تحليل هجوم الفدية على مصنع بيرة أساهي

مجموعة أساهي القابضة، المحدودة، واحدة من أكبر مصنعي البيرة في اليابان، قد أعلنت بشكل منفصل في 29 سبتمبر و3 أكتوبر أن أنظمتها كانت تتعرض لتعطيل بسبب هجوم ببرمجية الفدية. وعلى إثر ذلك، توقفت الشركة عن الإنتاج وأجرت تحقيقًا لتحديد السبب الجذري للحادث وتحديد الأنظمة المتضررة. وقد استأنفت الشركة الآن الإنتاج، وبدءًا من 15 أكتوبر، بدأ مصنع أساهي في شحنات جزئية لمنتجات متنوعة بما في ذلك بيرة أساهي العادية وأساهي دراي زيرو.

اقرأ تحليلنا لحادث جاكوار لاند روفر هنا.

لفهم الهجوم على مجموعة أساهي، يجب أولاً أن نفهم تكتيكات وإجراءات مجموعة "قيلين" التي تقف وراء الحادث. في رسالة نشرت على موقعها مساء السابع من أكتوبر، تبنّت مجموعة "قيلين" التي مقرها روسيا المسؤولية عن الخرق. كان هذا بعد أسبوع واحد فقط من الإبلاغ عن الهجوم. أصبحت "قيلين" تهديدًا كبيرًا في السنوات القليلة الماضية حيث تمثل ما يصل إلى 48 بالمائة من الخروقات المبلغ عنها في العامين الأخيرين. المجموعة استولت على شبكات الشركات التابعة من الجهات الفاعلة في التهديد المتوقفة. كما أنها تعمل بتنسيق وثيق مع مجموعة APT معروفة مقرها في نفس المنطقة.

تكتيكات وإجراءات مجموعة قيلين

نشطة منذ: 2021/22
المنشأ: روسيا
نموذج التشغيل: برنامج فدية كخدمة (RaaS)

أهم القدرات:

·  القدرة على تنفيذ هجمات مخصصة على نطاق صناعي

·  الروابط السرية مع الجهات الفاعلة في التهديد الكوري الشمالي التي تساعد في تعديل البرامج الضارة وإجراء الهجمات الثانوية وبيع البيانات المسروقة

·  تدير "قيلين" واحدة من أكبر شبكات التعاون في برامج الفدية في العالم. هذا يُمكّن من النقل والبيع الأسرع للبيانات والولوج المسروقة

·  الوصول للأسواق الثانوية للحصول على بيانات الدخول المسروقة

·  الإصرار على التحقق من بيانات الدخول المسروقة قبل بدء الهجوم الفعلي

·  تخصيص قسم كبير من الفدية للشركاء

·  استخدام تسريبات البيانات لجذب وتجنيد الشركاء. هذه هي المجموعة الوحيدة المعروفة التي تقدم البيانات المسروقة للشركاء المحتملين مجانًا (في بعض الأحيان)

تبدأ الهجمة النموذجية برسالة بريد إلكتروني مصطنعة تظهر وكأنها من مزود خدمات مدار. يُرسل البريد في وقت يكون فيه الموظفون المستهدفون مشغولين ولا يمكنهم الاهتمام بما فيه الكفاية. يقوم البريد بتزوير تنبيه يطلب من الموظفين إعادة إدخال بيانات تسجيل الدخول كجزء من ترقية الأنظمة الجارية.

بمجرد أن ينقر الموظف على الرابط، يتم إعادة توجيهه إلى موقع ويب مزيف يبدو حقيقيًا بكل الطرق الممكنة. بمجرد إدخال الموظف بياناته في الموقع المزيف، يتم تفعيل مصادقة متعددة العوامل من خلال رمز مرور لمرة واحدة (OTP). بمجرد إدخال هذا في الموقع المزيف، يتمكن المخترق من الحصول على الوصول المستند إلى بيانات الدخول للشبكة والأنظمة الإضافية.

المجموعة معروفة بإجراء أبحاث وتحركات بيانات مكثفة على:

·  دليل البائع النشط لتحديد كل البائعين الرئيسيين الذين يقدمون الوصول إلى الخدمات عبر التطبيقات أو البوابات

·  تعيين المسؤولين والإشراف على تلك التطبيقات من أجل استهدافهم

·  تعمل المجموعة بعناية كبيرة في تحديد الهدف والرسائل

بمجرد أن يحصل الفاعل على وصول، يتم تنفيذ سلسلة من الخطوات بالترتيب الآتي:

·  تثبيت تطبيق وصول سطح مكتب بعيد

·  استطلاع متعدد المراحل على الشبكات المستهدفة

·  استغلال نقاط الضعف الأمنية (CVEs)

·  استهداف النسخ الاحتياطية للتسريب

·  نشر برامج الفدية متعدد الحمولة والإعلان العام عن الضحية

·  استخدام تكتيكات ضغط لجعل الضحية تدفع الفدية

·  بيع البيانات المسربة

كيف حدث الهجوم الالكتروني على مصنع أساهي للبيرة؟

ليس لدينا سبب يعتقد أن الفاعل كان سيستخدم مسارًا مختلفًا عن الطريق المذكور أعلاه للحصول على البيانات ونشر برامج الفدية في هجوم مصنع أساهي للبيرة. احتمل أن الفاعل حصل على الوصول عبر موقع ويب مزيف تم إرساله عبر البريد أو مُدمج في وثيقة تمت مشاركتها ربما عبر منصة وسائل التواصل الاجتماعي. بمجرد أن حصل الفاعل على الوصول، تم بدء الحركة الخطية مع الفاعل في الحصول على المزيد من بيانات الدخول عبر برامج الفدية من خلال تصعيد الامتيازات. استهدف الهجوم تحديدًا الإدارات المالية والموارد البشرية.

قامت مجموعة قيلين بتسريب حوالي 27.3 جيجابايت من البيانات (أكثر من 9673 مستندًا) منتشر عبر أنظمة متفرقة بما في ذلك مستندات الموارد البشرية (بما في ذلك مجموعة من التقييمات السرية للموظفين)، والمستندات المالية بما في ذلك المعلومات القانونية والملاحظات الداخلية، والعقود وسجلات العمليات الخاصة بالفرق الداخلية. استهدفت المجموعة التقارير والمعلومات السرية التي تهم المستثمرين والجهات التنظيمية لزيادة الضغط على مجموعة أساهي القابضة لدفع الفدية.

استهدف الفاعل أيضًا عدة نسخ احتياطية ويمكن تقدير مدى الهجمة من حقيقة أن حتى نظام حجز الطلبات كان معطلًا حتى الأسبوع الماضي وكان على الشركة اللجوء إلى تلقي الطلبات عبر الفاكس وتدوين الطلبات باستخدام القلم والورق. في وقت كتابة هذا التقرير، تم مهاجمة شركة يابانية أخرى في قطاع العقارات من قبل مجموعة قيلين. من الممكن أن يكون هذان الحدثين قد نُسقا من خلال شريك محلي معروف لمجموعة قيلين مقرها كوريا الشمالية (هذه المجموعة لديها روابط عميقة مع كوريا الشمالية).

البرنامج الخبيث المستخدم في الهجوم كان "NETXLOADER"، برنامج خبيث مموه يعمل على مثيب للبرامج الخبيثة قائم على .NET. يمكن استخدام هذا المثيب لتنفيذ حمولات متعددة وهذا ما يفسر لماذا تم اختراق عدة أقسام داخل مصنع أساهي. المزيد من التنفيذ المرحلي أيضًا يضمن درجة عالية من التخفي ويمكن أن تظل المثيب والبرامج الخبيثة المنفذة دون اكتشاف لفترة طويلة من الوقت.

بمجرد نجاح الهجوم، طلبت "قيلين" من مصنع أساهي الانضمام إلى محادثة مشفرة لبدء المفاوضات.

كيف يمكن منع حوادث مثل الهجوم الإلكتروني على مصنع أساهي للبيرة؟

·  مراقبة الإنترنت المظلم وغيرها من المجالات التي تبيع بيانات الدخول للبحث عن أي معلومات مرتبطة ببنيتك التحتية. قم بتغيير كلمات المرور الخاصة بك بمجرد انتهائك من قراءة هذا المستند.

· أعط اهتمامًا أكبر للشبكات الافتراضية الخاصة (VPNs) ووسائل الوصول عن بُعد الأخرى. تحقق مما إذا كانت قوية بما فيه الكفاية.

·  ينبغي تشجيع الموظفين على الإبلاغ عن جميع حالات التصيد الإلكتروني "فيشينج" و"فيشنج". الكشف المبكر عن مثل هذه المحاولات يمكن أن يساعد في تحديد احتمال تسريب بيانات الدخول أو على الأقل   

·  المكان المنطقي (عادةً) لبدء هو توعية الموظفين. من الضروري ضمان وعي الموظفين بمعرفة تكتيكات إجراءات وتقنيات الجهات الفاعلة مثل قيلين لكي لا يقعوا ضحية للأساليب المستخدمة من قبلهم.

·  إنشاء تقسيمات كافية بين الشبكات يمكّن من احتواء التهديدات بشكل أسرع

·  إيقاف الأنظمة والتطبيقات التي لا يتم استخدامها.

لخطة عمل أكثر تفصيلاً، تواصل مع فريق تقييم الاستجابة للحوادث والاستعداد لدينا هنا.

تحميل التقرير المفصل عن حادثة مصنع أساهي للبيرة.

قم بتحميل دليل عمليات الأمن: استراتيجية وقائمة التحقق من الامتثال خاصة بالمعيار ISA/IEC 62443 هنا.

احصل على نسخة مجانية من نموذج سياسة الأمن الالكتروني لشركة Shieldworkz OT هنا