«مانديانت»: منتجات مايكروسوفت و آبل و جوجل أكثر الأهداف للهجمات الصفرية
حددت مانديانت، الشركة الرائدة في استقصاء التهديدات السيبرانية، 80 ثغرة من ثغرات “اليوم صفر” التي تم استغلالها بشكل واسع النطاق في عام 2021، وهو أكثر من ضعف الثغرات المكتشفة في عام 2019. فلا تزال مجموعات التهديد الفاعلة التي ترعاها دول هي الجهات الرئيسية التي تستغل هذا النوع من الثغرات و في مقدمتها جهات التهديد الصينية. حيث تم استهداف منتجات عمالقة التكنولوجيا مثل مايكروسوفت و أبل و غوغل بشكل متكرر نتيجة شعبية هذه المنتجات لدى جهات التهديد الفاعلة.
في حين يخلص جيمس سادوسكي، المحلل الرئيسي لدى “مانديانت” بعض الأفكار الرئيسية حول الهجمات الصفرية، كما يلي:
1- بلغ استغلال ثغرات الأيام الصفرية أعلى مستوى له على الإطلاق في عام 2021
زادت نسبة استغلال ثغرات “اليوم صفر” من عام 2012 حتى عام 2021، ونتوقع أن يستمر عدد أيام الصفر المستغلة سنوياً في النمو وذلك نتيجةً عدة عوامل تساهم في ازدياد عدد الثغرات المستغلة. على سبيل المثال، يؤدي التوجه المستمر نحو الخدمات المستضافة على السحابة و تقنيات الجوّال و أجهزة إنترنت الأشياء، إلى زيادة حجم وتعقيدات الأنظمة والأجهزة المتصلة بالإنترنت. وبالتالي استخدام المزيد من البرامج يؤدي إلى ظهور مزيد من العيوب فيها.
ناهيك أيضاً عن أن التوسع في سوق وسيط الاستغلال يساهم بشكل أو بأخر في النمو المستمر لهذه الهجمات، نتيجة تحويل مزيد من الموارد نحو البحث والتطوير في معرفة ثغرات الأيام الصفرية من قبل الشركات الخاصة والباحثين وكذلك مجموعات التهديد الفاعلة. بالإضافة إلى ما سبق، تسهم الدفاعات الأمنية المحسنة للشركات في اكتشاف المزيد من ثغرات “اليوم صفر” مقارنةً بالسنوات السابقة، وعلى جانب أخر شددت العديد من المنظمات والمؤسسات من البروتوكولات الأمنية المتبعة بهدف الحد من عمليات الاختراقات وتحديد نواقل الهجوم أو الثغرات المستغلة في هذه الهجمات.
2- مجموعات التجسس تهيمن على مشهد استغلال ثغرات اليوم صفر، إلى جانب زيادة ملحوظة من جهات التهديد ذات الدوافع المالية أيضاً
لا تزال مجموعات التجسس السيبرانية هي الجهات الرئيسية التي تستغل ثغرات اليوم صفر، على الرغم من تزايد نسبة الجهات الفاعلة ذات الدوافع المالية التي تستغل هذه الثغرات أيضاً. ففي الفترة بين عامي 2014 وَ 2018، لاحظت “مانديانت” أن نسبة صغيرة فقط من الجهات الفاعلة ذات الدوافع المالية تستغل ثغرات “اليوم صفر”، ولكن بحلول عام 2021، كان ما يقرب ثلث جهات التهديد الفاعلة ذات الدوافع مالية استغلت هذه الثغرات لتنفيذ هجماتها. كما لاحظنا أيضاً ظهور جهات تهديد فاعلة جديدة تستغل ثغرات “اليوم صفر”، ولكن لا نملك معلومات كافية حول الدوافع وراء هذه الجهات.
3- مجموعات التجسس الصينية هي أكثر جهات التهديد استغلالاً لثغرات اليوم صفر
حدد مانديانت أكبر كمية من ثغرات “اليوم صفر” التي استغلت من قبل مجموعات التجسس الصينية في عام 2021. في حين استغلت مجموعات التجسس في كل من روسيا وكوريا الشمالية عدد ثغرات أقل في نفس العام. ففي الفترة بين عامي 2012 و 2021، كانت الصين أكثر الدول التي استغلت ثغرات “اليوم صفر” لتنفيذ حملاتها التجسسية ضد الدول التي تعادي مصالحها. وفي الفترة نفسها لاحظنا زيادة في عدد الدول التي من المتحمل أن تستغل هذه الثغرات لتنفيذ طموحاتها السيبرانية، حيث كان هناك لا يقل عن عشرة دول منذ عام 2012 تستغل هذه الثغرات.
4- ثغرات اليوم صفر مرتبطة بهجمات برامج الفدية
منذ عام 2015، لاحظنا انخفاضاً حاداً في ثغرات “اليوم صفر” الموجودة في برمجيات مجموعات التهديد الإجرامية، ويعذو ذلك إلى عدة عوامل أهمها اعتقال مطوري برمجيات الاستغلال البارزين. ورغم ذلك، لاحظنا ارتفاعاً نسبياً في عدد هجمات برامج الفدية التي تستغل ثغرات “اليوم صفر” منذ عام 2019. يشير هذا التوجه إلى أن مجموعات برامج الفدية المعقدة قد بدأت بالفعل في تجنيد أو شراء التقنيات و المهارات المطلوبة لاستغلال ثغرات “اليوم صفر” التي تم تطويرها سابقاً لصالح مجموعات تهديد أخرى.
5- الشركات التكنولوجيا الرائدة هي أكثر الأهداف شيوعًا للهجمات الصفرية
في عام 2021 حللت “مانديانت” عمليات استغلال ثغرات “اليوم صفر” الموجودة ضمن منتجات وأنظمة 12 مورد وشركة من شركات التكنولوجيا العالمية، ولاحظت الشركة أن الثغرات الموجودة في منتجات كل من مايكروسوفت و آبل و جوجل تشكل نحو 75% من إجمالي ثغرات “اليوم صفر” المكتشفة. يعود ذلك على الأرجح نتيجةً للانتشار الكبير لهذه المنتجات واعتمادها لدى شريحة واسعة من المستخدمين في جميع أنحاء العالم. وبالتالي فإن عامل التهديد المرافق لاستغلال هذه الثغرات يُعد أمراً خطيراً نتيجة للضرر التي قد يحدثه هذا الأمر. كما شهدنا تنوعاً متزايداً في عمليات استهداف اللاعبين الرئيسي مما يعقد عملية تحديد أولويات التصحيح ويجعلها أكثر صعوبة بالنسبة للمؤسسات التي لا تعتمد على مورد أو موردين لاختيار منتجاتها.
وتلخيصاً لما سبق، أصبحت هجمات “اليوم صفر” متاحة بشكل كبير لمجموعة واسعة من جهات التهديد التي ترعاها دول إلى جانب جهات التهديد ذات الدوافع المالية، ويعذو ذلك للانتشار الكبير للموردين الذي يبيعون عمليات استغلال الثغرات وبرامج الفدية المعقدة بهدف تطوير عمليات استغلال مخصصة لكل شركة على حدة.
مع التوسع المستمر لهذه الثغرات، تواصل الجهات الخبيثة أيضاً الاستفادة من نقاط الضعف المعروفة داخل الأنظمة والتي يتم استغلالها مباشرةً بعد الكشف عنها. لذلك، يمكن تحسين الأمان من خلال الاستمرار في دمج الدروس والعبر من عمليات الاستهداف السابقة التي تم التحقيق فيها وفهم الفترة الزمنية القياسية بين عملتي كشف الثغرة واستغلالها.
علاوةً على ذلك، حتى إن كانت المنظمة غير قادرة على تطبيق عوامل الأمان وتخفيف أثار عملية الاستهداف، لا تزال تحليلات تحليل استغلال الثغرات تلعب دوراً مهماً من أجل توفير نظرة ثاقبة حول ضرورة تصحيح هذه الثغرات ضمن الأنظمة الموجودة فيها. فكل تأخر في عمليات التصحيح يؤدي إلى تفاقم المخاطر وتأثر سير عمل المؤسسات الي تعتمد الأنظمة غير المصححة والمحدثة.