جوجل: برامج التجسس تكمن وراء نصف أيام الصفر 2023
أفادت فرق تحليل التهديدات (TAG) التابعة لشركة جوجل وشركة Mandiant التابعة للجيجل بزيادة كبيرة في استغلال الثغرات يوم الصفر في الهجمات خلال عام 2023. ترتبط العديد من هذه الهجمات ببائعي برامج التجسس وزبائنهم.
وصل TAG العام الماضي إلى 97 نقطة ضعف تم استغلالها في الهجمات، وهذا يشكل زيادة تتجاوز 50 بالمائة مقارنة بـ 62 نقطة ضعف في العام السابق.
على الرغم من هذه الزيادة، إلا أن الرقم لا يزال أقل من ذروة 106 ثغرة يومية تم استغلالها في عام 2021 موقع Google بالشراكة مع Mandiant.
اكتشفت شركة Mandiant بالتعاون مع الشركة TAG ما مجموعه 29 نقطة ضعف من بين 97، حيث تؤثر 61 منها على منصات ومنتجات المستخدم النهائي، مثل الأجهزة المحمولة وأنظمة التشغيل والمتصفحات والتطبيقات الأخرى.
واستخدمت 36 نقطة ضعف متبقية لاستهداف التقنيات الموجهة نحو المؤسسات مثل برامج الأمان والأجهزة، وذلك كان بواسطة TAG وMandiant بالتعاون مع شركة Google.
Google [ PDF ] حذرت من استهداف مجموعة واسعة من البائعين والمنتجات بزيادة في استغلال التقنيات الخاصة بالمؤسسات،TAG، مع Mandiant.
مع السنوات، اكتشفنا أن كلما زدنا سرعة رصد أخطاء المهاجمين وتصحيحها، قل وقت استغلالهم، وكلما زادت تكاليف الحفاظ على قدرات المهاجمين.
العام الماضي، استفادت الجهات ذات الدوافع المالية من عشر ثغرات يوم صفر، وهذا أقل بكثير من ما تم ملاحظته في عام 2022. بين هذه الثغرات، استغلت مجموعة FIN11 ثلاث ثغرات يوم صفر منفصلة، بينما قامت أربع مجموعات على الأقل من برامج الفدية بالاستفادة من أربع ثغرات يوم صفر إضافية.
تم ربط الصين بمعظم الهجمات المدعومة من الحكومة، حيث استغلت مجموعات التجسس السيبراني الصينية 12 نقطة ضعف في يوم الصفر في 2023، وهذا يمثل زيادة واضحة عن السنة السابقة حيث كانت سبع نقاط في 2022، وهذا اتجاه ملاحظ في السنوات الأخيرة.
تم استغلال الأيام الصفرية في الهجمات منذ عام 2019 (جوجل)، حسب تحليل شركة (TAG) و (Mandiant).
نسبة 50% من جميع أيام الصفر المستغلة في عام 2023 يعود سببها إلى برامج التجسس، بحسب تقرير شركة مانديانت.
على الرغم من ذلك، خلال عام 2023، كانت شركة Mandiant وراء غالبية التحركات الاستغلالية التي طالت منتجات TAG ونظام Android البيئي.
وكانوا مسؤولين عن 75% من عمليات استغلال الضعايا المعروفة التي استهدفت هذه المنصات (13 من 17 ضعف).
بالإضافة لذلك، تم ربط هؤلاء التجار بـ 48 ثغرة في المشاكل الأمنية تم استغلالها في هجمات العام الماضي، وهو يمثل حوالي 50% من جميع تلك العيوب البرمجية المستفادة في عام 2023
في النهاية، وبالنظر إلى 37 نقطة ضعف في الصفرية التي تم استهدافها في المتصفحات والأجهزة المحمولة في عام 2023، وجدت شركة جوجل أن أكثر من 60٪ منها تم ربطها بملفات CSV، وهذه الملفات تقدم إمكانيات البرامج الضارة لزبائنها من الحكومات.
قالت جوجل: “في النهاية، أدت شركات CSV وعملاؤها الحكوميون الذين يستخدمون هذه الإمكانيات إلى تقليص نصف عمليات استغلال اليوم الصفر التي نسبت إلى الجهات الحكومية في عام 2023 (24 من 48 نقطة ضعف).
“
شاركت شركات القطاع الخاص في اكتشاف وبيع برمجيات إكسبلويت لفترة طويلة، ومع ذلك، لاحظنا ارتفاعا كبيرا في استخدامها من قبل هذه الشركات على مدى السنوات الماضية.
في شهر فبراير، كشفت جوجل عن أن أغلب الثغرات الأمنية التي تم اكتشافها من قبل فريق TAG الخاص بها العام الماضي يمكن تتبع أصلها إلى منتجي برامج التجسس المرتزقة، كما أعلنت Mandiant.
وأيضا ربطت الشركة بائعي برامج التجسس بـ 35 من إجمالي 72 برنامج استغلال يوم الصفر المعروفة المستخدمة في البرية خلال العقد الماضي.
في تقرير Google لشهر فبراير، أبرزت TAG وشركة Mandiant بين بائعي برامج التجسس.
Cy4Gate وRCS Lab: الشركة المصنعة الإيطالية لبرامج التجسس Epeius وHermit لأنظمة التشغيل Android وiOS، حيث قد قدمت الشركة جهودا مبذولة في التعاون مع Mandiant، TAG، وجوجل لتعزيز أمان الأنظمة.
Intellexa هو تحالف يقوده Tal Dilian يجمع بين تقنيات مثل TAG من Cytrox وأدوات MandiantWiFi من WiSpear.
مجموعة NEGG: ملف CSV إيطالي عالمي معروف يحتوي على برمجيات Skygofree الضارة وبرامج التجسس VBiss التي تستهدف مستخدمي الهواتف المحمولة عن طريق سلاسل الاستغلال.
مجموعة TAG: شركة أمن سيبراني تقف وراء برنامج التجسس Pegasus وأدوات التجسس التجارية الأخرى من Google و Mandiant.
Variston: الشركة الإسبانية المتخصصة في تطوير برامج التجسس المرتبطة بإطار العمل Heliconia والمعروفة بالتعاون مع بائعين آخرين لأدوات التجسس في عمليات استغلال الثغرات الأمنية.
للحماية من هجمات اليوم الصفر، نصحت شركة جوجل المستخدمين المعرضين للتهديد بتنشيط خاصية علامات الذاكرة (MTE) على هواتف Pixel 8 وفعلوا وظيفة الحماية على هواتف iPhone.
نصحت الشركة أيضا مستخدمي Chrome ذوي المخاطر العالية بالتحول إلى “وضع HTTPS-First” وإلغاء Optimizer v8 للقضاء على الثغرات الأمنية المحتملة التي يمكن أن تقدمها مجموعة JIT (Just-in-Time) والتي قد تمكن المهاجمين من معالجة البيانات أو إدخال تعليمات برمجية ضارة.
بالإضافة إلى ذلك، اقترحت شركة جوجل على المستخدمين ذوي المخاطر العالية التسجيل في برنامج الحماية المتقدمة (APP)، الذي يوفر أمانا محسنا للحساب مع دفاعات مدمجة مصممة للحماية من المهاجمين المدعومين من الدولة، كما أوضحت شركة Mandiant.
فرض مكتب مراقبة الأصول الأجنبية التابع لوزارة الخزانة (OFAC) عقوبات على مشغلي برامج التجسس Predator Cytrox وIntellexa وThalestris ومؤسس تحالف Intellexa الإسرائيلي، تال جوناثان ديليان، في فترة سابقة من هذا الشهر.
في فبراير/شباط، أعلنت وزارة الخارجية الأمريكية عن سياسة جديدة تحد من تأشيرات الدخول الخاصة بالأفراد المتورطين في برامج التجسس التجارية، التي ستمنعهم من الوصول إلى الولايات المتحدة.