بدأت العمليات العسكرية في أوكرانيا الشهر الماضي. كانت الهجمات السيبرانية هي القصف التمهيدي الذي يعلن بدء الحرب. تنوعت تلك الهجمات من حيث الطريقة و الهدف. فقد تم إطلاق هجمات DDoS ضد مواقع الويب والوكالات الحكومية والبنوك الأوكرانية. كما تم اكتشاف برمجيات خبيثة جديدة data wiper على أجهزة كمبيوتر أوكرانية تهدف لمسح البيانات.
إضافة لذلك تبين وجود مواقع مستنسخة عن مواقع حكومية أوكرانية و كذلك روابط خبيثة تتخفى تحت ستار حملات الدعم للرئيس الأوكراني لجذب الضحايا.
هجمات DDOS
استهدفت هجمات DDoS المواقع الإلكترونية للعديد من البنوك والوكالات الحكومية الأوكرانية ، بما في ذلك تلك التابعة لوزارة الدفاع الأوكرانية ، ووزارة الخارجية ، والبرلمان الأوكراني ، ودائرة الأمن الأوكرانية. وفقاً لـ helpnetsecurity فإنه يبدو أن أغلب تلك الهجمات لم تحقق هدفها باستثناء تلك الموجهة على دائرة الأمن الأوكرانية. يعود الفضل في الحفاظ على استمرارية عمل هذه المواقع لطبقات الحماية في cloudflare و كذلك bots لتضليل المهاجمين.
HermeticWiper- سلاح جديد يضاف لـ DDOS
أكتشف الباحثون برمجية data wiper خبيثة مصنوعة بعناية وتهدف لمسح بيانات الأجهزة المصابة. تم استخدام وسائل مضللة ليبدو أن هذا البرنامج الخبيث مصرح signed باستخدام شهادة مزيفة ليبدو حقيقياً و آمناً.
علمت ESET أنه في إحدى الشركات تم نشر هذا البرنامج من خلال الـ GPO مما يقدم مؤشراً لكون الـactive directory لهذه الشركة قد تم اختراقه و التحكم به.
استنساخ المواقع الحكومية
اكتشف باحث مستقل خدمة ويب “لعبت دوراً في الهجمات الإلكترونية السابقة” ، حيث وجد أنها مستضافة على مواقع مستنسخة من عدد من مواقع الحكومة الأوكرانية.
لقد تم إنشاء هذه المواقع المستنسخة قبل تشرين الثاني من العام الماضي قبل بدء الجولة الأخيرة من التصعيد العسكري. و بالنسبة للموقع المزيف المنسوب للرئيس الأوكراني فقد تم تعديله ليحوي رابط لحملة مضللة لدعم الرئيس “قابلة للنقر عليها”. وبمجرد النقر عليها ، تقوم بتنزيل حزمة من البرامج الضارة على جهاز كمبيوتر المستخدم.
لا يوجد لدينا تصوراً كاملاً حول كيفية استخدام هذه المواقع المستنسخة . على الرغم من أن الباحثين وجدوا صفحات تسجيل دخول منسوخة تشير إلى التصيد الاحتيالي phishing.
قد يكون من الأهداف النهائية للبرامج الضارة. تعريض أجهزة عشرات أو مئات الآلاف من الأوكرانيين للخطر واستخدامها لهجمات DDoS . و كذلك سرقة بيانات اعتماد حسابات وسائل التواصل الاجتماعي ، لاستخدامها في المستقبل في حملات التضليل عبر الإنترنت.
لا يوجد دليل على أن البنية التحتية والبرامج الضارة وراء -خدمة الويب هذه- قد تم استخدامها أو ربطها بالهجمات الإلكترونية التي تعرضت لها المؤسسات الحكومية الأوكرانية
وأضافوا أيضاً أنه خلال الشهرين الماضيين ، “كانت جهات التهديد نفسها ترسل برامج ضارة في أكثر من 35 ملفاً مضغوطًا متنوع عبر روابط مختلفة، والتي تستهدف أهدافاً أوكرانية عالية القيمة في الوزارات المختلفة والوكالة النووية في البلاد.
البرمجيات الخبيثة Cyclops Blink “تحل محل” VPNFilter
أصدر كل من NCSC و CISA تفاصيل حول Cyclops Blink ، إصدار جديد من البرامج الضارة تستهدف أجهزة الشبكة التي يستخدمها ظاهرياً ممثل تهديد Sandworm.
تعتقد وزارة العدل الأميركية أن Sandworm هو اسم مجموعة من القراصنة تقف وراء العديد من الهجمات الواضحة في نصف العقد الماضي. والتي يُزعم أنها نفذت جميعها تحت رعاية روسيا.
ويبدوأن Cyclops Blink هو إطار عمل بديل لبرنامج VPNFilter الخبيث الذي تم الكشف عنه في عام 2018 ، والذي استغل أجهزة الشبكة أجهزة التخزين المتصلة بالشبكة (NAS).
إن نشر Cyclops Blink يتم بشكل أساسي عبر WatchGuard -جدار الحماية-. ولكن من المحتمل أن تكون Sandworm قادرة على تجميع البرامج الضارة لأجهزة أخرى.
تجمع Cyclops Blink معلومات الجهاز المصاب.ثم ترسلها إلى خادم الأوامر والتحكم. بعدها ستكون قادرة على تنزيل الملفات وتنفيذها ، فضلاً عن الحصول على وحدات نمطية إضافية في وقت لاحق.
الشيء الأكثر إثارة للاهتمام حول هذه البرامج الضارة هو آلية استمرارها.
عملية تحديث البرامج الثابتة للأجهزة المشروعة
بعد إجراء تحقيق شامل ، تعتقد WatchGuard أنه تم استخدم ثغرة أمنية تم تحديدها وتصحيحها مسبقًا والتي كان من الممكن الوصول إليها فقط عندما تم إعداد جهاز جدار الحماية للسماح بالوصول غير المقيد للإدارة من الإنترنت. تمت معالجة هذه الثغرة الأمنية بالكامل من خلال الإصلاحات الأمنية التي بدأت شركة WatchGuard بطرحها في أيار-2021.
قام مكتب التحقيقات الفيدرالي بإبلاغ WatchGuard بشأن الهجوم على أجهزتها في تشرين الثاني-2021. لذلك لا يبدو أن تكتيك هذا الهجوم مرتبط بالوضع الحالي في أوكرانيا. ومع ذلك فقد يكون ذلك بمثابة تحضير لهجمات مستقبلية قد تحدث أثناء هذا الصراع العسكري الذي بدأ يتكشف.
ماذا تتوقع بعد ذلك؟
يعتقد الخبراء أن حرب المعلومات التي ناقشنا جزءاً من فصولها في هذا المقال هي حرب مستمرة و لا ترتبط بصراع محدد. يعد نشر الأخبار المضللة و تعطيل الاتصالات و تزييف المواقع الحكومية جزءاً من هذه الحرب. الهدف من ذلك ببساطة هو إحداث ما يكفي من التأخير والارتباك لتمكين العمليات المتزامنة الأخرى من تحقيق أهدافها. يفرض ذلك علينا جميعاً التنبه لضرورة تطوير وسائلنا الدفاعية فقد نكون في لحظة ما جزءاً من هذه الحرب.
