لمهاجمة 250 موقع انترنت بوقت واحد قد تحتاج لـ 250 نقطة هجوم أو يمكنك أن تهاجم شيئاً تعتبره كل تلك المواقع موثوقاً لتنفذ من خلاله و تحقق أهدافك. بما يشبه أسطورة حصان طروادة، استهدف ممثل التهديد TA569 البنية التحتية لشركة إعلامية لم يتم الإفصاح عن اسمها. أدى ذلك لنشر البرمجيات الخبيثة SocGholish JavaScript والمعروفة أيضاً باسم FakeUpdates -التحديثات المزيفة ضمن ما يزيد عن 250 موقع يستخدم خدمات تلك الشركة.
هجوم سلسلة التوريد مجدداً
تم ذلك الهجوم عبر اختراق كود JavaScript الذي يستخدمه مزود محتوى الوسائط من أجل نشر البرامج الضارة إلى تلك المواقع. نشر فريق Proofpoint Threat Research ، سلسلة من التغريدات في وقت متأخر من يوم الأربعاء الماضي لشرح هذه الهجمة. تبين أن المهاجمين تلاعبوا بقاعدة بيانات أحد التطبيقات التي تستخدمها شركة -لم يعلن اسمها- لعرض الفيديو والإعلان على مواقع الصحف الوطنية والإقليمية في الولايات المتحدة الأمريكية.
بذلك فقد استخدم هجوم سلسلة التوريد لنشر البرامج الضارة المخصصة لـ TA569 ، والتي يتم استخدامها عادةً لإنشاء شبكة وصول أولية initial access تمهد للإصابة ببرامج الفدية.
,وفقاً لـ Darkreading ، فقد يكون توثيق ما حدث بالتفصيل صعباً. فلدى TA569 تاريخياً سلوك إزالة وإعادة حقن JS الخبيثة بتوقيت و بشكل يخدم مصالحهم و يضلل المحققين و المدافعين. لذلك يمكن أن يختلف وجود الحمولةالضارة Payload والمحتوى الضار من ساعة إلى أخرى. لكن، لا ينبغي بأي حال من الأحوال تجاهل أي إنذارات مرتبط بذلك الموضوع.
تبين حتى الأن تعرض أكثر من 250 موقعاً للصحف الإقليمية والوطنية الأمريكية إلى نسخة خبيثة من JavaScript . و يضاف لقائمة الضحايا منظمات إعلامية كبيرة في مدن مختلفة. ومع ذلك ،فإن الشركة التي تم حقن البرامج الخبيثة عن طريق منتجاتها تبقى الأقدر على تحديد النطاق الكامل للهجوم. كما يتوقع منها أن تساعد في قياس مدى تأثيره على المواقع التي تستفيد من خدماتها.
Evil Corp يقف وراء التحديثات المزيفة
يعد FakeUpdates إطاراً للبرامج الضارة والهجوم يتم استخدامه منذ عام 2020 على الأقل. و قد استخدم في الماضي التنزيلات من محرك الأقراص التي تخدع المستخدمين لتبدو كتحديثات آمنة لبرامج مختلفة و مطلوب تطبيقها . وقد تم ربط FakeUpdates سابقاً بمجموعة الجرائم الإلكترونية Evil Corp ، والتي فرضت عليها عقوبات لنشاطاتها الغير قانونية .
عادةً ما يستضيف مشغلو هذه الهجمات موقع ويب ضار ينفذ آلية تنزيل البرامج الضارة- مثل حقن كود JavaScript . أو قد يعمدونل إعادة توجيه عناوين URL مما يؤدي إلى تنزيل ملف أرشيف zip يحتوي على برامج ضارة. يؤدي ذلك لإصابة زوار مواقع الويب المخترقة بحمولات البرامج الضارة.
كما يعمد المخترقون لتمويه تلك البرامج لتبدو كتحديثات متصفح مزيفة. تسلم تلك التحديثات لضحاياهم كأرشيف ZIP (على سبيل المثال ، Chromе.Uрdatе.zip) و ذلك عبر تنبيهات التحديث الوهمية FakeUpdates.
لاحظ باحثو Symantec سابقاً أن شركة Evil Corp استخدمت في في تموز 2020 البرامج الضارة كجزء من المراحل المتسلسلة لهجوم تنزيل WastedLockerو بعدها سلالة جديدة من برامج الفدية ، على الشبكات المستهدفة .
كما لوحظت موجة من هذه الهجمات نهاية ذلك العام. حيث استضاف المهاجمون تنزيلات ضارة عن طريق الاستفادة من إطارات iFrame لخدمة مواقع الويب المخترقة عبر موقع شرعي.
في الآونة الأخيرة ، ربط الباحثون حملة التهديد بتوزيع FakeUpdates بالإصابات الحالية للدودة الحاسوبية المستندة إلى Raspberry Robin USB. وهي خطوة تشير إلى وجود صلة بين مجموعة المجرمين الإلكترونيين Evil Corp والدودة ، التي تعمل كمحمل لبرامج ضارة أخرى.
كيفية التعامل مع تهديد سلسلة التوريد
الحملة التي اكتشفها Proofpoint هي مثال آخر على استخدام المهاجمين لسلسلة توريد البرامج لإصابة التعليمات البرمجية التي يتم مشاركتها عبر منصات متعددة ، لتوسيع تأثير الهجوم الضار دون الحاجة لبذل جهد كبير لاستهداف الضحايا متفرقين.
في الواقع ، كانت هناك بالفعل العديد من الأمثلة عن التأثير المضاعف الذي يمكن أن تحدثه هذه الهجمات. مازالت سيناريوهات SolarWinds و Log4J ماثلة أمامنا كدليل على مدى الضرر الذي يمكن أن تحدثه هذه الهجمات.
بدأ هجوم SolarWinds في أواخر كانون الأول 2020 باختراق برنامج SolarWinds Orion وانتشر لاحقاً في العام التالي ، مع هجمات متعددة عبر مؤسسات مختلفة.
أما قصة Log4J فقد تكشفت في أوائل كانون الأول 2021 ، مع اكتشاف خلل يطلق عليه Log4Shell في أداة تسجيل Java شائعة الاستخدام. أدى ذلك إلى العديد من عمليات الاستغلال وجعل ملايين التطبيقات عرضة للهجوم ، ولا يزال العديد منها غير مُعالج حتى اليوم.
أصبحت هجمات سلسلة التوريد منتشرة لدرجة أن مسؤولي الأمن السيبراني يبحثون على مدار الساعة عن إجراءات حول كيفية منعها أو التخفيف من حدتها ، كما يسعى المعنيون في كل الصناعات إلى تقليل مخاطرها.
في بعض الدول صدرت توجيهات حكومية لتحسين أمن وسلامة سلسلة توريد البرمجيات. و قام المعهد الوطني للمعايير والتكنولوجيا (NIST) في وقت سابق من هذا العام بإصدار تحديث لإرشادات الأمن السيبراني لمعالجة مخاطر سلسلة توريد البرمجيات.
يتضمن ذلك الإصدار مجموعات مخصصة من ضوابط الأمان المقترحة لمختلف الأدوار الوظيفية البمتأثرة بمخاطر التوريد، مثل متخصصي الأمن السيبراني ، ومديري المخاطر ، ومهندسي الأنظمة ، ومسؤولي المشتريات.
قدم متخصصو الأمن أيضاً نصائح للمنظمات حول كيفية تأمين سلسلة التوريد بشكل أفضل. كما أوصوا باتباع نهج عدم الثقة في الأمان ، ومراقبة شركاء الطرف الثالث أكثر من أي كيان آخر في بيئةالأعمال. و كذلك اختيار مورد وحيد لتوفير احتياجات البرامج التي تتطلب تحديثات متكررة.
