loader image

زيادة في نمو التهديدات السيبرانية المُستهدفة لشبكات الـ (VoIP) خلال جائحة “كوفيد-19”

بقلم “ستيفن سافولديلي” كبير المحللين في وحدة “مانديانت” لاستخبارات التهديدات السيبرانية (Mandiant Threat Intelligence) FireEye –

يشهد مزودو خدمات الإنترنت ارتفاعاً حاداً في استخدام تطبيقات نقل الصوت عبر الإنترنت (VoIP) نتيجة الاعتماد المتزايد على العمل عن بُعد خلال فترة الجائحة. حيث أبلغ العديد من الشركات العاملة في هذا المجال بما في ذلك شركة “كوم كاست” (Comcast)، التي قالت إن استخدام تطبيقات (VoIP) وتطبيقات مكالمات الفيديو لعقد الاجتماعات ارتفع بنسبة تتراوح ما بين 210 إلى 285 في المائة منذ بداية الجائحة. ومع أخذ ذلك بالاعتبار، من المهم التذكير بأنه سواء تمت صيانة أنظمة (VoIP) داخلياً أو تمت الاستعانة بشركات خارجية، فإنها أكثر المساحات التي يمكن اختراقها ووقوعها ضحية المهاجمين.

إن أنظمة نقل الصوت عبر بروتوكول الانترنت (VoIP) من أكثر الأنظمة المعرضة للعديد من التهديدات بما في ذلك رفض الخدمة، وسرقة البيانات، واعتراضات الوصول، وعمليات الاحتيال من خلال استخدام أرقام مميزة. حيث يُمكن للجهات الفاعلة أيضاً استخدام هذه الأنظمة كنقطة دخول للشبكات الأمر الذي يهدد الشبكات الحساسة أو لصرف الانتباه عن الأنشطة الضارة الموجودة في مكان آخر. وعلى الرغم من وجود نقاط الضعف هذه، لا تحظى أنظمة الـ VoIP باهتمام كبير من رؤساء فرق تكنولوجيا المعلومات. غالباً ما تحتفظ هذه الأنظمة ببيانات الاعتمادات الافتراضية أو المشتركة والتي يتم التغاضي عنها عند عمليات البحث عن الثغرات الأمنية وإصلاحها. لذلك، على الرغم من أن البنية التحتية لأنظمة الـ VoIP تلعب دوراً رئيسياً في العمليات التجارية، إلا أن المشكلة بالنسبة للعديد من المؤسسات تبقى إمكانية ملاحظة البرامج الضارة القابعة في شبكات وأنظمة الـ VoIP.

غالباً ما تجد وحدة “مانديانت” لاستخبارات التهديدات السيبرانية العديد من الخصوم الذين يحاولون الوصول إلى حسابات المستخدم المسؤول عن أنظمة الـ VoIP من خلال بيانات دخول ووصول إما مسروقة أو حاصلة عليها من خلال تقنية هجوم القوة العمياء. حيث يمكن الوصول إلى أدوات جمع بيانات الدخول هذه على نطاق واسع، ما يعني أن الجهات المُنفذة التي لا تمتلك خبرة تطويرية متمرسة يمكن أن تعرض البنية التحتية لأنظمة الـ VoIP للخطر. ونظراً لاتساع النشاط الهجومي الذي يُسهّله استخدام تطبيقات نقل الصوت عبر بروتوكول الانترنت يجب على المدافعين عن الشبكة مراعاة النتائج المحتملة التالية للمهاجمين.

استهداف البيانات الوصفية وسرقة البريد الصوتي

تقوم أنظمة نقل الصوت عبر بروتوكول الانترنت VoIP بإنشاء تسجيلات صوتية وبيانات وصفية ذات صلة والتي تبحث عنها الجهات المنفذة ذات الدوافع التجسسية والمالية. ففي سبتمبر 2020، اكتشف باحثون من شركة “إيست” (ESET) نموذجاً جديداً ونادراً من برمجيات “لينكس” (Linux) الخبيثة والتي تعرف بـ “CDRThief” والتي يتم استخدامها في الهجمات التي تستهدف المقاسم الهاتفية المستخدمة لتقنية الـVoIP وذلك ضمن حملات مصممة لسرقة البيانات الوصفية للمكالمات. وفي أغسطس 2019، أبلغت “مايكروسوفت” (Microsoft) عن محاولة مجموعة “أيه بي تي 28” (APT28)، وهي إحدى مجموعات التجسس الروسية، لاختراق أنظمة الهواتف المعتمدة على تقنية الـVoIP بالإضافة إلى أجهزة إنترنت الأشياء الأخرى. كما لاحظت وحدة “مانديانت” نشاطاً تهديدياً نعتقد بأنه استخدم متغيرات البرنامج الخبيث “فين سباي” (FinSpy) والقادرة على التقاط ملف تسجيل يستخدم تقنية الـVoIP، وفي حملة أخرى، أرسل منفذو الحركة التجسسية بريداً إلكترونياً للتصيد الاحتيالي يتضمن رسالة بريد صوتي شرعية، ربما تمت سرقتها من إحدى الشركات المزودة لخدمات تقنية الـVoIP.

الاحتيال الهاتفي باستخدام خدعة الرقم المميز

تُعد عمليات التصيد الاحتيالي باستخدام إجرائية “تكثيف المكالمات” أحد أكثر التهديدات شيوعاً للشركات من أنظمة VoIP المُخترقة. حيث قدرت جمعية مكافحة الاحتيال عبر شبكات الاتصالات مؤخراً الخسائر المرتبطة بالاحتيال الهاتفي باستخدام الرقم المميز أو الاحتيال الذي يستهدف حصة الإيرادات الدولية (IRSF)، بما يتراوح بين 4 مليارات و6.1 مليارات دولار. ويتضمن المخطط إجراء مكالمات من أنظمة الهاتف المُخترقة إلى أرقام الهواتف التي تصدر فاتورة للمتصلين. بحيث يسجل منفذو الاحتيال رقم اتصال مميزاً، والذي غالباً ما يكون من الخارج لفرض رسوم أعلى، حيث يحصلون على مبلغ من الرسوم. بعد ذلك، يكون لديهم أنظمة هواتف مخترقة تتصل بهذه الأرقام المميزة، مما يؤدي إلى تحميل الرسوم على حساب الضحية.

إن عمليات الاحتيال هذه يمكن أن تُكلف الشركات المتضررة ملايين الدولارات من رسوم لأرقام مميزة غير مشروعة خلال فترة وجيزة، الأمر الذي يجعلها موضع جذب للجهات الفاعلة في مجال الجرائم الإلكترونية. غالباً ما يختار منفذو الهجمات خدمات الأرقام المميزة والتي تُصدر الفواتير وتُدفع لها وفقاً لجدول أسبوعي، في حين أن معظم شركات الهاتف تصدر الفاتورة شهرياً. بهذه الطريقة يمكن للمنفذ أن يربح رسوماً كبيرة قبل اكتشاف عملياته الاحتيالية.

حجب الخدمات الهاتفية

إن أنظمة الهاتف العاملة بتقنية الـVoIP معرضة لخطر هجمات حجب الخدمة الهاتفية (TDoS)، حيث أن العدد الكبير من المكالمات غير المشروعة تمنع وتحجب إجراء المكالمات المشروعة. ومن المحتمل أيضاً أن تكون أنظمة الـVoIP عرضة لظروف حجب الخدمة من خلال استخدام طرق إضافية، بما في ذلك إغراقها بطلبات “الدعوة” أو “الوداع” أو رسائل تحمل عنوان “غير متاح” أو هجمات الإغراق المماثلة. هذه التقنية كبيرة الحجم ويصعب التغاضي عنها لما تحمله من أهمية للجهات الفاعلة والمجموعات المهاجمة، بحيث يمكنهم استخدام هذه الأنظمة كإجراءات صرف انتباه من شأنها إثقال كاهل المدافعين عن الشبكة وتشتيتهم أثناء حدوث أنشطة احتيال أخرى.

التلاعب بالمكالمات

يمكن لهجوم ناجح من نوع الوسيط (MitM) أن يتيح التلاعب بالمكالمات لتسهيل اختراق أي نشاط تفاعلي اجتماعي يتم عبر الهاتف، بما في ذلك عمليات التصيد الاحتيالي (التصيد الصوتي) أو تجاوز طرق التصريح عبر الهاتف. على سبيل المثال، إذا قام برنامج ضار باختراق نظام الهاتف الخاص بالبنك، فيمكنه إعادة توجيه المكالمات الواردة من العملاء للاتصال بالبنية التحتية التي يتحكم فيها المهاجم، وتحت ستار التحقق من هوية وبيانات العميل، يمكن للمهاجم اختراق حساب الأخير. كما يمكن للبرمجيات الضارة أيضاً إعادة توجيه مكالمة من مؤسسة مالية إلى عميل يحاول تأكيد معاملة ما وبالتالي انتحال شخصية العميل لتأكيد المعاملة.

الابتزاز: هل هو المستقبل الأسود لاستخدام تقنية نقل الصوت عبر بروتوكول الإنترنت؟

يوفر اختراق البنية التحتية لأنظمة الـVoIP، للجهات المهاجمة إمكانية الوصول إلى معلومات الشركة الحساسة وتمكينهم من السيطرة على حالات حجب الخدمة. فقد استخدمت الجهات الفاعلة هذا التكتيك تاريخياً لتأجيج هجمات الابتزاز، وذلك من خلال تبني مواقع للكشف عن البيانات العامة لضحايا برامج الفدية. بالإضافة إلى ما سبق فإن سرقة كميات كبيرة من بيانات المكالمات قد تكون أكثر عرضة للابتزاز حيث إن عمليات النسخ الآلي ومعالجة الملفات الصوتية تساعد الجهات الفاعلة على تحديد حساسية بيانات الأعمال بشكل أسرع وبجهد أقل.

اعتبارات التخفيف

أكبر خطوة يمكن أن تتخذها المؤسسة للتخفيف من المخاطر المرافقة لتطبيقات أنظمة الـ VoIP هي التفكير بجدية في البنية التحتية لتطبيقات (VoIP) كجزء أساسي وفاعل قد يخدم العمليات الهجومية، بغض النظر عما إذا كانت تُدار داخلياً أو بواسطة طرف ثالث. ببساطة، تُعد البنية التحتية لأنظمة الـ VoIP امتداداً للبنية التحتية لأنظمة تكنولوجيا المعلومات، وبالتالي فهي تتطلب المراقبة والصيانة والتدقيق مثل أي قسم أو مجال آخر. في ما يلي بعض النصائح حول كيفية حماية شبكات الـ VoIP:

  • يجب تصحيح الثغرات وتحديث البرامج الثابتة لأنظمة الهواتف العاملة بتقنية الـ VoIP والبنية التحتية المرافقة لها بانتظام، كما يجب تغيير كلمات المرور من الوضع الافتراضي الموجودة فيه.
  • يجب أن تكون المصادقة متعددة العوامل مطلوبة للوصول إلى الحسابات لأنظمة الـ VoIP، وبالأخص تلك التي تتمتع بميزات إدارية.
  • يمكن تقييد المكالمات ذات الأرقام الدولية أو المميزة للتغلب على مخططات ضخ المكالمات، ويجب مراقبة عناصر المدة والتكرار والوقت المحدد بحثاً عن القيم غير المألوفة وأنماط إساءة الاستخدام.
  • تشغيل الهواتف العاملة بتقنية الـ VoIP على شبكة منفصلة تمنع الهاتف المخترق من كشف البيانات المرسلة عبر الشبكة أو توفير إمكانية الوصول للأجهزة الأخرى الموجودة في الشبكة.
  • يجب على الشركات والمؤسسات وضع خطة لإيجاد طرق اتصال بديلة في حال عدم توفر أنظمة الـ VoIP نتيجة تعرضها لنشاط حجب الخدمة TDoS أو سيناريوات أخرى مثل رفض الخدمة نتيجة استهدافها ببرمجيات الفدية او البرامج الضارة المدمرة.

لقد تسببت جائحة “كوفيد-19” في زيادة كبيرة بعدد العاملين عن بُعد أكثر من أي وقت مضى الأمر الذي أدى إلى زيادة الطلب على استخدام تطبيقات الـ VoIP والذي ذكر الكثير منا بأهمية ومدى اعتمادنا على تقنيات الاتصالات العالمية. ما مكن الجهات الفاعلة من الاستفادة من هذه التبعية لإلحاق الضرر بالعمليات التجارية، وتشتيت الانتباه عن أعمال الاستجابة للحوادث التي تقوم بها فرق الأمن السيبراني، والاستفادة أكثر من عمليات الاحتيال والعوائد المادية المرافقة لها. لذا على المنظمات عدم إهمال وترك البنية التحتية لأنظمة نقل الصوت عبر بروتوكول الانترنت خارج حساباتها الدفاعية.

الخبر السابق

أهمية تكنولوجيا الاستشعار الحراري في ظلّ انتشار كوفيد-19

الخبر التالي

غازي عطا الله من NXN يناقش الاتجاهات الرقمية خلال مرحلة ما بعد الجائحة