أظهرت دراسة جديدة خاصة بالتهديدات الأمنية كشفت عنها شركة إف 5 نتوركس أن لغة البرمجة المستخدمة في تصميم أكثر من 80 بالمائة من مواقع الإنترنت العالمية باتت أكثر عرضة للإختراق مقارنة بأي وقت مضى.
كما أظهرت معلومات جديدة توصلت إليها منصة دراسة وتحليل البيانات “لوريكا”، وهي شريك لشركة إف 5 نتوركس، أن 81 بالمائة من الأنشطة الخبيثة التي تمت مراقبتها على شبكة الإنترنت في عام 2018 كانت مرتبطة بشكل مباشر بلغة البرمجة النصية “بي إتش بي”، وهو ما يمثل ارتفاعاً بنسبة 23 بالمائة مقارنة بعام 2017. وقد تركزت عمليات المراقبة هذه على حملات الاستطلاع الإجرامية الأولية التي تبحث بالمقام الأول عن نقاط الاختراق الضعيفة على مستوى مديري الشبكات بهدف اختراقها كجزء من سلسلة واسعة من الهجمات الخبيثة.
عن ماذا تمخضت نتائج البحث؟
وخلصت نتائج البحث الذي تم تضمينه في الجزء الأول من تقرير حماية التطبيقات الصادر عن شركة إف 5 نتوركس لعام 2019، إلى أن لغة البرمجة النصية “بي إتش بي” عانت من 68 بالمائة من كافة هجمات الاستغلال التي تم الإعلان عنها خلال عام 2018 ضمن قاعدة البيانات الخاصة بهجمات الاستغلال الخبيثة.
وفي هذا السياق قال ساندر فينبرغ، مسؤول أبحاث ودراسات التهديدات الأمنية في شركة إف 5 نتوركس: “ليس من الغريب ظهور هجمات استغلال خبيثة واسعة الانتشار تستهدف لغة البرمجة النصية “بي إتش بي” بأعداد كبيرة للغاية، لكن ظهورها يثير القلق حقاً. من المتوقع بحسب أبحاثنا أن تبقى لغة البرمجة النصية “بي إتش بي” واحدة من أضعف الروابط على شبكة الإنترنت، وأن تشكل في ذات الوقت إحدى أكبر نقاط الاستهداف في المستقبل المنظور”.
أبرز الأساليب والتكتيكات المتبعة
كما سلطت شركة إف 5 نتوركس كجزء من هذا البحث، الضوء أيضاً على أبرز الأساليب والتكتيكات التي استخدمت في تنفيذ هجمات الاستغلال ضد لغة البرمجة النصية “بي إتش بي”.
كيف تعمل أدوات المراقبة في منصة “لوريكا”؟
وتقوم أدوات المراقبة في منصة “لوريكا” بالتعرف على محاولات الجهات الفاعلة المتمثلة بإنشاء اتصال مباشر مع الهدف والاستيلاء على البيانات المستهدفة من خلال تحديد مصدر عنوان أحد بروتوكولات الإنترنت أو عنوان أحد مواقع الويب. ويقوم المهاجمون غالباً بالتنقل بين مليارات الأهداف واستغلال فرصة استهداف إحداها، وبالتالي فإن تحديد عنوان ويب أو بروتوكول إنترنت معين هو أمر ليس بتلك الأهمية. وعلى الرغم من ذلك يحتوي النصف الأخير من عناوين مواقع الويب عادة على الملف أو المسار المستهدف. ولعل هذا ما يمثل الموقع المحدد على خادم الويب الذي تقوم الجهة المهاجمة باستهدافه من بين كافة عناوين بروتوكول الإنترنت الأخرى. ويكشف هذا الموقع أيضاً الكثير من أهداف الجهة المنفذة للهجوم وتكتيكاتها.
التركيز على سبعة مسارات
وقد لاحظت منصة أبحاث البيانات “لوريكا”على سبيل المثال، أن جزءاً كبيراً من الأنشطة الخبيثة على شبكة الإنترنت تركز على سبعة مسارات أو أسماء ملفات فقط. ويشيع استخدام هذه الملفات أو المسارات بقصد إدارة تطبيق “بي إتش بي ماي أدمن” والمعروف اختصاراً باسم “بي إم إيه”، وهو عبارة عن تطبيق ويب يُستخدم لإدارة نظام قواعد بيانات “ماي إس كيو إل”.
كما أن 42 بالمائة من أصل 1.5 مليون عملية استهدفت أكثر من 100 ألف من مختلف مواقع الويب، كانت موجهة إلى سبعة عناوين ويب رئيسة. حتى أن حجم الأنشطة الخبيثة التي استهدفت هذه العناوين كانت متطابقة تقريباً من مسار إلى آخر، مع وجود اختلاف بنسبة 3 بالمائة بين الهجمات الأكثر تواتراً من جهة والأقل تواتراً من جهة أخرى. وكان توقيت حملات الاستهداف ضد هذه المسارات قريباً من التطابق أيضاً، كما أن مستوى ارتفاع وانخفاض حجم النشاط كان متناسقاً.
وعند التدقيق بشكل أكبر، اكتشفت شركة إف 5 نتوركس أن 87 بالمائة من الأنشطة الخبيثة التي استهدفت مسارات تطبيق phpMyAdminالشائعة، قد ظهرت من عنوانين فقط من أصل 66000 عنوان بروتوكول إنترنت التقطتها أدوات المراقبة في منصة “لوريكا”. وقد وُجّهت كافة البيانات التي أظهرتها بروتوكولات الإنترنت المخترقة نحو مسارات تطبيق “بي إم إيه” السبعة. ولا يوجد إي عنوان بروتوكول إنترنت آخر يماثل هذا الحجم من الأنشطة الخبيثة، أو يُظهر أنماطاً مشابه لها، حتى عند استهداف ذات المسارات. ومن المثير للاهتمام أن عنواني بروتوكول الإنترنت هذان يتبعان لأنظمة تابعة لحرم جامعة أمريكا الشمالية.
وأوضح السيد فينبرغ ذلك بقوله: “قام منفذو هذه الهجمات باستخدام عدد صغير من الأنظمة المخترقة على نحو أساسي، ثم نشرها ضمن شبكات الجامعة بهدف البحث عن أهداف محددة: من قبيل قواعد بيانات MySQL القديمة والمهملة، والمزودة بأنظمة مصادقة قابلة للاختراق.قام هؤلاء المهاجمون بتحديد مجموعة محددة من المعايير المستهدفة على مستوى ضيق، لكن طبقوا بذات الوقت مسح شامل لشبكة الإنترنت انطلاقاً من عدد صغير من العناوين، ولم يحاولوا جاهدين تغطية أية دلائل يمكن أن توصل إليهم. وبما أن هجمات استغلال الثغرات المحتملة القائمة على حقن “إس كيو إل” كانت قد شكلت أكثر هجمات استهداف لغة البرمجة النصية “بي إتش بي” شيوعاً، فإن مشهد التهديدات بشكل كامل يبدو مشابهاً هذا العام أيضاً”.
وأشار السيد فينبرغ إلى أن جهود التخفيف من مخاطر هذا النوع من الحملات الخبيثة يجب أن يأخذ شكلاً واضحاً نسبياً، بشرط أن يدرك مالكو الأنظمة لما هو موجود على شبكاتهم بشكل كامل.
وأردف قائلاً: “يجب الاعتماد على صفحات المصادقة المدرجة في القوائم البيضاء على مستوى مديري الشبكة، فهي يوفر طريقة سهلة لمنع تصاعد مثل هذه الحملات الخبيثة”.
من اختيارات أسرة التحرير:
-
هل تقوم أمازون حقاً بزراعة الجواسيس في منازلنا؟
-
ما هو ذلك الشيء الذي ساهم في ظهور أول هاتف آيفون على مستوى العالم؟
-
كيف نتخلص من القلق والتوتر؟
-
برنامج يسمح للقراصنة بالتجسس عليك من خلال كاميرا الهاتف الذكي الخاص بك