نشر خبراء الأمن الإلكتروني لدى شركة F5 نتوركس، الشركة الأمريكية المتخصصة في مجال خدمات وأمن التطبيقات، تقريرًا جديدًا يحدد سلسلة من الهجمات الإلكترونية التي استهدفت قمة سنغافورة بين الرئيسين الأميركي والكوري الشمالي في 11 و12 يونيو 2018.
ولم يعد خافياً على أحد أن روسيا قد أطلقت وابلاً من الهجمات الإلكترونية المنسقة ضد الولايات المتحدة الأمريكية، حيث تم فرض الكثير من العقوبات ضد مسؤولين ورجال أعمال روس منذ الانتخابات الرئاسية التي جرت في العام 2016.
وبعيداً عن العقوبات الرسمية، أصدر فريق الاستجابة الأمريكي لطوارئ أمن الحاسب تحذيراً في شهر أبريل فيما يخص جهود روسيا الحثيثة للنفاذ إلى أجهزة التوجيه “الراوترات” الخاصة بالمكاتب الصغيرة والمنازل، محذرة من عمليات تجسس واسعة النطاق.
وتحديداً، فإن 88 في المئة من حركة البيانات الخبيثة كان مصدرها روسيا واستهدفت الهواتف العاملة بتقنية نقل الصوت عبر بروتوكول الإنترنت “كتلك الموجودة لدى العديد من الفنادق” وأجهزة إنترنت الأشياء.
التفاصيل التقنية
تقف روسيا وراء 88 في المائة من الهجمات التي استهدفت قمة سنغافورة يوم 12 يونيو 2018، وشكلت الهجمات بشكل أساسي عمليات استطلاعية، تبحث عن أنظمة ضعيفة، صادرة من عنوان IP روسي واحد “188.246.234.60”، تلتها هجمات فعلية جاءت من كل من روسيا والبرازيل.
تمثل الهدف الرئيسي الذي تم مهاجمته في بروتوكول يعرف باسم SIP 5060، والذي تستخدمه هواتف بروتوكول الإنترنت IP لنقل الاتصالات على شكل نصوص واضحة، أما المنفذ الثاني الذي تم مهاجمته فتمثل في بروتوكول telnet المتسق مع الهجمات التي تستهدف أجهزة إنترنت الأشياء، وتضمنت المنافذ الأخرى التي تمت مهاجمتها منفذ 7457 وهو الهدف ذاته الذي استخدم برمجيات ميراي بوتنت وآني الخبيثة لاستهداف أجهزة التوجيه “الراوترات” المدارة ببروتوكول SIP.
حول الهجمات
SIP هو عبارة عن بروتوكول خاص بهواتف الإنترنت IP، ويعتبر منفذ 5060 المنفذ غير المشفر على هذه الأجهزة، ومن غير المعتاد أن يكون المنفذ 5060 المنفذ الأبرز المستهدف بالهجمات الخبيثة، وأفاد تقييم شركة F5 نتوركس إلى محاولة المهاجمين للنفاذ والوصول إلى الهواتف الآمنة أو ربما أجهزة السيرفر الخاصة بأجهزة نقل الصوت عبر الإنترنت VOIP.
بروتوكول telnet شكل منفذ الإدارة البعيد الأكثر استهدافا من قبل مهاجمي أجهزة إنترنت الأشياء، ورجحت شركة F5 نتوركس أن تكون الدوافع الأبرز المهاجمين هي البحث عن أجهزة إنترنت الأشياء التي يمكن السيطرة عليها والتي تتيح لهم إمكانية النفاذ للأهداف بهدف التجسس على الاتصالات وجمع البيانات.
يستخدم المنفذ 7457 من قبل الشركات المزودة لخدمات الإنترنت بهدف إدارة أجهزة التوجيه الخاصة بها عن بعد، وقد تم استهداف هذا البروتوكول بواسطة برمجيات ميراي وآني الخبيثة، حيث تسببت برمجية آني الخبيثة بخسائر قدرت بملايين الدولارات للشركات الأوروبية المزودة لخدمات الإنترنت في أواخر العام 2016.
النتيجة
ليس من الواضح فيما إذا كانت المهاجمون يستهدفون بروتوكول تهيئة الجلسة SIP، وليس هناك دليل على نجاح هجماتهم في تحقيق أهدافها، وسوف تستمر شركة F5 في مراقبة وتحليل هذه الهجمات ونشر معلومات عنها.
ولا تملك شركة F5 حاليًا دليلًا على أن جهات رسمية تقف وراء الهجمات، إلا أن من المعروف أن الحكومة الروسية تتعامل مع مجموعة من المتخصصين في الأمن الإلكتروني والهجمات الإلكترونية، وفيما يخص الجهود الهادفة إلى التخفيف من تهديدات هذا النوع من الهجمات، والتي تتمثل في هذه الحالة بأجهزة إنترنت الأشياء وقواعد البيانات المرتبطة مباشرة بالإنترنت، تنصح شركة F5 نتوركس بالتالي:
- 1- حماية الإدارة البعيدة لأي جهاز مرتبط بالشبكة بجدار ناري، أو بشبكة خاصة افتراضية، ولا تسمح أبداً بالتواصل والاستخدام المفتوح على كامل شبكة الإنترنت.
- 2- تغيير بيانات الإدارة القياسية التي يوفرها المزود الأصلي.
- 3- البقاء على اطلاع في حال وجود أي تحديثات أمنية من قبل المصنع.
