تعتبر الهجمات السيبرانية تهديدًا متزايدًا لقطاع اللوجستيات البحرية، حيث تستهدف النسخة الجديدة من بوت نت Mirai، المعروفة باسم Broadside، أنظمة التسجيل الرقمية المستخدمة على السفن.
نسخة Broadside من Mirai تستهدف قطاع اللوجستيات البحرية
تواجه قطاع اللوجستيات البحرية تهديدًا جديدًا من نسخة Mirai من خلال استغلال ثغرة حرجة في أجهزة التسجيل الرقمية المستخدمة من قبل الشركات على السفن. تسمح هذه الهجمات بحقن الأوامر عن بُعد عبر الثغرة، مما يمكّن المهاجمين من إنشاء مراقبة للعمليات المستندة إلى Netlink لضمان الاستمرارية وغيرها من الأنشطة الضارة.
حدد الباحثون في فريق أبحاث الأمن السيبراني في Cydome هذه النسخة، التي أطلقوا عليها اسم “Broadside”، قبل حوالي 10 أيام أثناء مراقبتهم للأصول البحرية، وفقًا لمدونة نُشرت اليوم. الهجوم، الذي اكتشفوا لاحقًا أنه نشط منذ عدة أشهر، يستهدف أنظمة DVR عبر CVE-2024-3721، وهي واحدة من عدة ثغرات في إنترنت الأشياء تتعرض للهجمات من قبل البوتات منذ أكتوبر على الأقل.
تسمح الثغرة للمهاجمين باستخدام حقن الأوامر للاستيلاء على أجهزة التسجيل الرقمية TBK DVR-4104 وDVR-4216، التي تُستخدم على نطاق واسع في الصناعة البحرية. تاريخيًا، تفتقر هذه القطاع إلى ملف أمني سيبراني كبير وبالتالي فهو عرضة بشكل فريد للهجمات السيبرانية، حيث تستخدم الأصول البحرية الحالية أنظمة مكشوفة من المحتمل أنها تفتقر إلى التصحيحات حتى للثغرات الأمنية المعروفة، كما يقول شمر دومي، رئيس التسويق في Cydome، لـ Dark Reading.
“حالة الأمن السيبراني في معظم الأصول البحرية منخفضة جدًا،” يقول. “لا يوجد موظفون للأمن السيبراني على متن السفن، والعديد من السفن لديها القليل من المراقبة الأمنية أو الدفاعات أو إجراءات التصحيح.”
لا تستخدم هذه السفن أنظمة قديمة وغير مصححة فقط، بل من الصعب حتى اكتشاف متى تحدث الهجمات، وبالتالي يمكن أن تستمر تحت الرادار لعدة أشهر، كما يقول دومي. كان هذا هو الحال عندما استهدفت مجموعة تهديد مدعومة من الهند تُدعى Sidewinder السفن البحرية في وقت سابق من هذا العام. علاوة على ذلك، من السهل جدًا أن تنتشر الهجمات بين السفن التي تديرها الشركة، مما يزيد من المخاطر لعدة سفن في الأسطول، كما يقول.
Mirai: بوت نت يتجاوز هجمات DDoS
Mirai هو بوت نت قوي قد أطلق العديد من النسخ منذ تسريب شفرة مصدره في عام 2016، ولا يزال يشكل تهديدًا أمنيًا كبيرًا بعد أكثر من عقد من ظهوره لأول مرة. تم تطوير البوت نت في البداية من قبل مجموعة من القراصنة الشباب لإطلاق هجمات حرمان الخدمة الموزعة (DDoS) ضد الخوادم التي تشغل لعبة الفيديو الشهيرة Minecraft، وفي شكله الحديث يستهدف أجهزة التوجيه وأجهزة إنترنت الأشياء (IoT) لهجمات DDoS وأنواع أخرى من الهجمات.
في حالة Broadside، يتجاوز البوت نت هجمات DDoS من خلال محاولة نشطة لجمع ملفات بيانات اعتماد النظام، مما يشير إلى أن المهاجمين يهدفون إلى تصعيد الامتيازات والتحرك بشكل جانبي لتحويل الأجهزة المخترقة إلى موطئ قدم استراتيجي للعمليات الضارة، وفقًا لـ Cydome.
تستهدف النسخة بشكل محدد أجهزة DVR TBK لحقن الأوامر عن بُعد عبر CVE-2024-3721 على نقطة النهاية /device.rsp (HTTP POST). ثم يتبع الهجوم فيض UDP بمعدل عالٍ مع تعددية الحمولة الأساسية، ومراقبة العمليات المستندة إلى Netlink لضمان الاستمرارية الخفية، وإنهاء ديناميكي وقائمة سوداء للعمليات المتنافسة.
تقنيًا، تختلف Broadside عن Mirai القياسية من خلال استخدام مقابس نواة Netlink لمراقبة العمليات المستندة إلى الأحداث بشكل خفي، كما أنها تستخدم تعددية الحمولة لتجنب الدفاعات الثابتة، كما أشار الباحثون.
هل نحن في خطر؟ حماية الأصول البحرية من الهجمات السيبرانية
لا يزال حملة Broadside نشطة، حيث أكد الباحثون الاتصالات بين القيادة والسيطرة (C2) باستخدام بروتوكول مخصص عبر TCP/1026، والاتصالات الاحتياطية عبر TCP/6969. في هذه المرحلة، “من الصعب استنتاج نية مجموعة الهجوم،” على الرغم من أن Broadside تتجه حاليًا مع الأصول البحرية، كما يقول دومي.
تشكل الات attacks الهجمات السيبرانية خطرًا فريدًا على العمليات البحرية عندما تحدث، حيث تعتمد بشكل رئيسي على الاتصالات عبر الأقمار الصناعية، والتي تكون مكلفة وبالتالي في العديد من الحالات محدودة في النطاق الترددي. “هذا يعني أن أي هجوم من بوت نت يمكن أن يؤثر على عملية السفينة بأكملها عن طريق استنفاد النطاق الترددي وخلق تكاليف استخدام شبكة باهظة،” يوضح.
نشر Cydome مؤشرات الاختراق (IoCs)، حتى يتمكن مشغلو السفن البحرية من تحديد الهجمات والتخفيف منها، وأجروا اكتشافات تهديدات الشبكة في بنيتهم التحتية لحماية السفن البحرية.
يمكن للمشغلين أيضًا اكتشاف الهجمات والتخفيف منها من خلال مراجعة استخدام نظام DVR المتأثر؛ التحقق من أن الأنظمة محدثة ومصححة؛ إجراء مسح للثغرات، وإدراج جميع عناوين IP ذات الصلة بناءً على IoCs المقدمة، والتأكد من تحديث جميع أنظمة الأمان بتلك IoCs، كما يقول دومي.
“من المهم أيضًا اتباع أفضل الممارسات في تقسيم الشبكات وعزل الأنظمة التشغيلية الحرجة عن بقية الشبكة،” يقول. ويضيف: “تستخدم العديد من الهجمات ببساطة ثغرات معروفة، معتمدة على الضحايا ليكونوا بطيئين في تصحيح أنظمتهم.”
لضمان سلامة الأصول البحرية، يجب على المشغلين اتخاذ خطوات استباقية لحماية أنظمتهم من هذه التهديدات المتزايدة.
