اكتشف الباحثون لدى شركة « كاسبرسكي » الرائدة في مجال الحماية من الفيروسات، خلال عملية التحقيق حول الهجوم المتواصل للتهديدات المستعصية المتقدمة (APT)، برمجية خبيثة جديدة تضم عددا كبيرا من الصفات من شأنها أن تكون على علاقة مع « DarkHalo »، المجموعة الإجرامية الإلكترونية التي تقف خلف الهجوم السيبراني Sunburst، بصفته واحدا من أكثر الهجمات ضررا في السنوات الأخيرة.
يرجع تاريخ الهجوم السيبراني الكبير إلى شهر دجنبر من السنة الماضية، بعدما عملت المجموعة الإجرامية الإلكترونية » DarkHalo » على إلحاق ضرر جسيم بشبكة شركة برمجيات واسعة الاستخدام، ثم استخدمت بنيتها التحتية لفترة طويلة للتجسس وأوهمت الجميع أنها تحديثات مشروعة للبرمجيات.
وحافظت البرمجية الخبيثة على مكانتها المنخفضة إثر الضجة الإعلامية، والعمل المضني الذي قام به الفاعلون في الحفاظ على الأمن الإلكتروني.
ومنذ الهجوم الإلكتروني Sunburst، لم يتم نسب أي هجمات أخرى إلى المجموعة، كما لو أن التهديدات المستعصية المتقدمة المرتبطة بـ »DarkHalo » قد اختفت، لكن، ومع ذلك كشفت آخر النتائج المرتبطة بالدراسات التي أجراها الفريق العالمي للبحث والتحليل التابع لكاسبرسكي التي جرى تقديمها خلال مؤتمر قمة الأمن، أن الأمور ليست بهذه الحقيقة.
بعد مرور أزيد من نصف سنة على « اختفاء » البرمجية الخبيثة » DarkHalo »، تحديدا شهر يونيو الماضي، عثر الباحثون لدى كاسبرسكي على آثار لموجة من هجمات DNS التي ارتكبت ضد عدة إدارات، حيث عمد الأشخاص الواقفون خلف هجمات انتحال الشخصية إلى تغيير اسم النطاق (الذي يستخدم لربط URL للموقع مع عنوان IP للخادم الذي يستضيف الموقع المعني) من أجل تحويل حركة المرور إلى خادم يتحكم فيه قراصنة.
وحاول ضحايا الهجوم، حسب ما تم كشفه من لدن باحثي كاسبرسكي، الوصول إلى واجهة خدمة البريد الإلكتروني للشركات، غير أن القراصنة عملوا إلى إعادة توجيههم إلى نسخة وهمية من هذه الواجهة ثم طلبوا منهم تحميل تحديث خاص بالبرنامج الخبيث.
ووجد باحثو كاسبرسكي من خلال عملية تتبع خطى المهاجمين، التحديث المزيف واكتشفوا أنه يولد منفذا خلفيًا يُدعى » Tomiris » لا يزال مجهولاً إلى حدود اليوم.
وكشفت التحاليل الإضافية التي تم إجراؤها على أن المنفذ الخلفي كان يسعى بشكل أساسي إلى إحداث نقطة ارتكاز داخل النظام المستهدف ثم تنزيل المكونات الكيدية الأخرى.
لسوء الحظ، لم تتم عملية رصد البرمجيات الخبيثة، لكن الباحثون قاموا باكتشاف مهم من خلال ملاحظة أن المنفذ الخلفي Tomiris يشبه بشكل غريب Sunshuttle، المنفذ الخلفي المستخدم في هجوم Sunburst.
ونرصد لكم فيما يلي قائمة غير كاملة عن أوجه التشابه بين البرمجيتين الخبيثتين:
على غرارSunshutle ، تم تطوير Tomiris بلغة البرمجة Go
المنفذان الخلفيان للبرمجيتين يعتمدان على نفس جهاز التشفير/التمويه لتشفير تشكيلات الشبكة وحركة المرور
يعتمد كل واحد منها على المهام المبرمجة للثبات ويستخدم التشغيل العشوائي مع النوم لإخفاء الأنشطة
بشكل عام، يبدو أن سير العمل في البرنامجين، ولا سيما طريقة توزيع الوظائف المختلفة، قريب بما فيه الكفاية بالنسبة لمحللي كاسبرسكي لكي يوحي بأنهم قادرون على الاستفادة من نفس الأساليب لتحقيق التطوير المطلوب
الأخطاء المرصودة في اللغة الإنجليزية، تحديدا في بعض سطور الشفرة الخاصة بتوميريس (isRunned) و Sunshuttle (استخدام كلمة EXECED عوض executed)، ما يُوضح أن البرمجيتان الخبيثتان تم تصميمهما من لدن أفراد ليسوا ناطقين باللغة الإنجليزية، كما أنه لا يخفى على أحد أن مجموعة DarkHalo ناطقة باللغة الروسية.
وأخيرا، تم اكتشاف Tomiris في الشبكات التي أصيبت فيها آلات أخرى بـ Kazuar – وهو منفذ خلفي معروف بخطوط الرموز المشتركة مع خط هجوم Sunburst.
وفي هذا الصدد، شرح بيير ديلتشر، باحث في الأمن السيبراني داخل كاسبرسكي : »إذا ما تمت دراسة كُل برمجية خبيثة بشكل مستقل، فلن يكون أي من هذه العناصر التي تم جردها كافية لتحديد أوجه التشابه ما بين Tomiris و Sunshuttle، لكن وفي حالة ما إذا اعترفنا بأن بعض هذه العناصر قد تكون عرضية، فإن ملازمتها تشير مع ذلك إلى أنها قد تكون صممت من قبل نفس المجموعة من المخترقين، أو باستخدام أساليب تطويرية متطابقة ».
من جهته، قال إيفان كوياتكوفسكي، كبير الباحثين الأمنيين في فريق كاسبرسكي : »إذا ما تبين أن (Tomiris) و (Sunshuttle) لديهما صلة، فسيمكننا ذلك من تعلم دروس قيّمة حول كيف يجدد المجرمون السيبرانيين قدراتهم بعد كشفهم. وندعو الفاعلين الآخرين في مجال الأمن السيبراني إلى القيام بنفس البحث وإبداء رأيهم في أوجه التشابه التي اكتشفناها بين البرمجيتين ».
للحصول على معلومات أوفى، يُرجى الإطلاع على المقال المفصل المنشور على الرابط أسفله:
