهجمات، وجد المهاجمون أنه من الأسهل والأرخص إطلاق هجمات أكبر وأكثر فاعلية.
توسّع نطاق عمل مجموعات APT خارج الساحة التقليدية:
تعمل الكثير من الدول على تنفيذ برامج إلكترونية مسيئة، ونحن في مجتمع الأبحاث نلاحظ مجموعة أوسع من الجهات الفاعلة. في الواقع، تطور نشاط المجموعات الذي ترعاها الدول القومية إلى ما وراء الجهات الفاعلة المرتبطة عادة بالصين وروسيا، حيث تشمل نتائجنا حملات منسوبة إلى جماعات من إيران وكوريا الشمالية وفيتنام.
تنويع الجهات التي تشن عمليات البرمجيات الإجرامية في أساليب الهجمات:
بينما تظل حملات البريد الإلكتروني هي من الهجمات الرئيسية، لاحظنا تغييرات ملحوظة في الأساليب المصممة لتسريع انتشار البرمجيات الخبيثة. المستوحاة من هجمات فيروس WannaCry، أضافت المجموعات الرئيسية التي تشن هجمات إجرامية ديدان إلى البرمجيات الخبيثة الأخرى ذات أهداف متميزة مثل سرقة بيانات الاعتماد. كما يركزون بشكل متزايد على العملات الرقمية في البرمجيات الخبيثة. يبدو أن المهاجمين يرون أن هذه الطريقة البديلة أقل خطورة وأكثر ربحيةً من أجل طلب الفدية، لأن هذا الأخير له أثر جانبي مؤسف لجذب الانتباه من وكالات تنفيذ القانون.
يمكن أن تستهدف البلدان بدرجة كبيرة لحملات هجمات حجب الخدمة الموزعة.
في حين أن الاتجاه نحو زيادة كبيرة في حجم الهجمات على نمو في التواتر يحدث بشكل متسق إلى حد ما في مختلف المناطق، فقد رأينا بعض البلدان والمناطق المستهدفة بشكل غير متناسب. شهدت منطقة آسيا والمحيط الهادي عدداً كبيراً غير متناسب من الهجمات ذات الحجم الكبير مقارنةً بالمناطق الأخرى. برزت الصين كدولة مستهدفة للغاية، حيث سجلت 17 هجوما أكبر من 500 غيغابايت في الثانية في النصف الأول من عام 2018 مقابل دون وجود أي هجمة خلال نفس الإطار الزمني في العام السابق.
توسع استهداف الصناعات الحساسية
يكشف تحليلنا للقطاعات المستهدفة عن بعض الرؤى من سنة إلى أخرى. استمر مزودي خدمات الاتصالات والاستضافة في مراقبة غالبية الهجمات، لكننا شهدنا أيضاً تغيرات كبيرة على مدار العام في عدد من القطاعات الحساسة. حيث ارتفعت الهجمات على شركات تكامل النظم والاستشارات، كما شهدت الوكالات الحكومية مثل القنصليات والسفارات وصندوق النقد الدولي ووزارة الخارجية والأمم المتحدة ارتفاعاً حاداً في الهجمات. هذا يتوافق مع استخدام هجمات حجب الخدمة الموزعة ضد الأهداف من قبل الحكومة وكذلك تلك التي تعارض أيديولوجيا المصالح التي تمثلها هذه المؤسسات.
يتم استقطاب موجهات هجمات حجب الخدمة الموزعة جديدة بسرعة.
استخدمت حملة الهجوم Memcached نقاط الضعف في خوادم Memcached الغير متزامنة لإطلاق هجمات حجب خدمة موزعة هائلة، وهي عملية استغرقت وقتاً قليلاً جداً من تقديم التقارير الأولية إلى أداة الهجوم الأولى التي تم إتاحتها واستخدامها للتأثير العالمي. وبينما كانت هناك تعبئة كبيرة في جميع أنحاء العالم لإصلاح ثغرات الخوادم الضعيفة، فإن الموجهات تظل قابلة للاستغلال وستستمر في استخدامها. والحقيقة هي أنه بمجرد اختراع نوع هجمات حجب الخدمة الموزعة، فإنه لا يختفي أبداً.
بينما تحصل القديمة على حياة جديدة.
تم استخدام بروتوكول اكتشاف الخدمة البسيط (SSDP) لهجمات الانعكاس / التضخيم لسنوات عديدة، كما أشارت تقارير فريق الاستجابة لطوارئ الحاسب الآلي لدى آربورASERT هذا العام أن هذه الأداة الحالية تمثل نوعاً جديداً من حملة هجمات حجب الخدمة الموزعة مع ملايين الأجهزة الضعيفة المحتملة. ومع ذلك، لم فريق الاستجابة لطوارئ الحاسب الآلي لدى آربور عن فئة جديدة من إساءة استخدام بروتوكول اكتشاف الخدمة البسيط حيث تستجيب الأجهزة البسيطة لهجمات الانعكاس/ التضخيم لبروتوكول اكتشاف الخدمة البسيط مع منفذ غير أساسي. يحتوي الفيضان الناتج من حزم UDP على منافذ سريعة المصدر والوجهة، مما يجعل عملية تخفيف الهجمات أكثر صعوبة.
يمكن أن تتضمن حملات مجموعات APT المستهدَفة آثاراً على نطاق الإنترنت
في الوقت الذي تستمر فيه مجموعات APT التابعة للدولة القومية في التطور على مستوى العالم، كنا مهتمين بشكل خاص بملاحظات النشاط على نطاق الإنترنت في المجال الاستراتيجي، حيث تضمنت حملات مثل NotPetya وCCleaner وVPNFilter وغيرها، انتشاراً واسعاً عبر الإنترنت، حتى كانت الأهداف النهائية في بعض الحالات انتقائية للغاية. وتختلف هذه عن الهجمات المستهدفة التي اعتادت عليها الشركات التعامل مع الوقت، والتي غالباً ما تنطوي على التصيّد الاحتيالي المباشر ونطاق محدود لتجنب الكشف والحفاظ على وجودها. في هذا الصدد، يمكن الآن أن تتكون الحملات المستهدفة مدعمّة باختراقات نطاق الإنترنت.
– ظهور برمجيات وأهداف جديدة لعمليات البرمجيات الإجرامية
إن المجموعات التي تشن عمليات برمجية إجرامية غير راضية عن إضافة وحدات برمجيات خبيثة جديدة فحسب، بل قامت أيضاً بتطوير منصات جديدة، مثل إصدار كاردون لاودر الذي راقبه فريق الاستجابة لطوارئ الحاسب الآلي لدى آربورASERT. في الوقت ذاته، يتم توجيه منصات البرمجيات الخبيثة المعروفة مثل باندا بانكر إلى أهداف جديدة.