كشف فريق البحث والتحليل العالمي لكاسبرسكي (GreAT)، خلال القمة الاخيرة للتحيل الامني القمة الأخيرة للتحليل الأمني، عن تتمة التحقيق الذي أنجزه حول عملية التثليث الشهيرة (Triangulation). وقدم الفريق تفاصيل جديدة متعلقة بالثغرات الأمنية المكتشفة في أنظمة iOS والنواقص التي مكنت من إنجاز هذا الهجوم، مقدما تحليلا للشركة التي استهدَفت العموم ومستخدمي كاسبرسكي في وقت واحد.
في بداية الصيف، اكتشفت كاسبرسكي حملةَ “تهديدات متقدمة مستمرة (APT)” والتي استهدفت أجهزة iOS. استخدمت هذه الحملة التي أطلق عليها اسم “عملية التثليث (Triangulation)” طريقة معقدة لنشر برمجيات الاستغلال “صفر – نقرة” باستغلال تطبيق iMessage، وذلك بهدف تمكين المهاجم من فرض سيطرته الكاملة على الجهاز وبيانات المستخدم. واكتشف خبراء مركز كاسبرسكي للبحث والتحليل العالمي (GreAT) أن الهدف الرئيسي للعناصر الخبيثة يمكن أن يكون مراقبة المستخدمين بطريقة مُتَسَتِّرة، بما في ذلك العاملين لدى كاسبرسكي. ونظرا للدرجة العالية لتعقد الهجمة والطبيعة المغلقة لمنظومة iOS، عبأ فريق، تم تخصيصه لهذه المهمة، الكثير من الوقت والموارد لإنجاز تحليل تقني مفصل.
خلال قمة التحليل الأمني، كشف خبراء الشركة عن تفاصيل سلسلة الهجمة التي استفادت من وجود خمس ثغرات في منظومة iOS، من بينها أرع ثغرات “صفر – يوم” والتي لم تكن معروفة من قبل، وتم إصلاح هذه الثغرات بعدما عرضها خبراء كاسبرسكي على Apple.
حدد الباحثون نقطة ولوج أولى عبر ثغرة كانت موجودة في مكتبة معالجة خطوط أحرف الطباعة. ثم النقطة الثانية وهي عبارة عن ثغرة قوية جدا وسهلة الاستغلال في شيفرة خريطة الذاكرة. ومكنت هذه النقطة الثانية فاعلي التهديد من تسريع الذاكرة المادية للجهاز. من جانب آخر، استغلت الهجمات ثغرتين إضافيتين للالتفاف حول الوظائف الأمنية لمعالج Apple الأخير. كما اكتشف الباحثون كذلك أنه، بالإضافة إلى عدوى أجهزة Apple عن بعد عبر iMessage، بدون تدخل للمستعمل، استعمل المهاجمون أيضا منصة للقيام بهجمات عبر المتصفح web Safari. وهو ما قاد إلى اكتشاف وتصحيح ثغرة خامسة.
وقام فريق Apple رسميا بنشر تحيينات أمنية تضمنت تصحيح أربع ثغرات “صفر – يوم” التي تم اكتشافها من قبل باحثي كاسبرسكي (CVE-2023-32434 وCVE-2023-32435 وCVE-2023-38606 وCVE-2023-41990). وتوجد هذه الثغرات في مجموعة واسعة من منتجات Apple، ومنها على الخصوص iPhones وiPods وiPads و تجهيزات macOS وApple TV وApple Watch.
« تعمل الوظائف الأمنية المادية للأجهزة المجهزة برقائق Apple الحديثة على تعزيز مقاومتها للهجمات بشكل كبير. غير أنها ليست محمية بالكامل جراء ذلك. فعملية التثليث تذكرنا بضرورة الانتباه والحدر عندما نتعامل مع مرفقات iMessage الواردة من مصادر مجهولة. توفر لنا الاستراتيجيات المستخدمة في عملية التثليث مؤشرات مهمة، وتذكرنا بأن إيجاد التوازن بين الخصوصية والولوج إلى النظام يمكن أن تساهم في تحسين الأمن »، يقول بوريس لاغان، الباحث الرئيسي في الأمن لدى فريق كاسبرسكي للبحث والتحليل العالميGReAT.
إذا كانت توجد أطر عليا ومتوسطة في الشركة من ضمن الضحايا التابعين لكاسبرسكي، بالإضافة إلى باحثين مقيمين في روسيا وأوروبا ومنطقة الشرق الأوسط وشمال إفريقيا، فإن الشركة لم تكن وحدها المستهدفة بالهجمة.
بالموازاة مع إصدار التقرير وتنمية البرنامج المتخصص triangle_check، فإن خبراء فريق كاسبرسكي للبحث والتحليل العالميGReAT أحدثوا عنوانا إلكترونيا من أجل تمكين كل شخص مهتم من المساهمة في التحقيق. هكذا توصل الفريق إلى تأكيد وجود أشخاص آخرين وقعوا ضحية عملية التثليث وقاموا بتوزيد هؤلاء الضحايا بنصائح من أجل تعزيز آلياتهم الأمنية.
« تأمين الأنظمة المعلوماتية ضد الهجمات السيبرانية المتقدة ليس بالأمر السهل، ويعتبرالأمر أكثر صعوبة بالنسبة للأنظمة المغلقة مثل iOS. لذلك فمن الأهمية بمكان أن يتم اتخاذ تدابير أمنية متعددة المهام من أدل اكتشاف مثل هذه التهديدات والوقاية منها »، يقول إيغور كوزنيتسوف، مدير فريق كاسبرسكي للبحث والتحليل العالميGReAT.
لمعرفة المزيد حول عملية التثليث، تصفحوا Securelist. سيسلط كاسبرسكي قريبا الضوء على تفاصيل تقنية أخرى، عبر توفير الخلاصات المفصلة لدراسته على موقع Web.
لتفادي الوقوع ضحية هجوم مستهدف من قبل فاعل تهديد معروف أو غير معروف، يوصي الباحثون لدى كاسبرسكي باتخاذ التدابير التالية:
- التحيين المنتظم لنظام الاستغلال، وتطبيقاتكم وبرنامج مكافحة الفيروسات، حتى تتمكنوا من علاج الاختلالات المعروفة.
- خذوا حدركم من الرسائل الإلكترونية والرسائل النصية والمكالمات التي تطلب منكم الإدلاء ببيانات حساسة. تأكدوا من هوية المرسَل قبل الإدلاء بالبيانات الشخصية أو النقر على الروابط المشبوهة.
- مكنوا فريقكم في مركز العمليات الأمنية من آخر المعلومات المتوفرة حول تهديدات (تكنولوجيا المعلومات). بهذا الصدد تشكل بوابة استخبارات كاسبرسكي حول التهديدات نقطة ولوج فريدة للمعلومات حول التهديدات الموجهة للمقاولة، والتي توفر معطيات حول الهجمات السيبرانية إضافة إلى المعلومات التي تم تجميعها من قبل كاسبرسكي منذ أزيد من 20 عاما.
- طوروا كفاءات فريقكم المكلف بالأمن السيبراني ليتمكن من مواجهة آخر التهديدات التي تستهدفكم بفضل التكوين عن بعد الذي يوفره كاسبرسكي، والذي تم تطويره من قبل خبراء فريق البحث والتحليل العالمي (GreAT).
- للكشف على مستوى نقاط الوصول، والتحري والمعالجة السريعة للتعديدات، استعملوا حلول EDR من قبيل حل كاسبرسكي لتشخيص وحماية نقطة النهاية Kaspersky Endpoint Detection and Response.
