كشف أحدث تقرير عن اتجاهات التهديدات المستمرة المتقدمة APT من كاسبرسكي عن وجود نشاط هائل لهذا النوع من التهديدات في الربع الأول من عام 2023، كما رصد مزيجًا متباينًا من المجرمين السيبرانيين الجدد والقدامى في طيف واسع من الحملات.
ويُظهر التقرير ذاته أن القائمين بهذه الممارسات العدائية كانوا خلال هذه المدة منشغلين بتحديث مجموعات برامجهم الخبيثة، وتوسيع أدوات النقل المستخدمة في هجماتهم، من حيث المواقع الجغرافية والقطاعات المستهدفة.
وخلال الأشهر الثلاثة الأولى من هذا العام، اكتشف باحثو كاسبرسكي أدوات وتقنيات وحملات جديدة أطلقتها مجموعات التهديدات المستمرة المتقدمة عبر شنّ هجمات إلكترونية حول العالم.
ويعتمد هذا التقرير الذي يرصد اتجاهات هذه التهديدات على أبحاث ترتكز على معلومات التهديدات من كاسبرسكي والتطورات المهمة في هذا المجال، إضافة إلى الحوادث الإلكترونية التي يعتقد الباحثون أنه ينبغي للجميع امتلاك الدراية الكافية بها.
وسلّط التقرير الضوء على عدة اتجاهات، ومنها ما يلي:
تقنيات جديدة وأدوات مُحدَّثة
يبحث مجرمو التهديدات المستمرة المتقدمة بصورة دائمة عن طرق جديدة لتنفيذ هجماتهم لتفادي اكتشافهم حتى يتمكنوا من تحقيق أهدافهم. ولاحظ باحثو كاسبرسكي في الربع الأول من عام 2023، أن الجهات الفاعلة في هذا المجال من التهديدات، مثل: (تورلا) Turla، و(مدي ووتر) MuddyWater، و(وينتي) Winnti، و(لازاروس) Lazarus، و(سكاركرفت) ScarCruft، التي تمارس النوع ذاته من الأنشطة السيبرانية العدوانية منذ سنوات عديدة، لم تتوقف على الإطلاق، بل إنها تواصل تطوير مجموعة أدواتها. ومن ذلك على سبيل المثال، رصد الباحثين استخدام مجموعة Turla البرمجيات الخبيثة من نوع TunnusSched backdoor، علمًا أن هذا التصرف يُعدّ غير عادي بالنسبة إلى هذه المجموعة، إذ يُعرف على نطاق واسع استخدام مجموعة (توميريس) Tomiris تلك البرمجيات لشن هجماتها.
ويدل هذا الأمر على أن قدامى مجرمي التهديدات المستمرة المتقدمة يطورون تكتيكاتهم، حتى يتمكنوا من البقاء في صدارة المشهد للهجمات السيبرانية.
وكُشف أيضًا عن حملات شنتها جهات تهديد اكتُشفت حديثًا، ومنها: (تريلا) Trila التي استهدفت مؤسسات حكومية لبنانية.
التهديدات المستمرة المتقدمة تستهدف المزيد من القطاعات
يواصل مجرمو التهديدات المستمرة المتقدمة التوسع في أنشطتهم للوصول إلى ما هو أبعد من ضحاياهم التقليديين، مثل: المؤسسات الحكومية، والأهداف البارزة، لتشمل قطاعات الطيران، والطاقة، والتصنيع، والعقارات، والتمويل، والاتصالات، والبحث العلمي، وتقنية المعلومات، والألعاب.
وتمتلك هذه الشركات كميات كبيرة من البيانات التي تخدم المتطلبات الإستراتيجية المتعلقة بالأولويات الوطنية، أو أنها تعتمد طرقًا وأدوات إضافية للنقل لتسهيل حملاتها المستقبلية.
التوسع الجغرافي
لاحظ خبراء كاسبرسكي أيضًا أن القائمين على تنفيذ الهجمات يركزون في أوروبا، والولايات المتحدة، والشرق الأوسط وأجزاء مختلفة من آسيا. ومع أن معظم الجهات الفاعلة استهدفت سابقًا ضحايا في بلدان محددة، أصبح المزيد من التهديدات المستمرة المتقدمة تستهدف الآن الضحايا على مستوى العالم. وعلى سبيل المثال، وسّعت مجموعة MuddyWater التي كانت تفضل في السابق استهداف كيانات في منطقة الشرق الأوسط وشمال إفريقيا، نطاق انتشار أنشطتها الخبيثة، ليشمل منظمات في أذربيجان، وأرمينيا، وماليزيا وكندا، إضافة إلى أهدافها السابقة في المملكة العربية السعودية، وتركيا، والإمارات، ومصر، والأردن، والبحرين، والكويت.
وقال (ديفيد إيم)، الباحث الأمني الرئيسي في فريق البحث والتحليل العالمي GReAT التابع لشركة كاسبرسكي: «لقد اعتدنا تتبع الجماعات الفاعلة نفسها التي تشن التهديدات المستمرة المتقدمة لعقود من الزمن، لكن يتبين لنا الآن أنهم يعمدون إلى تطوير أنفسهم باستمرار باستخدام تقنيات وأدوات جديدة. وظهور جهات تهديد تأسست حديثًا يعني أن مشهد هذه الفئة من التهديدات يتغيّر بسرعة، لاسيما في مثل هذه الأوقات المضطربة. ويجب أن تبقى المؤسسات على درجة عالية من اليقظة، مع مواصلة تزويدها بالمعلومات اللازمة عن التهديدات والأدوات المناسبة، حتى تتمكن من الدفاع عن نفسها ضد التهديدات الحالية والناشئة. ومن خلال مشاركة الأفكار والنتائج التي توصلنا إليها، فإننا نهدف إلى تمكين متخصصي الأمن السيبراني من الاستعداد لمواجهة التهديدات عالية المستوى».
ويمكن الاطلاع على التقرير الكامل لاتجاهات التهديدات المستمرة المتقدمة للربع الأول من عام 2023 من مدونة Securelist.
ولتجنب التعرض لهجمات مستهدفة من جهة تهديد معروفة أو غير معروفة، يوصي باحثو كاسبرسكي بتنفيذ الإجراءات التالية:
- تحديث نظام التشغيل ويندوز من مايكروسوفت والبرامج الأخرى التابعة لجهات خارجية في أسرع وقت ممكن، مع إجراء ذلك بانتظام.
- تطوير مهارات فريق الأمن السيبراني لإكسابه القدرة على التعامل مع أحدث التهديدات المستهدفة بالاعتماد على البرامج التدريبية التي توفرها كاسبرسكي عبر الإنترنت، والتي طورها خبراؤها في فريق البحث والتحليل العالمي GReAT.
- تطبيق حلول الكشف عن نقاط النهاية والاستجابة لها، مثل: Kaspersky Endpoint Detection and Response ، لاكتشاف الحوادث على مستوى نقاط النهاية والتحقيق فيها ومعالجتها في الوقت المناسب.
- تطبيق حل مؤسّسي للأمان للكشف عن التهديدات المتقدمة على مستوى الشبكة في مرحلة مبكرة، مثل: Kaspersky Anti Targeted Attack Platform، إضافة إلى اعتماد حماية نقاط النهاية الأساسية.
- توفير الأنشطة التدريبية على الوعي الأمني وعلم المهارات العملية للفريق للشركة، مثل: Kaspersky Automated Security Awareness Platform، لأن العديد من الهجمات المستهدفة تبدأ بالتصيد الاحتيالي أو تقنيات الهندسة الاجتماعية الأخرى.