الهجمات الأخيرة التي يُزعم أن مجموعة سولت تايفون الصينية نفذتها على شركات الاتصالات ودول من بينها البرازيل "SA تركت العالم كله في حالة تأهب". تتحدث الأخبار عن مستوى تطور الغزوات، والأمر الأكثر إثارة للقلق هو أن المجرمين، من الناحية النظرية، سيظلون ضمن شبكات هذه الشركات.
جاءت المعلومات الأولى حول هذه المجموعة في عام 2021، عندما نشر فريق Threat Intelligence التابع لشركة Microsoft معلومات حول كيفية نجاح الصين في اختراق العديد من مزودي خدمات الإنترنت لمراقبة الشركات والتقاط البيانات. وكانت إحدى الهجمات الأولى التي نفذتها المجموعة ناجمة عن اختراق أجهزة توجيه Cisco، والتي كانت بمثابة بوابة لمراقبة أنشطة الإنترنت التي تحدث من خلال هذه الأجهزة. وبمجرد الوصول، تمكن المتسللون من توسيع نطاق وصولهم إلى شبكات إضافية. وفي أكتوبر 2021، أكدت كاسبرسكي أن مجرمي الإنترنت قاموا بالفعل بتوسيع هجماتهم على دول أخرى مثل فيتنام وإندونيسيا وإندونيسيا.
إذا كانت نقاط الضعف الأولى معروفة بالفعل منذ عام 2021، فلماذا ما زلنا نتعرض للهجوم؟ الجواب يكمن على وجه التحديد في كيفية تعاملنا مع نقاط الضعف هذه بشكل يومي.
طريقة المخالفة
الآن، في الأيام الأخيرة، أكدت المعلومات الحكومية سلسلة من الهجمات على الشركات والبلدان التي تعمل بنظام“ - والتي حدثت من ثغرات أمنية معروفة في تطبيق VPN، والشركة المصنعة Ivanti، وFortinet Forticlient EMS، المستخدمة لمراقبة الخوادم وجدران الحماية Sophos وأيضًا خوادم Microsoft Exchange.
تم الكشف عن ثغرة Microsoft في عام 2021 عندما نشرت الشركة الإصلاحات بعد ذلك بوقت قصير. تم نشر الخلل في جدران الحماية Sophos في عام 2022 وتم تصحيحه في سبتمبر 2023. أصبحت المشكلات الموجودة في Forticlient علنية في عام 2023، وتم تصحيحها في مارس 2024 بالإضافة إلى مشكلات Ivanti، التي تم تسجيل CVEs (نقاط الضعف والتعرض الشائعة) الخاصة بها أيضًا في عام 2023. ومع ذلك، قامت الشركة بتصحيح الثغرة الأمنية فقط في أكتوبر الماضي.
كل هذه الثغرات الأمنية سمحت للمجرمين بالتسلل بسهولة إلى الشبكات المهاجمة، باستخدام بيانات اعتماد وبرامج مشروعة، مما يجعل اكتشاف هذه التدخلات شبه مستحيل. ومن هناك، تحرك المجرمون بشكل جانبي داخل هذه الشبكات، ونشروا برامج ضارة، مما ساعد في أعمال التجسس طويلة المدى.
ما يثير القلق بشأن الهجمات الأخيرة هو أن الأساليب التي يستخدمها قراصنة مجموعة سولت تايفون تتوافق مع التكتيكات طويلة المدى التي لوحظت في الحملات السابقة المنسوبة إلى عملاء الدولة الصينية. وتشمل هذه الأساليب استخدام بيانات الاعتماد المشروعة لإخفاء الأنشطة الضارة كعمليات روتينية، مما يجعل من الصعب التعرف عليها من خلال أنظمة الأمان التقليدية. يُظهر التركيز على البرامج المستخدمة على نطاق واسع مثل شبكات VPN وجدران الحماية معرفة متعمقة بنقاط الضعف في بيئات الشركات والحكومات.
مشكلة الضعف
وتكشف نقاط الضعف المستغلة أيضًا عن نمط مثير للقلق: التأخير في تطبيق التصحيحات والتحديثات. على الرغم من الإصلاحات التي توفرها الشركات المصنعة، فإن الواقع التشغيلي للعديد من الشركات يجعل من الصعب تنفيذ هذه الحلول على الفور. ويساهم اختبار التوافق، والحاجة إلى تجنب تعطيل الأنظمة ذات المهام الحرجة، وفي بعض الحالات، نقص الوعي بخطورة الأعطال في زيادة نافذة التعرض.
وهذه القضية ليست تقنية فحسب، بل تنظيمية واستراتيجية أيضًا، وتتضمن العمليات والأولويات، وفي كثير من الأحيان، الثقافة المؤسسية.
أحد الجوانب الحاسمة هو أن العديد من الشركات تتعامل مع إنفاذ التصحيح على أنه مهمة “ ثانوية لتدفق الطاقة مقارنة بالاستمرارية التشغيلية. وهذا يخلق ما يسمى بمعضلة التوقف، حيث يحتاج القادة إلى الاختيار بين انقطاع الخدمة اللحظي لترقية الأنظمة والمخاطر المحتملة للاستغلال في المستقبل. ومع ذلك، تظهر الهجمات الأخيرة أن تأخير هذه التحديثات يمكن أن يكون أكثر تكلفة بكثير، سواء من الناحية المالية أو من حيث السمعة.
بالإضافة إلى ذلك، يعد اختبار التوافق بمثابة عنق الزجاجة الشائع. تعمل العديد من بيئات المؤسسات، خاصة في صناعات مثل الاتصالات، بمزيج معقد من التقنيات القديمة والحديثة. وهذا يجعل كل تحديث يتطلب جهدًا كبيرًا لضمان أن التصحيح لا يسبب مشاكل في الأنظمة التابعة. هذا النوع من الرعاية مفهوم، ولكن يمكن تخفيفه من خلال اعتماد ممارسات مثل بيئات اختبار أكثر قوة وعمليات التحقق الآلي.
هناك نقطة أخرى تساهم في تأخير تطبيق التصحيحات وهي قلة الوعي بخطورة حالات الفشل. في كثير من الأحيان، تقلل فرق تكنولوجيا المعلومات من أهمية مكافحة التطرف العنيف، خاصة عندما لا يتم استكشافها على نطاق واسع حتى الآن. المشكلة هي أن نافذة الفرصة للمهاجمين يمكن أن تفتح قبل أن تدرك المؤسسات خطورة المشكلة. هذا هو المجال الذي يمكن أن يحدث فيه الذكاء في التهديدات والتواصل الواضح بين بائعي التكنولوجيا والشركات فرقًا كبيرًا.
أخيرًا، تحتاج الشركات إلى اعتماد نهج أكثر استباقية وأولوية لإدارة الثغرات الأمنية، والذي يتضمن أتمتة عمليات التصحيح، وتجزئة الشبكات، والحد من تأثير التدخلات المحتملة، وروتين محاكاة الهجمات المحتملة بانتظام، مما يساعد في العثور على نقاط ضعف محتملة.
لا تمثل مسألة تأخير التصحيح والتحديث تحديًا تقنيًا فحسب، بل تمثل أيضًا فرصة للمؤسسات لتحويل نهجها الأمني، مما يجعلها أكثر مرونة وقدرة على التكيف والمرونة. وقبل كل شيء، فإن أسلوب التشغيل هذا ليس جديدًا، ويتم تنفيذ مئات الهجمات الأخرى به طريقة العمل, من نقاط الضعف التي تستخدم كبوابة. يمكن أن يكون الاستفادة من هذا الدرس هو الفرق بين كونك ضحية أو الاستعداد للهجوم التالي.
Portuguese (Brazil) 
English 
Spanish 
German 
Chinese (Hong Kong) 
Russian 
Hindi 
French 
Italian 
Japanese 
Arabic 
Chinese (Taiwan) 
Bengali 
Bulgarian 
Czech 
Danish 
Greek 
Finnish 
Croatian 
Hungarian 
Indonesian 
Hebrew 
Korean 
Lithuanian 
Dutch 
Norwegian 
Norwegian 
Polish 
Portuguese (Angola) 
Portuguese (Portugal) 
Romanian 
Slovak 
Slovenian 
Swedish 
Thai 
Turkish 
Ukrainian 
Vietnamese 
Chinese (China)