"كاسبرسكي": مجموعة أدوات خبيثة جديدة للتجسس على الشركات الصناعية
كشف باحثو "كاسبرسكي"، العالمية المتخصصة في الأمن الإلكتروني، النقاب عن سلسلة من الهجمات الموجهة بدقة نحو مجموعة شركات صناعية كبيرة، والتي يعود تاريخها إلى العام 2018.
وتُعد تلك الهجمات شديدة الندرة في عالم الجهات التخريبية القائمة خلف التهديدات المتقدمة المستمرة، مقارنة بالحملات المماثلة التي تُشنّ ضد جهات دبلوماسية وسياسية بارزة.
ولقّبت كاسبرسكي مجموعة الأدوات الخبيثة بـ "MontysThree"، في حين أن واضعيها اسموها MT3.
وتستخدم هذه الأدوات أساليب متطورة لتجنب الاكتشاف، بينها وضع اتصالاتها مع خادم التحكم والسيطرة على خدمات سحابية عامة، وإخفاء الوحدة الخبيثة الرئيسة باستخدام أسلوب مواراة المعلومات ضمن الملفات.
ويميل المخربون إلى استهداف الجهات الحكومية والدبلوماسيين وشركات الاتصالات بتهديداتهم المتقدمة المستمرة، نظرًا لأن هؤلاء الأفراد والمؤسسات يمتلكون ثروات من المعلومات شديدة السرية والحساسية السياسية.
ومن النادر جدًا في المقابل أن تستهدف حملات التجسس منشآت صناعية، ولكنها يمكن إن فعلت أن تخلّف عواقب وخيمة على تلك المنشآت. ولهذا السبب، سارع باحثو كاسبرسكي إلى تدوين الملاحظات عندما رصدوا نشاط "MontysThree".
وتنشر أدوات "MontysThree" بهدف التجسس برمجية خبيثة تتكون من أربع وحدات؛ الأولى أداة تحميل تُنشر مبدئيًا باستخدام ملفات RAR SFX (ملفات أرشيفية ذاتية الاستخراج) تحتوي على أسماء مرتبطة بقوائم جهات الاتصال بالموظفين، ووثائق فنية، ونتائج تحاليل طبية، لخداع الموظفين ودفعهم إلى تنزيل الملفات، في أسلوب شائع للتصيّد.
وتُعدّ أداة التحميل المسؤولة في الأساس عن ضمان تجنّب اكتشاف البرمجيات الخبيثة على النظام؛ إذ تنشر تقنية تُعرف باسم "ستيغانوغرافي" steganography التي تعني مواراة المعلومات أو إخفاءها.
وتلجأ الجهات التخريبية إلى هذا الأسلوب لإخفاء حقيقة تبادل البيانات.
ويجري إخفاء الحمولة الخبيثة الرئيسة، في حالة "MontysThree"، ضمن ملف صورة نقطية bitmap (أحد تنسيقات تخزين الصور الرقمية).
وعندما يُدخل "الأمر" المناسب، تستخدم أداة التحميل خوارزمية مخصصة لفك تشفير المحتوى من مصفوفة النقاط الصورية (البيكسل) وتشغّل الحمولة الخبيثة، التي تستخدم عدة أساليب تشفير لتفادي الاكتشاف، تشمل استخدام خوارزمية RSA لتشفير الاتصالات مع خادم التحكم، وفك تشفير "المهام" الرئيسة التي تحددها البرمجية الخبيثة.
ويتضمن ذلك البحث عن أنواع محددة من المستندات وفي أدلّة تصنيفية معينة داخل أنظمة الشركة. وقد صمّمت "MontysThree" لاستهداف مستندات "مايكروسوف"، و"أدوبي أكروبات" على وجه التحديد؛ كما يمكنها التقاط لقطات للشاشات وجمع معلومات حول إعدادات الشبكة المستهدفة واسم المضيف وما إلى ذلك، بهدف معرفة ما إذا كانت تهمّ المهاجمين.
وتوضع المعلومات المجمّعة والاتصالات الأخرى مع خادم التحكم على خدمات سحابية عامة مثل "جوجل" ومايكروسوفت" و"دروب بوكس"، ما يصعّب على أنظمة الأمن إدراك أن حركة الاتصالات والبيانات خبيثة. ويتواصل العمل التخريبي لخادم التحكم دون انقطاع نظرًا لعدم قدرة البرمجيات المضادة للفيروسات على إيقاف هذه الأنشطة.
وتستخدم "MontysThree" أيضًا طريقة بسيطة لاكتساب الثبات والاستمرارية على النظام المصاب، تتمثل في أداة تعديل لشريط أدوات التشغيل السريع في ويندوز.
ويشغّل المستخدمون بأنفسهم، عن غير قصد، الوحدة الأولية للبرمجية الخبيثة في كل مرة يشغلون فيها أية تطبيقات رسمية، مثل متصف الويب، عند استخدام شريط أدوات التشغيل السريع.
هذا ولم تتمكن كاسبرسكي من العثور على وجه شبه في الشيفرة البرمجية الخبيثة أو بنيتها التحتية مع أي من جهات التهديدات الرقمية المعروفة.
