تنبيه حرج: ناشطون مؤيدون لروسيا يستهدفون البنية التحتية الحيوية العالمية من خلال الهجمات النافعة

ملخص: CISA، ومكتب التحقيقات الفيدرالي، وNSA، ووكالات دولية تصدر تحذيراً مشتركاً بشأن التكنولوجيا التشغيلية غير المؤمنة

يؤكد التحذير الأخير من وكالة الأمن السيبراني وأمن البنية التحتية (CISA)، ومكتب التحقيقات الفيدرالي، وNSA، وتحالف الشركاء العالميين، على تهديد شديد ومستمر لأهم خدماتنا الأساسية. تفاصيل استشاري الأمن السيبراني المشترك (AA25-343A) كيف تستغل مجموعات الناشطين المؤيدين لروسيا تكتيكات بسيطة ونافعة لاختراق وتعطيل البنية التحتية الحرجة (CI) في جميع أنحاء العالم، مما يتيح إمكانية الضرر المادي في العالم الحقيقي.

يمثل هذا الاستشاري فرصة أخرى لمشغلي التكنولوجيا التشغيلية (OT) لتحسين موقفهم الأمني والانتباه إلى:

• حالة تقسيم الشبكة

• حالة التصحيحات والثغرات الأمنية

• حالة تدريب وتمكين الموظفين. هل هم مدربون بشكل كافٍ ومخولون لاكتشاف التهديدات والاستجابة لها؟

• هل تم معالجة نتائج تقييم المخاطر؟

• حالة أذونات الحسابات

• تقييم حالة الاستجابة للحوادث في منظمتك

إذا كنت تولي اهتمامًا لهذه الجوانب، يجب أن تكون في وضع قوي لدرء هذا التهديد.

في منشور اليوم، نقوم بتحليل معمق للاستشاري الأخير الذي أصدرته CISA لمشغلي التكنولوجيا التشغيلية.

قبل أن نمضي قدمًا، لا تنسى مراجعة مدونتنا السابقة حول "الدليل الاستراتيجي لمدير المصنع لإدارة الثغرات الأمنية بناءً على معيار IEC 62443، هنا. 

يمكنك قراءة الاستشاري الكامل هنا. 

ما هو التهديد من الناشطين المؤيدين لروسيا؟

في حين أن هذه المجموعات الناشطية تكون عادة أقل تعقيدًا من تهديدات العمل المدعومة من الدول (APTs)، إلا أن هجماتهم بعيدة عن أن تكون بلا أذى مثل بعد 3I Atlas عن الأرض الآن. هدفهم الرئيسي هو خلق إزعاج يدفعهم لاستغلال الثغرات المتاحة لتحقيق أقصى اهتمام إعلامي وإرضاء مشغلين يبدو أن لهم علاقات قوية مع مجموعات APT الروسية كذلك.

ما هي النقاط البارزة من الاستشاري:

• التركيز على التكنولوجيا التشغيلية: يستهدف المهاجمون بشكل رئيسي التكنولوجيا التشغيلية (OT) وأنظمة التحكم الصناعي (ICS)، والتي تدير العمليات الفيزيائية مثل توليد الطاقة ومعالجة المياه. يعني هذا أنهم يركزون على البنية التحتية الحيوية التي تواجه المواطنين.

• إمكانيات قليلة التعقيد وغير محدودة الأثر: الطرق التي يستخدمونها غير معقدة ولكن فعالة، تركز على الاتصالات عبر الإنترنت التي تتطلب القليل من الأمان، مثل اتصالات حوسبة الشبكات الافتراضية (VNC) المتاحة.

• لا استهداف تمييزي: هذه المجموعات متفرقة، تستهدف الضحايا بناءً على سهولة الوصول أكثر من القيمة الاستراتيجية. يشمل هذا النهج الواسع مختلف القطاعات مثل:

o نظم المياه والصرف الصحي

o قطاع الطاقة

o الغذاء والزراعة

يمكن تصنيف الهجوم على أنه موجة.

• الهدف: التعطيل والضرر المادي: على الرغم من قيودهم التقنية، أظهرت هذه المجموعات نية وقدرة على إحداث ضرر مادي، مما يؤدي إلى انقطاع كبير وفقدان الموارد والحاجة إلى تدخل يدوي من المشغلين.

• التهديد والخطر لمشغلي OT حقيقي

تشريح الهجوم

يعتمد نجاح هؤلاء الناشطين على العثور على واستغلال الوصول البعيد غير المؤمن بأجهزة التحكم الصناعي، لا سيما واجهات الإنسان والآلة (HMIs)، وغالبًا ما يتصل عبر VNC.

التكتيكات، التقنيات والإجراءات (TTPs):

• استطلاع: مسح الإنترنت العام للعثور على أجهزة معرضة مع منافذ VNC مفتوحة (مثل منفذ 5900).

• الوصول الأولي: تشغيل خوادم خاصة افتراضية (VPS) مؤقتة لتشغيل برامج الاختبار بالقوة الغاشمة لكلمة المرور أو رش كلمة المرور.

• الاستغلال: استخدام برنامج VNC للوصول إلى أجهزة HMI، مستغلاً كلمات المرور الافتراضية أو الضعيفة أو غير الموجودة.

• الإجراء على الأهداف: بمجرد الدخول، يقومون بالتلاعب بالإعدادات على الواجهة الرسومية لـ HMI، بما في ذلك:

o تغيير إعدادات أو معايير الجهاز.

o تعديل أو قفل أسماء المستخدمين وكلمات المرور للمشغل.

o تعطيل الإنذارات.

o إحداث "فقدان الرؤية" الذي يستدعي تدخلًا فوريًا ويدويًا من المشغل المحلي.

المجموعات الشائنة المتورطة:

يفصح الاستشاري عن أسماء عدة مجموعات ناشطية مؤيدة لروسيا متورطة في هذه الأنشطة:

• الجيش السيبراني لروسيا المولود من جديد (CARR)

• Z-Pentest

• NoName057(16)

• Sector16

غالبًا ما تتعاون هذه المجموعات وتستخدم وسائل التواصل الاجتماعي للمبالغة بشكل كبير في اقتحاماتها الناجحة لجذب الانتباه.

إجراءات التخفيف الفورية

يتمثل الدفاع الأكثر أهمية ضد هذه الهجمات المفيدة في القضاء على نقطة الضعف الأولية: الأصول التشغيلية المكشوفة وغير المؤمنة. تحث CISA جميع مالكي ومشغلي البنى التحتية الحرجة على تنفيذ الإجراءات التالية فورًا:

تقليل التعرض للإنترنت العام (أولوية رقم 1)

• تقييد الوصول: الخطوة الأكثر أهمية: التأكد من أن جميع الأصول التشغيلية والتحكمية (OT وICS) ليست معرضة مباشرة للإنترنت العام.

• إدارة سطح الهجوم: استخدام أدوات آلية لمسح نطاقات IP الخاصة بك لأي أنظمة VNC أو أي أنظمة وصول عن بعد أخرى قد تكون قد تم تكوينها من قبل أطراف خارجية.

• تقسيم الشبكة: تنفيذ تقسيم شبكة صارم بين شبكات تكنولوجيا المعلومات (IT) والتكنولوجيا التشغيلية (OT)، باستخدام منطقة منزوعة السلاح قوية (DMZ) لجميع عمليات نقل الحركة الضرورية.

• مراقبة صحة المنافذ

• مسح الشبكة المظلمة عن أي إفشاء خاص بأوراق الاعتماد

• إعلام وتحسس الموظفين لحملات vishing

تعزيز المصادقة والوصول

• المصادقة القوية: القضاء على أوراق الاعتماد الافتراضية على جميع الأجهزة وفرض استخدام كلمات مرور قوية وفريدة.

• فرض MFA: تنفيذ مصادقة متعددة العوامل (MFA)، خاصة للمستخدمين أصحاب الامتياز الذين يمكنهم إجراء تغييرات حرجة على الأمان أو التكوينات.

• التحكم في الوصول الصارم: استخدام جدران الحماية و/أو الشبكات الافتراضية الخاصة (VPN) بسياسة رفض افتراضي لجميع الحركة، مما يسمح فقط بالوجهات والبروتوكولات المصرح بها بشكل صريح.

المراقبة، التدقيق، التدريب والتحضير

• إدارة الأصول: اعتماد عملية إدارة أصول ناضجة لتحديد جميع تدفقات البيانات ونقاط الوصول عبر بيئة التكنولوجيا التشغيلية الخاصة بك.

• مراقبة الشبكة: جمع ومراقبة حركة الشبكة والسجلات بشكل نشط للبحث عن شذوذ يشير إلى نشاط الفاعل التهديدي.

• ممارسة الاستجابة للحوادث: تنفيذ وممارسة خطط استعادة الأعمال والتعافي من الكوارث بانتظام لضمان استجابة سريعة وفعالة إذا ما حدث اقتحام.

نداء للعمل لمصنعي الأجهزة التشغيلية/OEMs

تدعو CISA أيضًا مصنعي التكنولوجيا التشغيلية إلى اعتماد نهج "الأمان من التصميم" لتقليل المخاطر قبل أن تصل المنتجات إلى الأنظمة الحرجة:

• القضاء على أوراق الاعتماد الافتراضية: فرض المصادقة القوية منذ الأيام الأولى.

• الأمن بشكل افتراضي: تصميم المكونات لإعطاء الأولوية للأمان عند الاتصال بالإنترنت.

• توفير التسجيل الكامل: تقديم تغييرات وسجلات التحكم في الوصول دون تكاليف إضافية، باستخدام تنسيقات معيارية مفتوحة.

• نشر SBOMs: تقديم فاتورة مواد برمجية (SBOM) لمساعدة مالكي الأصول في تتبع الثغرات في مكتبات البرمجيات الأساسية.

إن الأثر التراكمي لهذا النشاط الخبيث المفيد ومنخفض التعقيد يمثل تهديدًا مستمرًا ومزعجًا للخدمات الأساسية. قد يكون هذا جزءًا من حملة موسعة يديرها عملاء APT Russian عبر قراصنة متدربين قد يتعلمون في العالم الحقيقي من خلال هجمات إلكترونية منخفضة الكثافة.

باتخاذ إجراءات فورية وحاسمة، يمكن للمنظمات البنية التحتية الحرجة تعزيز دفاعاتها بشكل كبير ضد هذا المشهد المتطور من التهديدات السيبرانية مع تقليل تعرضها العام للمخاطر.

تحدث إلينا للحصول على إحاطة مخصصة حول هذا الاستشاري.  

تعرف على المزيد حول حل أمان OT NDR للمشغلين.