استغلال إيترنال بلو أكثر انتشارًا الاَن مما كان عليه أثناء تفشي وانا كريبتور

بقلم أوندري كيبوفيك متخصص في توعية أمن المعلومات لدى شركة إيسيت

لقد مر عام منذ حدوث هجمات وانا كريبتور.دي رانسوم وير الملقبة بواناكراي و وكريبت في واحدة من أكبر اضطرابات الإنترنت التي شهدها العالم على الإطلاق، وفي حين أن التهديد نفسه لم يعد يعيث فسادا في أرجاء العالم، ولكن نقطة الاستغلال الذي مكنت من تفشي المرض، والمعروف باسم إيترنال بلو، لا تزال تهدد الأنظمة التي لم يتم إصلاحها والغير محمية، وكما توضح بيانات القياس من قبل شركة إيسيت، فإن نشاطها قد تزايدت على مدار الأشهر القليلة الماضية، كما تجاوزت الزيادة الأخيرة أعلى مستوياتها منذ عام 2017.

يتم إستغلال إيترنال بلو كثغرة أمنية يتم تناولها في تطبيق مايكروسوفت لحجب رسائل الخادم SMB عبر المنفذ 445، وفي عمليات الهجوم يقوم المجرمون بفحص الإنترنت بحثًا عن منافذ SMB مكشوفة، وإذا تم العثور عليها، يتم إطلاق رمز استغلال، وإذا كان المستهدف ضعيفًا، فسيعمل عندئذٍ المهاجم على تفعيل هجوم اكبر وفقا لرغبته، لقد كانت هذه الآلية وراء التوزيع الفعال لـ هجمات وانا كريبتور.دي رانسوم وير عبر الشبكات.

ومن المثير للاهتمام، وفقًا لقياس إيسيت عن بُعد، فإن علمية إستغلال “إيترنال بلو” قد شهدت فترة أكثر هدوءًا بعد حملة وانا كريبتور 2017، وعلى مدار الأشهر التالية، انخفضت محاولات استغلال إيترنال بلو إلى عدد “مئات” فقط من عمليات الاكتشاف اليومية، ولكن منذ سبتمبر من العام الماضي بدأ استخدامها و بمعدل متزايد مرة أخرى ومع النمو المستمر وصلت المعدلات إلى مستويات أعلى جديدة حتى منتصف أبريل 2018.

أحد التفسيرات المحتملة لما يحدث هو حملات رانسوم وير الشيطانية والتي تمت مشاهدتها أثناء تلك الفترة وربما أيضًا تكون مرتبطة بأنشطة خبيثة أخرى.

يجب علينا التأكيد على أن أسلوب التسلل المستخدم بواسطة “إيترنال بلو” غير ناجح على الأجهزة المحمية بواسطة إيسيت، وإن إحدى طبقات الحماية المتعددة من إيسيت، وحدة حماية هجوم الشبكة، تمنع هذا التهديد بداية من نقطة الدخول.

ويمكن تشبية ذلك بالطرق الخفيف على الباب عند الساعة 2 صباحًا للتأكد إذا كان هناك شخص مستيقظ، أن هذا النوع من النشاط يحتمل أن يكون مدفوعًا بنوايا خبيثة، وبالتالي يتم إغلاق المدخل بإحكام لإبعاد أي دخلاء أو متسللين.

يتم هذا الأمر فعليا منذ فترة تفشي “وانا كريبتور” في 12 مايو 2017 وكذلك جميع الهجمات السابقة واللاحقة من قِبل مهاجمين و مجموعات خبيثة.

ولقد مكّن إستغلال “إيترنال بلو” العديد من الهجمات الإلكترونية البارزة من النجاح، وبصرف النظر عن “وانا كريبتور”، فإنها تعمل أيضًا على تنشيط و تشغيل هجمات Diskcoder.C “المعروف باسم Petya و NotPetya و ExPetya” و حدث ذلك في يونيو من العام 2017 بالإضافة إلى حملة “بادرابيت رانسوم وير” في الربع الأخير من العام 2017.

كذلك تم استخدامه بواسطة Sednit “المعروف أيضًا باسم APT28 ، Fancy Bear و Sofacy” وهي مجموعة التجسس الإلكتروني لمهاجمة شبكات الواي فاي في الفنادق الأوروبية.

كما تم تحديد هذا الاستغلال كواحد من آليات الانتشار لهجمات كريبتومينرز الخبيثة و الذي تم نشره في الاَونة الأخيرة  لتوزيع حملة رانسوم وير الشيطانية، والتي تم وصفها بعد أيام قليلة فقط من اكتشاف قياس إيسيت عن بُعد لها في منتصف شهر إبريل 2018 في الفترة الموازية لإرتفاع معدلات استغلال “إيترنال بلو”.

زُعم أن هناك هجوم  استغل “إيترنال بلو” و سُرق من وكالة الأمن القومي و حدث ذلك في العام 2016 وتم تسريبه عبر الإنترنت في 14 أبريل 2017 بواسطة مجموعة أطلق عليها اسم “شادو بروكرز”، وأصدرت شركة مايكروسوفت التحديثات التي ثبّتت مشكلة عدم حصانة SMB في 14 مارس 2017، ولكن حتى يومنا هذا هناك العديد من الأجهزة الغير المربوطة بالتحديث.

هذا الاستغلال وكل الهجمات التي مكنتها حتى الآن تسلط الضوء على أهمية الترقيع و الإصلاح في الوقت المناسب والحاجة إلى حل أمني موثوق به ومتعدد الطبقات يمكن أن يمنع الأداة الخبيثة الكامنة من تحقيق انتصار.