زيادة في الهجمات السيبرانية للأنظمة السحابية وانخفاض قياسي في زمن الاختراق

9 أغسطس 2023

نورى عيلال – دبي

أطلقت شركة كراود سترايك، المدرجة في بورصة ناسداك تحت الرمز (CRWD)، النسخة السادسة من تقرير تتبّع التهديدات “2023 CrowdStrike Threat Hunting” والذي حصلت “نُص خبر” على نسخة منه، وكشف عن توجهات أساليب الهجوم والاختراقات الإلكترونية الجديدة، ورصد ارتفاعاً هائلاً في الاختراقات القائمة على انتحال الهوية، وزيادة في خبرات المهاجمين الذين يستهدفون الأنظمة السحابية، مع تضاعف استخدام المهاجمين لأدوات المراقبة والإدارة عن بُعد (RMM) بمقدار ثلاث مرات، إلى جانب انخفاض قياسي في الزمن اللازم للاختراق.

تم الإعلان عنه رسميًا خلال فعاليات مؤتمر “بلاك هات 2023″ للأمن السيبراني في الولايات المتحدة الأمريكية

ويُعتبر تقرير “كرواد سترايك” الجديد، أول تقرير ينشره فريق عمليات وقف الاختراقات الذي كشفت عنه “كراود سترايك” مؤخرًا، وتم الإعلان عنه رسميًا هذا الأسبوع خلال فعاليات مؤتمر “بلاك هات 2023″ للأمن السيبراني في الولايات المتحدة الأمريكية. حيث غطى أنشطة هجمات الاختراق الإلكترونية خلال الفترة بين شهري يوليو 2022 ويونيو 2023.

583 ٪ زيادة في هجمات انتحال الهوية

وأظهرت النتائج الرئيسية للتقرير، والتي رصدتها نخبة من خبراء مراقبة وتحليل التهديدات وتتبُّعها في “كراود سترايك“، تسجيل زيادة هائلة في هجمات انتحال الهوية بنسبة 583 ٪؜، حيث كشفت النتائج عن ارتفاع مقلق يصل إلى 6 أضعاف ما تمّ تسجيله في العام الماضي في الهجمات القائمة على انتحال الهوية، حيث يستخدم المنتحلون تقنية تتيح للمهاجمين الحصول على بيانات اعتماد صالحة لحسابات خدمة الدليل النشط، والتي غالبًا ما توفر للجهات المهاجمة التي تستخدمها امتيازات دخول أكبر، وتتيح لها البقاء غير مكشوفة لفترات زمنية أطول داخل أنظمة الضحايا المستهدفين.

آدم مايرز “رئيس عمليات مواجهة التهديدات لدى “كراود سترايك“

آدام مايرز:

شهدنا نموًا كبيرًا في التهديدات من حيث التعقيد والعمق…تحول المهاجمين إلى استخدام التكتيكات والأنظمة الأساسية الجديدة

وقال آدم مايرز “رئيس عمليات مواجهة التهديدات لدى “كراود سترايك“: “خلال متابعتنا لأكثر من 215 مهاجم في العام الماضي، شهدنا نموًا كبيرًا في التهديدات من حيث التعقيد والعمق، وذلك مع تحول المهاجمين إلى استخدام التكتيكات والأنظمة الأساسية الجديدة، مثل استغلال بيانات الاعتماد الفعّالة لاستهداف نقاط الضعف في الأنظمة السحابية والبرامج. وللنجاح في وقف هذه الاختراقات، ينبغي ألا ننكر التسارع في قدرات المهاجمين على استخدام تكتيكات مصممة لتجاوز طرق الكشف التقليدية. وينبغي على قيادات الأمن الإلكترونية مناقشة فرق عملهم حول امتلاك الحلول اللازمة لوقف الاختراقات الأفقية خلال سبع دقائق فقط “.

تضمنت نسبة 62 ٪؜ من جميع عمليات الاختراق التفاعلية إساءة استخدام للحسابات الفعّالة

وبشكل عام فقد تضمنت نسبة 62 ٪؜ من جميع عمليات الاختراق التفاعلية إساءة استخدام للحسابات الفعّالة، في حين كانت هناك زيادة كبيرة بنسبة 160 ٪؜ في محاولات الاستحواذ على المفاتيح السرية وبيانات الاعتماد الأخرى عبر واجهات برمجة تطبيقات البيانات الوصفية للمثيلات السحابية (API).

312 ٪؜. زيادة سنوية في هجمات استخدام أدوات المراقبة والإدارة عن بُعد (RMM)

وكشف التقرير، عن تسجيل هجمات استخدام أدوات المراقبة والإدارة عن بُعد (RMM) زيادة سنوية ضخمة بلغت نسبتها 312٪؜ ، الأمر الذي يؤكد على مصداقية تقارير وكالة الأمن السيبراني وأمن البنية التحتية (CISA)، مشيراً أن المهاجمين يعمدون بشكل متزايد إلى استخدام التطبيقات المشروعة والمعروفة جيداً لإدارة تكنولوجيا المعلومات عن بُعد بهدف تجنب الاكتشاف والاندماج في بيئة المؤسسة، من أجل الوصول إلى البيانات الحساسة ونشر برامج الفدية أو تثبيت تكتيكات وبرامج متابعة أكثر تخصيصًا.

سجلت المدة اللازمة للاختراق انخفاضاً قياسياً…بلغ أسرع زمن اختراق خلال العام 7 دقائق

وسجلت المدة اللازمة للاختراق انخفاضاً قياسياً،  حيث وصلت إلى أدنى مستوى لها على الإطلاق وهو 79 دقيقة، فيما انخفض متوسط الزمن الذي يستغرقه المهاجم للانتقال بصورة أفقية من وضع الاختراق المبدئي وصولًا إلى المضيفين الآخرين في النظام المستهدف عن المستوى الأدنى السابق له وهو 84 دقيقة في عام 2022. بالإضافة إلى ذلك، تم تسجيل أسرع زمن اختراق خلال العام والبالغ 7 دقائق فقط.

80 ٪؜ زيادة في عمليات التسلل التفاعلية ضمن القطاع المالي

في حين سجلت عمليات التسلل التفاعلية ضمن القطاع المالي والتي تم كشفها كعمليات تسلل يدوية تستخدم لوحة المفاتيح، زيادة سنوية كبيرة بلغت نسبتها 80 ٪؜. وبشكل عام، ارتفعت نسبة عمليات التسلل التفاعلية بنسبة 40٪؜.

147٪؜ زيادة إعلانات وسطاء الدخول ضمن المجتمعات الإجرامية أو السرية

ومن جهة أخرى، رصد التقرير زيادة إعلانات وسطاء الدخول ضمن المجتمعات الإجرامية أو السرية بنسبة 147٪؜, حيث تؤدي إمكانية الوصول إلى حسابات صالحة للبيع إلى تسهيل دخول الجهات الفاعلة في مجال الجريمة الإلكترونية، وتتيح للمهاجمين المحترفين تعزيز تقنياتهم اللاحقة لعملية الاختراق في تحقيق أهدافهم بكفاءة أكبر.

تضاعف استخدام المهاجمين لأدوات توسيع الامتيازات

وتضاعف استخدام المهاجمين لأدوات توسيع الامتيازات من “Linux لاختراق الأنظمة السحابية” بمقدار 3 أضعاف، حيث سجلت خدمة “Falcon OverWatch” من “كراود سترايك” في الرصد على مدار الساعة زيادة بمقدار ثلاثة أضعاف في استخدام أداة “linPEAS” من “Linux”، والتي يلجأ إليها المهاجمون للوصول إلى البيانات الوصفية في الأنظمة السحابية، وإلى سمات تعريف الشبكات وبيانات الاعتماد التي يمكنها استغلالها فيما بعد.