- 17 فبراير 2021
- 353
- 1
- 839
- 93
- الجنس
- ذكر
تسمح القرصنة الحكومية باستغلال الثغرات الأمنية في المنتجات الإلكترونية والبرامج للوصول عن بُعد إلى المعلومات المهمة لها. تتيح هذه المعلومات للمحققين الحكوميين مراقبة نشاط المستخدم والتدخل في تشغيل جهازه.
قد تشمل الهجمات الحكومية على الأمن البرمجيات الخبيثة والتشفير. يعد برنامج PRISM التابع لوكالة الأمن القومي واستخدام إثيوبيا لبرنامج FinSpy من الأمثلة البارزة.
لسوء الحظ ، تشكل عمليات استغلال القرصنة الحكومية تهديدًا حقيقيًا للمؤسسات بجميع أنواعها ، ويجب على أولئك الذين يعملون في مجال الأمن السيبراني أن يكونوا على دراية بذلك.
قبل عقد من الزمان ، تم شن غالبية الهجمات التي ترعاها حكومة ضد حكومات أخرى ، وكان معظمها يهدف إلى إظهار قدرات الدولة بدلاً من التسبب في اختراق حقيقي. هناك الآن دلائل على أن هذا يتغير : الحكومات في جميع أنحاء العالم كثفت عملياتها السيبرانية وتستهدف بشكل متزايد المنظمات التجارية.
في الأشهر القليلة الماضية فقط ، رأينا العديد من محاولات القرصنة الحكومية:
قد تشمل الهجمات الحكومية على الأمن البرمجيات الخبيثة والتشفير. يعد برنامج PRISM التابع لوكالة الأمن القومي واستخدام إثيوبيا لبرنامج FinSpy من الأمثلة البارزة.
لسوء الحظ ، تشكل عمليات استغلال القرصنة الحكومية تهديدًا حقيقيًا للمؤسسات بجميع أنواعها ، ويجب على أولئك الذين يعملون في مجال الأمن السيبراني أن يكونوا على دراية بذلك.
قبل عقد من الزمان ، تم شن غالبية الهجمات التي ترعاها حكومة ضد حكومات أخرى ، وكان معظمها يهدف إلى إظهار قدرات الدولة بدلاً من التسبب في اختراق حقيقي. هناك الآن دلائل على أن هذا يتغير : الحكومات في جميع أنحاء العالم كثفت عملياتها السيبرانية وتستهدف بشكل متزايد المنظمات التجارية.
في الأشهر القليلة الماضية فقط ، رأينا العديد من محاولات القرصنة الحكومية:
- يوليو 2020 . أعلنت كندا والمملكة المتحدة والولايات المتحدة أن قراصنة مرتبطين بالمخابرات الروسية حاولوا سرقة المعلومات المتعلقة بتطوير لقاح COVID-19.
- يوليو 2020 . تقول تقارير إعلامية إن النتيجة الرئاسية لعام 2018 سمحت لوكالة المخابرات المركزية بعمليات إلكترونية ضد إيران وكوريا الشمالية وروسيا والصين. وشملت العمليات تعطيل وتسريب المعلومات للجمهور.
- يونيو 2020 . اخترق قراصنة من كوريا الشمالية مشتبه بهم شركتي دفاع على الأقل في وسط أوروبا من خلال إرسال عروض عمل زائفة لموظفيهما بينما كانوا يمثلون ممثلين عن مندوب الدفاع الأمريكيين الرئيسيين
في هذه المقالة ، سنلقي نظرة على أهم الثغرات التي تستخدمها الحكومات ، وكيفية التعامل مع هذه الهجمات:
- أهم الاكسبلويت التي يستخدمها الهكر.
- ما الذي يصنف على أنه قرصنة حكومية.
- ما الذي تفعله الحكومة لوقف القرصنة.
- أمثلة على حالة القرصنة الحكومية.
- كيفية التعامل مع هذه الأنواع من الهجمات.
في هذه المقالة ، سنعرّف "القرصنة الحكومية" على أنها كيانات حكومية (على سبيل المثال ، وكالات الأمن القومي أو إنفاذ القانون أو الجهات الفاعلة الخاصة نيابة عنها) تستغل نقاط الضعف في الأنظمة أو البرامج أو الأجهزة للوصول إلى المعلومات المشفرة بطريقة أخرى أو يتعذر الوصول إليها. كما سنرى ، هذه الممارسات شائعة للغاية.
أهم أساليب الاستغلال التي يستخدمها قراصنة الحكومة
أهم أساليب الاستغلال التي يستخدمها قراصنة الحكومة
عندما يتعلق الأمر بوصف الثغرات والتكتيكات التي يستخدمها قراصنة الحكومة ، فإننا نواجه صعوبتين:
أحدها أن الأساليب التي يستخدمها قراصنة الحكومة مخفية وغاية في السرية.
وثانيها ، لكل حكومة دوافع مختلفة عندما يتعلق الأمر بشن الهجمات ، وبالتالي تستخدم أساليب مختلفة.
ومع ذلك، هناك بعض الطرق لاكتشاف القليل عن كيفية عمل قراصنة الحكومة. يتم توفير مصدر واحد للمعلومات حول هذا الأمر بسخاء بواسطة Verizon كجزء من تقرير التحقيقات السنوي بشأن خرق البيانات (DBIR).
يشير هذا التقرير إلى أن القرصنة الحكومية قد زادت بشكل كبير خلال السنوات القليلة الماضية ، ويفصل الأساليب الأكثر شيوعًا التي يستخدمها قراصنة الحكومة 2019:
مصدر آخر للمعلومات حول القرصنة الحكومية جاء من التسريبات من الحكومة الأمريكية. في عام 2016 ، نشر موقع ويكيليكس مجموعة ضخمة من تقارير وكالة المخابرات المركزية المعروفة باسم Vault 7 ، والتي توفر نظرة ثاقبة مثيرة للاهتمام حول الأساليب التي تستخدمها حكومة الولايات المتحدة.
يسلط الضوء على التحليل على سلسلة مروعة من الإخفاقات الأمنية في واحدة من أكثر الكيانات سرية في العالم ، لكن نقاط الضعف الأساسية التي أدت إلى الخرق أيضًا ، للأسف ، شائعة جدًا في العديد من المنظمات اليوم.
المصدر الثالث للمعلومات يأتي من الأسلحة السيبرانية (Cyber-Weapons) التي تم اكتشافها في اجهزة الضحايا. على سبيل المثال هو الدودة الخبيثة Stuxnet ، وهي عبارة عن سلاح طوره الجيش الأمريكي لتخريب أجهزة الطرد المركزي لتخصيب اليورانيوم في إيران. كان Stuxnet مختلفًا عن أي فيروس أو دودة أخرى ظهرت من قبل.
بدلاً من مجرد اختراق أجهزة الكمبيوتر المستهدفة أو سرقة المعلومات منها، فقد تسللت من العالم الرقمي لتلحق الدمار المادي بالمعدات التي تتحكم فيها أجهزة الكمبيوتر في العالم الحقيقي.
منذ إطلاق فيروس ستوكسنت في عام 2010 ، أجريت العديد من التحليلات والتشريح على الفيروس ، من أجل الكشف عن قدرات القراصنة الحكوميين والتقنيات الموجودة بالفيروس مثل اعتماده تقنية الروتكيت الخطيرة.
أحدها أن الأساليب التي يستخدمها قراصنة الحكومة مخفية وغاية في السرية.
وثانيها ، لكل حكومة دوافع مختلفة عندما يتعلق الأمر بشن الهجمات ، وبالتالي تستخدم أساليب مختلفة.
ومع ذلك، هناك بعض الطرق لاكتشاف القليل عن كيفية عمل قراصنة الحكومة. يتم توفير مصدر واحد للمعلومات حول هذا الأمر بسخاء بواسطة Verizon كجزء من تقرير التحقيقات السنوي بشأن خرق البيانات (DBIR).
يشير هذا التقرير إلى أن القرصنة الحكومية قد زادت بشكل كبير خلال السنوات القليلة الماضية ، ويفصل الأساليب الأكثر شيوعًا التي يستخدمها قراصنة الحكومة 2019:
نرجو منك
تسجيل الدخول
او
تسجيل
لتتمكن من رؤية الرابط
نرجو منك
تسجيل الدخول
او
تسجيل
لتتمكن من رؤية الرابط
مصدر آخر للمعلومات حول القرصنة الحكومية جاء من التسريبات من الحكومة الأمريكية. في عام 2016 ، نشر موقع ويكيليكس مجموعة ضخمة من تقارير وكالة المخابرات المركزية المعروفة باسم Vault 7 ، والتي توفر نظرة ثاقبة مثيرة للاهتمام حول الأساليب التي تستخدمها حكومة الولايات المتحدة.
يسلط الضوء على التحليل على سلسلة مروعة من الإخفاقات الأمنية في واحدة من أكثر الكيانات سرية في العالم ، لكن نقاط الضعف الأساسية التي أدت إلى الخرق أيضًا ، للأسف ، شائعة جدًا في العديد من المنظمات اليوم.
المصدر الثالث للمعلومات يأتي من الأسلحة السيبرانية (Cyber-Weapons) التي تم اكتشافها في اجهزة الضحايا. على سبيل المثال هو الدودة الخبيثة Stuxnet ، وهي عبارة عن سلاح طوره الجيش الأمريكي لتخريب أجهزة الطرد المركزي لتخصيب اليورانيوم في إيران. كان Stuxnet مختلفًا عن أي فيروس أو دودة أخرى ظهرت من قبل.
بدلاً من مجرد اختراق أجهزة الكمبيوتر المستهدفة أو سرقة المعلومات منها، فقد تسللت من العالم الرقمي لتلحق الدمار المادي بالمعدات التي تتحكم فيها أجهزة الكمبيوتر في العالم الحقيقي.
منذ إطلاق فيروس ستوكسنت في عام 2010 ، أجريت العديد من التحليلات والتشريح على الفيروس ، من أجل الكشف عن قدرات القراصنة الحكوميين والتقنيات الموجودة بالفيروس مثل اعتماده تقنية الروتكيت الخطيرة.
طرق الاستغلال Exploit Methods
طرق الاستغلال Exploit Methods
من خلال تحليل مصادر المعلومات هذه حول الأساليب التي يستخدمها الهكرز الحكوميون ، وعن طريق تشريح البيانات الأولية التي توفرها DBIR ، يمكننا توفير مزيد من المعلومات حول هذه الهجمات التي تنظمها الحكومة.
في الجدول أعلاه ، تم سرد أفضل ست آليات هجوم يستخدمها قراصنة الدول. كما تلاحظ DBIR ، تستند هذه الانتهاكات البالغ عددها 121 إلى عمليات الاستغلال التي تم التدرب عليها جيدًا والتي تظهر فيها بعض الإجراءات دائمًا تقريبًا.
من المرجح أن تحدث حوادث الاختراق على النحو التالي :
يقع المستخدم الذي يجلس على مكتب في مكان ما - شركة Fortune 500 ، مقاول دفاع ، جامعة بحثية - في هجوم تصيد عبر البريد الإلكتروني يتم فيه تنزيل باكدور على جهاز المستخدم. هذا مصدر خاص للتهديد إذا كان الموظف يعمل عن بعد .
ثم يتصل هذا الجزء من البرامج الضارة (Backdoor code) بسيرفر القيادة والسيطرة ( C2 ) التابع للحكومة الأجنبية .
تقوم سيرفرات C2 بتوجيه الباكدور لتنفيذ بعض الأوامر البسيطة ، والتي يمكن أن تشمل دخول واستعراض نظام الملفات ثم تصدير البيانات التي تعتبر مثيرة للاهتمام.
غالبًا ما تبحث الحكومة الأجنبية أيضًا عن ملف الهاش الخاص بكلمة المرور (Hash عبارة كن كلمة مرور مشفرة) ثم محاولة تخمين وكسر الهاش واستخراج كلمة المرور - حتى تتمكن الحكومة من إجراء اتصال عكسي ثم اختراق هذه الحسابات عن بُعد. بالطبع ، هذا السيناريو غير معتاد لنوع أكثر تعقيدًا من الهكرز غير الحكوميين. النقطة الأساسية هنا هي أن الأساليب الوقائية التقليدية والتخفيف من نوع الخطة ب ستظل سارية.
على سبيل المثال ، تذكر قاعدة البيانات DBIR الحالية القراء مرة أخرى - ظلوا يقولون هذا منذ سنوات - أن المصادقة ذات المرحلتين Two Factor Authentication (2FA or TFA) ستمنع 80٪ من الهجمات التي تتضمن كلمات مرور.
ما يفعله لصوص الإنترنت العاديين cyber thieves يفعل أيضًا مع جواسيس الإنترنت cyberspie الذين يقومون بتسجيل الدخول من الصين. ومن شأن تدقيق ومراقبة النشاط على الملفات أن يكتشف وصول العامل العسكري Jane’s إلى المستندات وملفات النظام التي لا تلمسها عادةً.
لا يساورنا شك في أن المتعاقدين العسكريين الأمريكيين الذين تم اختراقهم كانوا ضحايا للسيناريو الذي رسمناه. يمكن العثور هنا على سرد أكثر تفصيلاً للهجوم الفعلي للجيش الصيني . يتبع هذا السيناريو تقريبًا استنادًا إلى بيانات DBIR ولكن لديه بعض الاختلافات المثيرة للاهتمام.
نصيحتنا للشركات التي تتعامل مع هذه الأنواع من الهجمات؟ حافظ على هدوئك واستمر في التركيز وركز على أساليب منع الاختراق والتخفيف من حدتها - راجع DBIR 2013 لمزيد من الأفكار - كنت تنوي دائمًا استخدامها ضد لصوص الإنترنت العاديين.
في الجدول أعلاه ، تم سرد أفضل ست آليات هجوم يستخدمها قراصنة الدول. كما تلاحظ DBIR ، تستند هذه الانتهاكات البالغ عددها 121 إلى عمليات الاستغلال التي تم التدرب عليها جيدًا والتي تظهر فيها بعض الإجراءات دائمًا تقريبًا.
من المرجح أن تحدث حوادث الاختراق على النحو التالي :
يقع المستخدم الذي يجلس على مكتب في مكان ما - شركة Fortune 500 ، مقاول دفاع ، جامعة بحثية - في هجوم تصيد عبر البريد الإلكتروني يتم فيه تنزيل باكدور على جهاز المستخدم. هذا مصدر خاص للتهديد إذا كان الموظف يعمل عن بعد .
ثم يتصل هذا الجزء من البرامج الضارة (Backdoor code) بسيرفر القيادة والسيطرة ( C2 ) التابع للحكومة الأجنبية .
تقوم سيرفرات C2 بتوجيه الباكدور لتنفيذ بعض الأوامر البسيطة ، والتي يمكن أن تشمل دخول واستعراض نظام الملفات ثم تصدير البيانات التي تعتبر مثيرة للاهتمام.
غالبًا ما تبحث الحكومة الأجنبية أيضًا عن ملف الهاش الخاص بكلمة المرور (Hash عبارة كن كلمة مرور مشفرة) ثم محاولة تخمين وكسر الهاش واستخراج كلمة المرور - حتى تتمكن الحكومة من إجراء اتصال عكسي ثم اختراق هذه الحسابات عن بُعد. بالطبع ، هذا السيناريو غير معتاد لنوع أكثر تعقيدًا من الهكرز غير الحكوميين. النقطة الأساسية هنا هي أن الأساليب الوقائية التقليدية والتخفيف من نوع الخطة ب ستظل سارية.
على سبيل المثال ، تذكر قاعدة البيانات DBIR الحالية القراء مرة أخرى - ظلوا يقولون هذا منذ سنوات - أن المصادقة ذات المرحلتين Two Factor Authentication (2FA or TFA) ستمنع 80٪ من الهجمات التي تتضمن كلمات مرور.
ما يفعله لصوص الإنترنت العاديين cyber thieves يفعل أيضًا مع جواسيس الإنترنت cyberspie الذين يقومون بتسجيل الدخول من الصين. ومن شأن تدقيق ومراقبة النشاط على الملفات أن يكتشف وصول العامل العسكري Jane’s إلى المستندات وملفات النظام التي لا تلمسها عادةً.
لا يساورنا شك في أن المتعاقدين العسكريين الأمريكيين الذين تم اختراقهم كانوا ضحايا للسيناريو الذي رسمناه. يمكن العثور هنا على سرد أكثر تفصيلاً للهجوم الفعلي للجيش الصيني . يتبع هذا السيناريو تقريبًا استنادًا إلى بيانات DBIR ولكن لديه بعض الاختلافات المثيرة للاهتمام.
نصيحتنا للشركات التي تتعامل مع هذه الأنواع من الهجمات؟ حافظ على هدوئك واستمر في التركيز وركز على أساليب منع الاختراق والتخفيف من حدتها - راجع DBIR 2013 لمزيد من الأفكار - كنت تنوي دائمًا استخدامها ضد لصوص الإنترنت العاديين.
ما الذي يُصنف على أنه قرصنة حكومية؟
ما الذي يُصنف على أنه قرصنة حكومية؟
تتمثل إحدى الصعوبات الرئيسية التي تواجهها المنظمات عندما يتعلق الأمر بالقرصنة الحكومية في معرفة ما إذا كان هجوم معين قد نشأ من قبل حكومة دولة اخرى.
يُعرف تتبع مصدر الهجوم بهذه الطريقة باسم الإسناد "attribution" ، وهو أمر صعب للغاية. تتفاقم الصعوبة أيضًا بسبب حقيقة أن العديد من الهكر الحكوميين سيحاولون تزيييف هجماتهم لتبدو مثل تلك التي أطلقها قراصنة مستقلون، وحقيقة أن العديد من الحكومات (بما في ذلك روسيا) تستخدم مجموعات قرصنة خارجية من أجل الحفاظ على الانكار و التكذيب.
أصبح هذا يُعرف بمشكلة الاسناد "attribution problem". يبدو أن معرفة من أطلق هجومًا بسيطًا بما يكفي ، ولكن المفهوم الأساسي في الأمن السيبراني والتحقيق الجنائي الرقمي هو حقيقة صعب للغاية.
في بعض الأحيان بعد هجوم إلكتروني تحديد الجاني بشكل نهائي. يمتلك الهاكرز الكثير من الأدوات التقنية تحت تصرفهم لاخفاء اثار الاختراق وازالة الادلة. وحتى عندما يكتشف المحللون أي جهاز كمبيوتر يستخدمه الهكر ، فإن الانتقال من هناك إلى من استخدمه أمر صعب للغاية.
عندما ألقت إدارة أوباما باللوم على اختراق شركة Sony Pictures في كوريا الشمالية ، على سبيل المثال ، وافق الكثير من مجتمع الأمن على الإجماع ، ولكن كان هناك أيضًا بعض الشكوك البارزة.
يرجع جزء من هذا إلى أن أوباما لم يفصح عن أن الولايات المتحدة لديها القدرة المباشرة للتجسس على نشاط الإنترنت في كوريا الشمالية قبل وأثناء الهجوم على شركة Sony.
تم نشر هذه التفاصيل لاحقًا في صحيفة نيويورك تايمز. لكن الوصول غير المتسق إلى الأدلة الكاملة يمكن أن يجعل من الصعب على الأفراد وشركات الأمن المدنية فحص إسناد الحكومة.
ومع ذلك ، هناك بعض المنظمات التي يمكنها مساعدتك في إجراء تحليل الإسناد. أحد هؤلاء هو فريق الممارسات المتقدمة في FireEye ، والذي يستخدم أساليب القبعة البيضاء للتحقيق في مصدر الهجمات وإعلامك بما إذا كنت مستهدفًا من قبل الحكومة.
يُعرف تتبع مصدر الهجوم بهذه الطريقة باسم الإسناد "attribution" ، وهو أمر صعب للغاية. تتفاقم الصعوبة أيضًا بسبب حقيقة أن العديد من الهكر الحكوميين سيحاولون تزيييف هجماتهم لتبدو مثل تلك التي أطلقها قراصنة مستقلون، وحقيقة أن العديد من الحكومات (بما في ذلك روسيا) تستخدم مجموعات قرصنة خارجية من أجل الحفاظ على الانكار و التكذيب.
أصبح هذا يُعرف بمشكلة الاسناد "attribution problem". يبدو أن معرفة من أطلق هجومًا بسيطًا بما يكفي ، ولكن المفهوم الأساسي في الأمن السيبراني والتحقيق الجنائي الرقمي هو حقيقة صعب للغاية.
في بعض الأحيان بعد هجوم إلكتروني تحديد الجاني بشكل نهائي. يمتلك الهاكرز الكثير من الأدوات التقنية تحت تصرفهم لاخفاء اثار الاختراق وازالة الادلة. وحتى عندما يكتشف المحللون أي جهاز كمبيوتر يستخدمه الهكر ، فإن الانتقال من هناك إلى من استخدمه أمر صعب للغاية.
عندما ألقت إدارة أوباما باللوم على اختراق شركة Sony Pictures في كوريا الشمالية ، على سبيل المثال ، وافق الكثير من مجتمع الأمن على الإجماع ، ولكن كان هناك أيضًا بعض الشكوك البارزة.
يرجع جزء من هذا إلى أن أوباما لم يفصح عن أن الولايات المتحدة لديها القدرة المباشرة للتجسس على نشاط الإنترنت في كوريا الشمالية قبل وأثناء الهجوم على شركة Sony.
تم نشر هذه التفاصيل لاحقًا في صحيفة نيويورك تايمز. لكن الوصول غير المتسق إلى الأدلة الكاملة يمكن أن يجعل من الصعب على الأفراد وشركات الأمن المدنية فحص إسناد الحكومة.
ومع ذلك ، هناك بعض المنظمات التي يمكنها مساعدتك في إجراء تحليل الإسناد. أحد هؤلاء هو فريق الممارسات المتقدمة في FireEye ، والذي يستخدم أساليب القبعة البيضاء للتحقيق في مصدر الهجمات وإعلامك بما إذا كنت مستهدفًا من قبل الحكومة.
ما هي المخاطر الأمنية للقرصنة الحكومية؟
ما هي المخاطر الأمنية للقرصنة الحكومية؟
إذا كنت تعمل كجزء من فريق أمني في مؤسسة تجارية ، فقد يبدو أن عالم التجسس الدولي سيكون مصدر قلق بسيط. وهذا بالتأكيد ليست القضية.
لا ينبغي الاستخفاف بمواطن الضعف السيبراني من أي نوع، سواء لأغراض إنفاذ القانون أو الاختبارات الأمنية أو أي غرض آخر. من منظور تقني ، يعتبر اختراق المعلومات أو الاتصالات أو موارد التكنولوجيا (ICT) دون موافقة المستخدم / المالك دائمًا هجومًا ، بغض النظر عن دوافعه.
يمكن أن تتسبب الهجمات في إتلاف جهاز أو نظام أو تدفق اتصالات نشط أو تركها في حالة أقل أمانًا. هذا يزيد بشكل كبير من مخاطر الخروقات المستقبلية ، مما قد يتسبب في إلحاق الضرر بجميع مستخدمي النظام.
وبشكل أكثر تحديدًا ، هناك العديد من مخاطر القرصنة الحكومية ، وهذه تنطبق حتى على المؤسسات التجارية:
يمكن سرقة الاستغلال أو تسريبها أو تكرارها . حتى الكيانات الحكومية التي تتمتع بأعلى مستويات الأمان تم اختراقها. على سبيل المثال ، قامت مجموعة The Shadow Brokers باختراق وكالة الأمن القومي الأمريكية وكشفت علنًا عن استغلال خطير لثغرة EternalBlue، وتم اختراق شركة الأمن الإيطالية Hacking Team في عام 2015 .
يمكن للمجرمين أو الجهات الفاعلة في الدولة إعادة تصميم أي استغلال ، بغض النظر عن أصله ، لمهاجمة المستخدمين الأبرياء. و انتزاع الفدية Petya/NotPetya ransomware (المبني على أساس استغلال ثغرة EternalBlue المسربة) تسبب في عواقب على واقع الحياة مثل التأخير في العلاج الطبي، ووقف العمليات المصرفية، وتعطيل خدمات الموانئ.
لا تبيع فرق القرصنة التجارية خدماتها إلى "الأخيار" فقط . في عام 2019 ، اكتشف باحثون أمنيون أن البرنامج من NSO Group ، وهي شركة استخبارات إلكترونية إسرائيلية تستخدمها العديد من الوكالات الحكومية ، قد تم استخدامه لاختراق حسابات WhatsApp سرا للصحفيين والنشطاء لمراقبة اتصالاتهم.
يمكن أن يتحول هدف واحد إلى العديد . بينما يُقصد من القرصنة الحكومية بشكل مثالي ، حسب التصميم ، أن تكون مستهدفة وجراحية ، يمكن أيضًا استخدام تقنيات القرصنة والاستغلال ، حتى لو كانت مخصصة لهدف واحد فقط ، ضد عدد كبير ومتنوع من الأجهزة أو البرامج.
بالإضافة إلى ذلك ، يمكن أن تستخدم البلدان أيضًا برمجيات إكسبلويت لأغراض أخرى ، ولا سيما للانخراط في هجمات إلكترونية أو حرب إلكترونية من قبل مختلف الجهات الفاعلة المتقدمة للتهديد المستمر (APTs) والتي غالبًا ما تكون متحالفة مع الدولة.
ربما يكون أشهر مثال على APT هو فيروس Stuxnet الذي ذكرناه أعلاه: على الرغم من أن هذا الفيروس قد تم تصميمه لتدمير أجهزة الطرد المركزي النووية الإيرانية ، إلا أنه انتشر في جميع أنحاء العالم (بما يتجاوز الهدف المقصود) مما أثر على ملايين الأنظمة الأخرى.
يتم اكتشاف نقاط الضعف في أنظمة الكمبيوتر من قبل المهاجمين طوال الوقت . الحفاظ على سر الضعف (لاستغلاله لاحقًا) لن يمنع اكتشافه من قبل الآخرين. على سبيل المثال ، بالنسبة لنظام التشغيل Android ، يصل معدل إعادة اكتشاف نقاط الضعف الشديدة والحرجة إلى 23٪ في غضون عام .
عبور الاختصاصات . هناك أيضًا خطر التسلل أو التلاعب عن غير قصد بشبكات أو أنظمة دولة أجنبية - وهو فعل يمكن اعتباره هجومًا على الدولة أو مصالحها أو مواطنيها ، مع ما يرتبط به من عواقب سياسية واقتصادية وعواقب محتملة للهجمات الإلكترونية . وقد يشجع أيضًا بعض البلدان على اتباع نهج الإنترنت السيادي.
لا ينبغي الاستخفاف بمواطن الضعف السيبراني من أي نوع، سواء لأغراض إنفاذ القانون أو الاختبارات الأمنية أو أي غرض آخر. من منظور تقني ، يعتبر اختراق المعلومات أو الاتصالات أو موارد التكنولوجيا (ICT) دون موافقة المستخدم / المالك دائمًا هجومًا ، بغض النظر عن دوافعه.
يمكن أن تتسبب الهجمات في إتلاف جهاز أو نظام أو تدفق اتصالات نشط أو تركها في حالة أقل أمانًا. هذا يزيد بشكل كبير من مخاطر الخروقات المستقبلية ، مما قد يتسبب في إلحاق الضرر بجميع مستخدمي النظام.
وبشكل أكثر تحديدًا ، هناك العديد من مخاطر القرصنة الحكومية ، وهذه تنطبق حتى على المؤسسات التجارية:
يمكن سرقة الاستغلال أو تسريبها أو تكرارها . حتى الكيانات الحكومية التي تتمتع بأعلى مستويات الأمان تم اختراقها. على سبيل المثال ، قامت مجموعة The Shadow Brokers باختراق وكالة الأمن القومي الأمريكية وكشفت علنًا عن استغلال خطير لثغرة EternalBlue، وتم اختراق شركة الأمن الإيطالية Hacking Team في عام 2015 .
يمكن للمجرمين أو الجهات الفاعلة في الدولة إعادة تصميم أي استغلال ، بغض النظر عن أصله ، لمهاجمة المستخدمين الأبرياء. و انتزاع الفدية Petya/NotPetya ransomware (المبني على أساس استغلال ثغرة EternalBlue المسربة) تسبب في عواقب على واقع الحياة مثل التأخير في العلاج الطبي، ووقف العمليات المصرفية، وتعطيل خدمات الموانئ.
لا تبيع فرق القرصنة التجارية خدماتها إلى "الأخيار" فقط . في عام 2019 ، اكتشف باحثون أمنيون أن البرنامج من NSO Group ، وهي شركة استخبارات إلكترونية إسرائيلية تستخدمها العديد من الوكالات الحكومية ، قد تم استخدامه لاختراق حسابات WhatsApp سرا للصحفيين والنشطاء لمراقبة اتصالاتهم.
يمكن أن يتحول هدف واحد إلى العديد . بينما يُقصد من القرصنة الحكومية بشكل مثالي ، حسب التصميم ، أن تكون مستهدفة وجراحية ، يمكن أيضًا استخدام تقنيات القرصنة والاستغلال ، حتى لو كانت مخصصة لهدف واحد فقط ، ضد عدد كبير ومتنوع من الأجهزة أو البرامج.
بالإضافة إلى ذلك ، يمكن أن تستخدم البلدان أيضًا برمجيات إكسبلويت لأغراض أخرى ، ولا سيما للانخراط في هجمات إلكترونية أو حرب إلكترونية من قبل مختلف الجهات الفاعلة المتقدمة للتهديد المستمر (APTs) والتي غالبًا ما تكون متحالفة مع الدولة.
ربما يكون أشهر مثال على APT هو فيروس Stuxnet الذي ذكرناه أعلاه: على الرغم من أن هذا الفيروس قد تم تصميمه لتدمير أجهزة الطرد المركزي النووية الإيرانية ، إلا أنه انتشر في جميع أنحاء العالم (بما يتجاوز الهدف المقصود) مما أثر على ملايين الأنظمة الأخرى.
يتم اكتشاف نقاط الضعف في أنظمة الكمبيوتر من قبل المهاجمين طوال الوقت . الحفاظ على سر الضعف (لاستغلاله لاحقًا) لن يمنع اكتشافه من قبل الآخرين. على سبيل المثال ، بالنسبة لنظام التشغيل Android ، يصل معدل إعادة اكتشاف نقاط الضعف الشديدة والحرجة إلى 23٪ في غضون عام .
عبور الاختصاصات . هناك أيضًا خطر التسلل أو التلاعب عن غير قصد بشبكات أو أنظمة دولة أجنبية - وهو فعل يمكن اعتباره هجومًا على الدولة أو مصالحها أو مواطنيها ، مع ما يرتبط به من عواقب سياسية واقتصادية وعواقب محتملة للهجمات الإلكترونية . وقد يشجع أيضًا بعض البلدان على اتباع نهج الإنترنت السيادي.
ما الذي تفعله الحكومات لمنع القرصنة؟
ما الذي تفعله الحكومات لمنع القرصنة؟
في الولايات المتحدة ، يتوفر دعم حكومي لمساعدتك في التعرف على نفسك والدفاع عنها ضد القرصنة الحكومية. الوكالة المركزية المكلفة بهذه المهمة هي CISA ، وهي جزء من وزارة الأمن الداخلي الأمريكية. تصدر هذه الوكالة بشكل متكرر تنبيهات توضح بالتفصيل مشكلات الأمان الحالية ونقاط الضعف والاستغلال. يمكنك التسجيل لتلقي هذه التنبيهات الفنية في صندوق الوارد الخاص بك.
يتم تقديم تقارير CISA على مستويات مختلفة من التقنية:
يتم تقديم تقارير CISA على مستويات مختلفة من التقنية:
- النشاط الحالي يوفر معلومات محدثة حول أنواع النشاط الأمني عالية التأثير التي تؤثر على المجتمع ككل.
- التنبيهات توفر معلومات في الوقت المناسب حول مشكلات الأمان الحالية ونقاط الضعف والاستغلال.
- النشرات تقديم ملخصات أسبوعية عن نقاط الضعف الجديدة. يتم توفير معلومات التصحيح عند توفرها.
- تقارير التحليل توفر تحليلًا متعمقًا للتهديد السيبراني الجديد أو المتطور.
في حين أن هذا الدعم مفيد بالتأكيد ، يجب ألا تعتمد عليه لمنع جميع أنواع الهجمات. على وجه التحديد ، لا يمكن لـ CISA مساعدتك في تجنب التهديدات الداخلية ، وعادة ما يكون هناك تأخير بين اكتشاف التهديد ويصبح موضوع تنبيه. لهذا السبب ، ما زلت بحاجة إلى أداء نموذج التهديد الخاص بك ، والعامل في احتمالية الهجمات التي ترعاها الحكومة في ذلك.
3 حالات نموذجية للقرصنة الحكومية
3 حالات نموذجية للقرصنة الحكومية
على مدى السنوات القليلة الماضية ، تحولت الحكومة بشكل متزايد إلى الاختراق كأسلوب للتحقيق. على وجه التحديد ، بدأ مكتب التحقيقات الفيدرالي ("FBI") في نشر البرامج الضارة: وهي برامج مصممة للتسلل والتحكم في استخدام الكمبيوتر ونشاطه أو تعطيله أو فحصه.
وقد أدى هذا النهج إلى اضطرار الحكومة إلى الدفاع عن أنشطتها ضد اتهامات بأنها تجاوزت سلطتها. لا تزال شرعية هذه التقنيات منطقة رمادية ، ولكن فيما يلي القرارات الرئيسية من الحالات الحديثة:
الولايات المتحدة ضد فيلدمان
محكمة الولايات المتحدة للمنطقة الشرقية من ويسكونسن ؛ 19 يناير 2015 ؛ القضية رقم 13-CR-155 (ED Wis. 19 يناير 2015)
اتهمت الحكومة المتهم جيفري فيلدمان بتلقي وحيازة مواد إباحية عن الأطفال. قدّم المدعى عليه طلبات لإجبارهم على اكتشاف برنامج الكمبيوتر ("RoundUp") الذي تستخدمه جهات إنفاذ القانون للكشف في البداية عن وجود مزعوم للمواد الإباحية للأطفال على جهاز الكمبيوتر الخاص به ، ولقمع الأدلة التي تم جمعها بموجب أمر تفتيش تم الحصول عليه لاحقًا ، بحجة أن المذكرة فشل التطبيق في إثبات السبب المحتمل وأن الشريك قد ضلل القاضي المُصدر.
وجد القاضي في هذه القضية نقصًا في الأهمية المادية حيث تم اتهام المدعى عليه بتلقي وحيازة مواد إباحية للأطفال بناءً على تفتيش جهاز الكمبيوتر الخاص به وليس استخدام برامج الحكومة.
الولايات المتحدة ضد بول
محكمة الولايات المتحدة للمنطقة الشمالية من القسم الشرقي لإلينوا ؛ 6 ديسمبر 2016 ؛ رقم 11-cr-580-2 (6 ديسمبر 2016)
في 23 أبريل / نيسان 2009 ، وقع المدعى عليه خطاب عرض وبدأ التعاون مع تحقيق الحكومة ، وقدم معلومات تتعلق بكل من دوره وأدوار الآخرين في ممارسات الفوترة الاحتيالية في عيادات العلاج بتقويم العمود الفقري.
ومع ذلك ، قبل الحكم عليه ، قدم المدعى عليه ، في 5 مايو 2015 ، طلبًا لسحب اعترافه بالذنب ورفض لائحة الاتهام ضده. وبقدر ما زعمت الدعوى أن المدعى عليه حصل على حصانة أو تأجيل المحاكمة من الحكومة ولم يكن يجب توجيه الاتهام إليه ، لأن أساليب التحقيق المستخدمة في القضية كانت غير قانونية. ومع ذلك ، رفضت المحكمة طلب المدعى عليه بسحب إقراره بالذنب.
الولايات المتحدة ضد ميشود
محكمة الولايات المتحدة للمنطقة الغربية من واشنطن في تاكوما ؛ 28 يناير 2016 ؛ القضية رقم. 3: 15-cr-05351-RJB (WD Wash. 28 يناير 2016)
السيد جاي ميشود ، مقيم في فانكوفر ، واشنطن ، اتُهم باستلام وحيازة مواد إباحية للأطفال. تنبع التهم الموجهة إلى السيد ميشود من نشاط السيد ميشود المزعوم على "موقع الويب أ" ، وهو موقع ويب ، وفقًا لمكتب التحقيقات الفيدرالي ، مخصص للإعلان عن المواد الإباحية للأطفال وتوزيعها. تم إنشاء موقع الويب أ في أغسطس من عام 2014 ، وبحلول الوقت الذي أغلق فيه مكتب التحقيقات الفيدرالي الموقع ، في 4 مارس 2015 ، كان لدى الموقع أ أكثر من 200000 حساب عضو مسجل و 1500 زائر يوميًا ، مما يجعله "أكبر محتوى إباحي معروف للأطفال مخفي الخدمة في العالم ".
كجزء من التحقيق في القضية ، اخترق مكتب التحقيقات الفيدرالي هذا الموقع وسيطر عليه. أثناء التحكم في موقع الويب (أ) ، سعى مكتب التحقيقات الفيدرالي (FBI) إلى تحديد أجهزة الكمبيوتر المحددة ، وفي النهاية الأفراد ، الذين يصلون إلى الموقع ، من خلال نشر تقنية تحقيق في الشبكة ("NIT") التي "تسبب (د) جهاز كمبيوتر نشط - أينما كان - لإرساله إلى جهاز كمبيوتر تسيطر عليه الحكومة أو يعرفها ، رسائل على مستوى الشبكة تحتوي على معلومات قد تساعد في تحديد الكمبيوتر وموقعه و معلومات أخرى "
ومع ذلك ، في أعقاب شكوى من المدعى عليه ، وجد القاضي أن الطريقة التي تم بها إجراء هذا التحقيق "لم تعالج بشكل مباشر نوع الموقف الذي تم تفويض أمر NIT بالتحقيق فيه" ، وتم إلغاء القضية.
وقد أدى هذا النهج إلى اضطرار الحكومة إلى الدفاع عن أنشطتها ضد اتهامات بأنها تجاوزت سلطتها. لا تزال شرعية هذه التقنيات منطقة رمادية ، ولكن فيما يلي القرارات الرئيسية من الحالات الحديثة:
الولايات المتحدة ضد فيلدمان
محكمة الولايات المتحدة للمنطقة الشرقية من ويسكونسن ؛ 19 يناير 2015 ؛ القضية رقم 13-CR-155 (ED Wis. 19 يناير 2015)
اتهمت الحكومة المتهم جيفري فيلدمان بتلقي وحيازة مواد إباحية عن الأطفال. قدّم المدعى عليه طلبات لإجبارهم على اكتشاف برنامج الكمبيوتر ("RoundUp") الذي تستخدمه جهات إنفاذ القانون للكشف في البداية عن وجود مزعوم للمواد الإباحية للأطفال على جهاز الكمبيوتر الخاص به ، ولقمع الأدلة التي تم جمعها بموجب أمر تفتيش تم الحصول عليه لاحقًا ، بحجة أن المذكرة فشل التطبيق في إثبات السبب المحتمل وأن الشريك قد ضلل القاضي المُصدر.
وجد القاضي في هذه القضية نقصًا في الأهمية المادية حيث تم اتهام المدعى عليه بتلقي وحيازة مواد إباحية للأطفال بناءً على تفتيش جهاز الكمبيوتر الخاص به وليس استخدام برامج الحكومة.
الولايات المتحدة ضد بول
محكمة الولايات المتحدة للمنطقة الشمالية من القسم الشرقي لإلينوا ؛ 6 ديسمبر 2016 ؛ رقم 11-cr-580-2 (6 ديسمبر 2016)
في 23 أبريل / نيسان 2009 ، وقع المدعى عليه خطاب عرض وبدأ التعاون مع تحقيق الحكومة ، وقدم معلومات تتعلق بكل من دوره وأدوار الآخرين في ممارسات الفوترة الاحتيالية في عيادات العلاج بتقويم العمود الفقري.
ومع ذلك ، قبل الحكم عليه ، قدم المدعى عليه ، في 5 مايو 2015 ، طلبًا لسحب اعترافه بالذنب ورفض لائحة الاتهام ضده. وبقدر ما زعمت الدعوى أن المدعى عليه حصل على حصانة أو تأجيل المحاكمة من الحكومة ولم يكن يجب توجيه الاتهام إليه ، لأن أساليب التحقيق المستخدمة في القضية كانت غير قانونية. ومع ذلك ، رفضت المحكمة طلب المدعى عليه بسحب إقراره بالذنب.
الولايات المتحدة ضد ميشود
محكمة الولايات المتحدة للمنطقة الغربية من واشنطن في تاكوما ؛ 28 يناير 2016 ؛ القضية رقم. 3: 15-cr-05351-RJB (WD Wash. 28 يناير 2016)
السيد جاي ميشود ، مقيم في فانكوفر ، واشنطن ، اتُهم باستلام وحيازة مواد إباحية للأطفال. تنبع التهم الموجهة إلى السيد ميشود من نشاط السيد ميشود المزعوم على "موقع الويب أ" ، وهو موقع ويب ، وفقًا لمكتب التحقيقات الفيدرالي ، مخصص للإعلان عن المواد الإباحية للأطفال وتوزيعها. تم إنشاء موقع الويب أ في أغسطس من عام 2014 ، وبحلول الوقت الذي أغلق فيه مكتب التحقيقات الفيدرالي الموقع ، في 4 مارس 2015 ، كان لدى الموقع أ أكثر من 200000 حساب عضو مسجل و 1500 زائر يوميًا ، مما يجعله "أكبر محتوى إباحي معروف للأطفال مخفي الخدمة في العالم ".
كجزء من التحقيق في القضية ، اخترق مكتب التحقيقات الفيدرالي هذا الموقع وسيطر عليه. أثناء التحكم في موقع الويب (أ) ، سعى مكتب التحقيقات الفيدرالي (FBI) إلى تحديد أجهزة الكمبيوتر المحددة ، وفي النهاية الأفراد ، الذين يصلون إلى الموقع ، من خلال نشر تقنية تحقيق في الشبكة ("NIT") التي "تسبب (د) جهاز كمبيوتر نشط - أينما كان - لإرساله إلى جهاز كمبيوتر تسيطر عليه الحكومة أو يعرفها ، رسائل على مستوى الشبكة تحتوي على معلومات قد تساعد في تحديد الكمبيوتر وموقعه و معلومات أخرى "
ومع ذلك ، في أعقاب شكوى من المدعى عليه ، وجد القاضي أن الطريقة التي تم بها إجراء هذا التحقيق "لم تعالج بشكل مباشر نوع الموقف الذي تم تفويض أمر NIT بالتحقيق فيه" ، وتم إلغاء القضية.
تعرف على خصمك
تعرف على خصمك
أي دفاع ناجح يبدأ بالبحث. يجب أن يأخذ جميع موظفي الأمن السيبراني في جميع المنظمات الوقت الكافي للتعرف على أكثر الجهات الفاعلة نشاطاً التي ترعاها الدولة.
يجب أن تولي اهتمامًا خاصًا للجهات الفاعلة المعروف عنها أنها سرقت البيانات بنجاح ، والمعروف عنها أنها مدعومة من قبل الدول. وتشمل هذه Charming Kitten و Fancy Bear.
Fancy Bear (Russia), Deep Panda (China) and Charming Kitten (Iran) (Source: CrowdStrike)
Crouching Yeti (Russia), Epic Turla (Russia), Darkhotel (Unknown) (Source: Kaspersky)
هناك الكثير من الموارد المتاحة لمساعدتك في هذا الصدد. تنشر وزارة الأمن الداخلي في الولايات المتحدة الأمريكية بشكل متكرر تحليلات لأكثر مجموعات القرصنة نشاطًا. تنتج SBS أيضًا ملفات تعريف عن أخطر الجهات التي ترعاها الدولة ، وهو مكان رائع لبدء تقييم ملف تعريف المخاطر الخاص بك.
يجب عليك أيضًا الاشتراك في موجز معلومات التهديدات حتى تعرف (وبرنامج الأمان الخاص بك) المجالات والخوادم وسلالات البرامج الضارة التي يتم نشرها بنشاط. يجب بعد ذلك دمج هذه المعلومات الاستخبارية في نظام اكتشاف التهديدات لديك.
يجب أن تولي اهتمامًا خاصًا للجهات الفاعلة المعروف عنها أنها سرقت البيانات بنجاح ، والمعروف عنها أنها مدعومة من قبل الدول. وتشمل هذه Charming Kitten و Fancy Bear.
نرجو منك
تسجيل الدخول
او
تسجيل
لتتمكن من رؤية الرابط
Fancy Bear (Russia), Deep Panda (China) and Charming Kitten (Iran) (Source: CrowdStrike)
نرجو منك
تسجيل الدخول
او
تسجيل
لتتمكن من رؤية الرابط
Crouching Yeti (Russia), Epic Turla (Russia), Darkhotel (Unknown) (Source: Kaspersky)
هناك الكثير من الموارد المتاحة لمساعدتك في هذا الصدد. تنشر وزارة الأمن الداخلي في الولايات المتحدة الأمريكية بشكل متكرر تحليلات لأكثر مجموعات القرصنة نشاطًا. تنتج SBS أيضًا ملفات تعريف عن أخطر الجهات التي ترعاها الدولة ، وهو مكان رائع لبدء تقييم ملف تعريف المخاطر الخاص بك.
يجب عليك أيضًا الاشتراك في موجز معلومات التهديدات حتى تعرف (وبرنامج الأمان الخاص بك) المجالات والخوادم وسلالات البرامج الضارة التي يتم نشرها بنشاط. يجب بعد ذلك دمج هذه المعلومات الاستخبارية في نظام اكتشاف التهديدات لديك.
ركز على بياناتك
ركز على بياناتك
معظم الجهات التي ترعاها الدولة تسعى وراء البيانات الهامة. خذ على سبيل المثال المحاولة الأخيرة التي قام بها الروس لسرقة أبحاث لقاح COVID-19. بينما لا يجب أن تتجاهل نقطة النهاية وإدارة الهوية ، يجب أن تدرك أن IP هو غالبًا الهدف الأكبر للمتسللين المدعومين من الحكومة.
تعني حماية بياناتك معرفة مكان وجود بياناتك المهمة ومن يمكنه الوصول إليها. كما يعني أيضًا أن تكون قادرًا على اكتشاف وقت حدوث شيء مريب. تم تصميم نظام DatAlert ليمنحك هذه القدرة على وجه التحديد.
تعني حماية بياناتك معرفة مكان وجود بياناتك المهمة ومن يمكنه الوصول إليها. كما يعني أيضًا أن تكون قادرًا على اكتشاف وقت حدوث شيء مريب. تم تصميم نظام DatAlert ليمنحك هذه القدرة على وجه التحديد.
قم بتمارين الفريق الأحمر
قم بتمارين الفريق الأحمر
كما أشرنا مؤخرًا ، يمكن أن تكون تمارين الفريق الاحمر Red Team في الأمن السيبراني طريقة فعالة جدًا لتحديد العيوب الأمنية في مؤسستك وإصلاحها.
في سياق القرصنة التي ترعاها الحكومة ، تقدم Red Teaming العديد من الفوائد عند استخدامها بالاقتران مع تقنيات تحليل التهديدات الأمنية - Threats of security الأخرى.
يمكن لـ Red Teaming:
في سياق القرصنة التي ترعاها الحكومة ، تقدم Red Teaming العديد من الفوائد عند استخدامها بالاقتران مع تقنيات تحليل التهديدات الأمنية - Threats of security الأخرى.
يمكن لـ Red Teaming:
- تحديد المخاطر وقابلية التعرض للهجوم ضد أصول معلومات الأعمال الرئيسية ؛
- محاكاة التقنيات والتكتيكات والإجراءات (TTP) للجهات الفاعلة في التهديد الحقيقي بطريقة إدارة المخاطر والسيطرة عليها ؛
- تقييم قدرة مؤسستك على اكتشاف التهديدات المعقدة والمستهدفة والرد عليها ومنعها ؛
- شجع المشاركة الوثيقة مع الاستجابة الداخلية للحوادث والفرق الزرقاء لاستخلاص المعلومات بعد التقييم.
كلمة أخيرة
كلمة أخيرة
قبل عقد من الزمن، كانت القرصنة الحكومية مصدر قلق كبير لمحللي الأمن السيبراني العاملين في الوكالات الحكومية. وفي السنوات الأخيرة ، أصبحت هذه الهجمات أكثر تكرارا وأكثر خطورة بكثير.
أيًا كان نوع المنظمة التي تعمل بها ، يجب أن تكون على دراية بالقرصنة الحكومية وكيفية حماية أنظمتك منها. بالإضافة إلى ذلك ، أصبحت المعرفة الشاملة بالقرصنة الحكومية الآن مهارة أساسية لأي شخص يتطلع إلى بناء مهنة في مجال الأمن السيبراني .
أيًا كان نوع المنظمة التي تعمل بها ، يجب أن تكون على دراية بالقرصنة الحكومية وكيفية حماية أنظمتك منها. بالإضافة إلى ذلك ، أصبحت المعرفة الشاملة بالقرصنة الحكومية الآن مهارة أساسية لأي شخص يتطلع إلى بناء مهنة في مجال الأمن السيبراني .