وجد فريق كاسبرسكي العالمي للاستجابة لحالات الطوارئ، أن ما يقرب من ثلث الهجمات الرقمية (30%) التي حقق فيها في العام 2019 تضمنّت استغلال المهاجمين أدوات برمجية رسمية لإدارة الأنظمة عن بُعد، ما قد يجعل هجماتهم وأنشطتهم غير مكتشفة لفترة طويلة. وبلغ متوسط فترة هجمات التجسّس الإلكتروني وسرقة البيانات السرية 122 يومًا جرّاء استغلال المهاجمين أدوات رسمية معروفة. وقد وردت هذه النتائج وغيرها في تقرير كاسبرسكي الجديد الخاص بتحليلات الاستجابة للحوادث.
وتساعد برمجيات المراقبة والإدارة مسؤولي تقنية المعلومات والشبكات على أداء مهامهم اليومية، مثل اكتشاف الأخطاء وإصلاحها وتقديم الدعم الفني للموظفين. ومع ذلك، يمكن لمجرمي الإنترنت بدورهم استغلال هذه الأدوات البرمجية الرسمية المشروعة أثناء شنّهم هجمات رقمية على البنى التحتية للشركات، إذ تتيح لهم تشغيل العمليات على النقاط الطرفية (الأجهزة المتصلة بالشبكة)، والوصول إلى المعلومات الحساسة واستخراجها، وتجاوُز مختلف التدابير الأمنية التي تهدف إلى اكتشاف البرمجيات الخبيثة.
وفي المجموع، أظهر تحليل البيانات مجهولة المصدر المستمدة من حالات الاستجابة للحوادث أن 18 أداة رسمية مختلفة قد أسيء استخدامها من مجرمي الإنترنت لأغراض تخريبية، وقد جاءت أداة الإدارة عن بُعد القوية PowerShell على رأسها (25% من الحالات)، والتي استخدمت في عدّة أغراض، بينها جمع المعلومات وتشغيل البرمجيات الخبيثة. كذلك استخدم المهاجمون الأداة PsExec في 22% من الهجمات، وهي وحدة تحكّم مصمّمة لإطلاق العمليات على النقاط الطرفية البعيدة. وجاءت الأداة SoftPerfect Network Scanner (بنسبة 14%) التي تعمل على استرداد المعلومات المتعلقة بالبيئات الشبكية.
ويصعب على الحلول الأمنية اكتشاف الهجمات التي تُستخدم فيها أدوات برمجية رسمية، نظرًا لأن الإجراءات التي تتمّ بوساطتها يمكن أن تكون جزءًا من مهام العمل الاعتيادية التي يؤديها مسؤول النظام. وبلغ متوسط مدة الحوادث الرقمية في الهجمات التي استمرت أكثر من شهر، 122 يومًا، ومن المرجّح أنه أمكن لمجرمي الإنترنت جمع بيانات حساسة خاصة بضحاياهم نظرًا لعدم اكتشافهم لمُددٍ طويلة.
ومع ذلك، لاحظ خبراء كاسبرسكي أن الإجراءات الخبيثة التي تُتخذ في بعض الأحيان باستخدام أدوات برمجية رسمية سرعان ما تكشف عن نفسها بحسب الغرض من الهجوم، كأن يكون هجومًا لطلب الفدية على سبيل المثال يمكن معه مشاهدة الأضرار بوضوح. وقد بلغ متوسط مدة الهجوم للهجمات القصيرة يومًا واحدًا فقط.