كشف تقرير استخباراتي جديد تفاصيل اختراق متعمد لشركة سيارات فرنسية صغيرة، حيث استهدف المهاجم سرقة بيانات مصرفية ورسائل بريد إلكتروني حساسة. تبرز هذه الحادثة المخاطر المتزايدة المرتبطة بالهجمات السيبرانية والتحديات التي تواجه الشركات في تأمين أنظمتها.
تمكن مهاجم، يُعرف بالاسم المستعار “Poisson”، من الدخول إلى شبكة الشركة وزرع برنامج لتسجيل ضغطات المفاتيح (keylogger) لجمع بيانات الاعتماد. ومع ذلك، فإن ما يميز هذا الاختراق هو الإجراء الذي اتخذه المهاجم قبل اختفاء خادم القيادة والتحكم الرئيسي الخاص به.
تكتيكات متقدمة في الهجمات السيبرانية
قبل أن يصبح خادم القيادة والتحكم غير متاح، قام “Poisson” بتثبيت أدوات مثل OpenSSH وTailscale على جهاز الضحية. هذا الإجراء سمح له بإنشاء مسار بديل للوصول إلى النظام، لا يمر عبر خادم القيادة والتحكم. عندما توقف الخادم الرئيسي عن العمل في اليوم التالي، ظل الوصول قائماً عبر هذه البوابة الخلفية.
أشار التقرير، الذي نشرته شركة Cato Networks، إلى أن المهاجم ترك مفاتيح SSH خاصة به ودليلاً تفصيلياً لعملياته في مساحة تخزين مفتوحة، مما منح الباحثين رؤية نادرة لخطوات الاختراق من منظور المهاجم.
الدرس المستفاد هنا واضح: إيقاف تشغيل خادم القيادة والتحكم ليس بالضرورة حلاً كاملاً إذا كان المهاجم قد أسس بالفعل وسيلة وصول مستقلة.
وفقًا للباحثين، لم يكن “Poisson” عضواً في مجموعة هجمات متقدمة (APT)، بل بدا وكأنه مشغل مبتدئ يتبع جدولاً زمنياً منتظماً، حيث كان ينشط بعد الساعة الثالثة عصراً بتوقيت وسط أوروبا. كانت أدواته بسيطة وغير مكلفة، وتضمنت خدمات مجانية مثل DuckDNS وBackblaze B2 وخادم افتراضي من IONOS.
براعة المهاجم في تجاوز الدفاعات
على الرغم من بعض الأخطاء في تداوله، مثل تسمية حاويات التخزين باسمه المستعار وتسريب الدليل الرئيسي الخاص به عدة مرات، إلا أن المهاجم نجح في اختراق أربع آلات. تم تشغيل البرمجيات الخبيثة في الغالب عبر الذاكرة، مما يجعل اكتشافها أكثر صعوبة.
استخدم المهاجم تقنيات لرفع الامتيازات، مثل “Start-Process -Verb RunAs”، والتي تتطلب موافقة المستخدم قبل المتابعة. كما قام بإعداد مهام مجدولة لضمان استمرار الوصول، وحقن تعليمات برمجية خبيثة في عمليات النظام.
التحصين ضد التهديدات المستمرة
كانت الخطوة الأكثر أهمية هي قيام المهاجم بتثبيت OpenSSH Server وTailscale، وربط جهاز الضحية بشبكته الخاصة. هذا سمح له بالوصول إلى الجهاز عبر شبكة Tailscale المشفرة دون الحاجة إلى خادم قيادة وتحكم أو فتح منافذ على الإنترنت.
عندما عاد خادم القيادة والتحكم إلى العمل، أعادت البرامج تثبيت الاتصال تلقائياً، مما يؤكد قدرة المهاجم على استعادة الوصول بسهولة.
بدا هدف “Poisson” محدداً، حيث ركز على سرقة بيانات الاعتماد المصرفية وبيانات تسجيل الدخول للبريد الإلكتروني. هذا النوع من البيانات يمكن أن يؤدي إلى خسائر مالية مباشرة للشركات الصغيرة.
الأدوات التي استخدمها ليست جديدة، لكن تكتيك استمرار الوصول بعد تدمير خادم القيادة والتحكم هو ما يثير القلق. وقد استخدمت مجموعات أخرى أدوات وصول مشروعة مثل Tailscale وRustDesk في هجمات سابقة.
توصيات لتعزيز الأمن السيبراني
قدمت Cato Networks قائمة بتوصيات لمراقبة أنشطتها المشبوهة:
- التنبيه عند تثبيت OpenSSH Server على أنظمة Windows، حيث إنها نادراً ما تكون ذات غرض شرعي.
- مراقبة استخدام tailscale.exe على الأجهزة التي لا تحتاج إلى VPN.
- البحث عن أنفاق SSH العكسية (reverse tunnels) المتجهة إلى مضيفين خارجيين.
- التحقق من تشغيل ملفات VBScript من مجلدات مؤقتة للمستخدم.
- الإبلاغ عن المهام المجدولة التي تمنح أعلى الامتيازات لتشغيل مفسرات النصوص البرمجية.
- مراقبة تغييرات إعدادات الاستعداد (standby-timeout) التي تبقي الأجهزة في وضع التشغيل.
- حظر DuckDNS.
الأهم من ذلك، عند اكتشاف خادم قيادة وتحكم، يجب افتراض أن هناك وسيلة وصول أخرى، والبحث عن طبقات الاستمرارية الصامتة وراءه. يمثل هذا الجزء ما يمكن أن تفوتنه إجراءات الإصلاح التقليدية، حيث يمكن للمهاجم أن يظل لديه طريقة للعودة حتى بعد إيقاف الخادم الرئيسي.