كشفت شركة أمنية عن تكتيك جديد يستخدمه قراصنة الإنترنت لسرقة البيانات بشكل خفي يصعب اكتشافه، حيث يقومون بتثبيت أدوات شرعية لإدارة قواعد البيانات على الأنظمة المستهدفة لتنفيذ عملياتهم الإجرامية.
وفقاً لشركة “AhnLab” الكورية الجنوبية المتخصصة في الأمن السيبراني، لاحظ الباحثون الأمنيون تزايداً في استخدام القراصنة لأدوات إدارة قواعد بيانات معروفة وموثوقة مثل:
-
DBeaver: أداة مفتوحة المصدر لإدارة قواعد البيانات
-
Navicat: حل تجاري شهير لإدارة قواعد البيانات
-
sqlcmd: أداة سطر أوامر من مايكروسوفت للتعامل مع SQL Server
تكمن خطورة هذه الطريقة في أنها:
-
تتجنب اكتشاف أنظمة الحماية حيث تعتبر هذه الأدوات شرعية ولا تشكل تهديداً بحد ذاتها
-
تختلط مع أنشطة المديرين النظاميين مما يجعل تمييزها صعباً
-
تترك آثاراً محدودة يصعب تتبعها إلا من خلال:
-
سجلات النظام (System Logs)
-
السجلات المحلية للأدوات المستخدمة
-
سجلات تنفيذ استعلامات SQL
-
تطور أساليب القرصنة
يأتي هذا التكتيك كجزء من اتجاه متزايد بين مجرمي الإنترنت لاستخدام “أدوات شرعية لأغراض خبيثة” (LOLBins)، وهي استراتيجية تعرف باسم “Living-off-the-Land”. وتتميز هذه الأساليب بأنها:
-
لا تتطلب تنزيل برمجيات خبيثة يمكن اكتشافها
-
تستغل أدوات موجودة أصلاً في النظام أو أدوات شرعية
-
تصعب عملية إسناد الهجمات لمجموعات قرصنة محددة
وينصح الخبراء المؤسسات بما يلي:
-
مراقبة أنشطة قواعد البيانات بشكل دقيق ومستمر
-
تقييد صلاحيات التثبيت على الخوادم الحساسة
-
تفعيل التسجيل الشامل لجميع أنشطة قواعد البيانات
-
مراجعة السجلات بانتظام للكشف عن أي أنشطة غير عادية
-
تطبيق مبدأ أقل صلاحية (Principle of Least Privilege)
مستقبل التهديدات الأمنية
يتوقع الخبراء تزايداً في استخدام هذه الأساليب المتطورة التي تعتمد على أدوات شرعية، مما يتطلب تطوير آليات مراقبة أكثر ذكاءً تعتمد على تحليل السلوك أكثر من الاعتماد على التوقيعات التقليدية للبرمجيات الخبيثة.
