كاسبرسكي: البرمجية الخبيثة WinDealer تُظهر قدرات هجوم شبكية معقدة

ت + ت - الحجم الطبيعي

اكتشف باحثو كاسبرسكي أن البرمجية الخبيثة WinDealer، التي تنشرها العصابة الرقمية LuoYu الناطقة بالصينية، لديها القدرة على تنفيذ عمليات اختراق بهجمات من نوع man-on-the-side. وتسمح هذه البرمجية للجهة التي تقف وراءها بتعديل حركة البيانات في الشبكة لإدخال حمولات برمجية خبيثة. وتتمثل خطورة هذه الهجمات في عدم حاجتها إلى التفاعل مع الهدف لضمان نجاح الإصابة.

واكتشف باحثو كاسبرسكي في أعقاب النتائج التي توصل إليها فريق شركة «تيم تي 5» TeamT5، طريقة توزيع جديدة لنشر WinDealer. واستخدمت العصابة على وجه التحديد، أسلوب الهجوم man-on-the-side لقراءة حركة البيانات في الشبكة وإدراج رسائل جديدة. ويقوم هذا الأسلوب على مراقبة المهاجم لطلبات المستخدم الضحية المتعلقة بالوصول إلى مَورد معين على الشبكة، وذلك عبر قدرته على الاعتراض أو احتلاله موقعاً استراتيجياً على شبكة مقدم خدمة الإنترنت، ليحاول الردّ على الضحية باستجابة أسرع من استجابة الخادم الشرعي، فإذا فاز المهاجم بهذا «السباق» سوف يستخدم الجهاز المستهدف البيانات التي يتيحها المهاجم بدلاً من البيانات العادية. وحتى إذا لم يفُز المهاجم بمعظم السباقات، يظلّ بإمكانه تكرار المحاولة حتى ينجح، ما يضمن إصابته معظم الأجهزة في نهاية المطاف.

تطبيق تجسس

وبعد الهجوم، يتلقى الجهاز المستهدف تطبيق تجسس يمكنه جمع قدر هائل من المعلومات. ويستطيع المهاجمون عرض أية ملفات مخزنة على الجهاز وتنزيلها وتشغيل بحث بكلمة أساسية في جميع المستندات. وبشكل عام، تستهدف LuoYu البعثات الدبلوماسية الأجنبية لدى الصين وأعضاء المجتمع الأكاديمي بالإضافة إلى شركات الدفاع والخدمات اللوجستية والاتصالات. هذا وتستخدم العصابة البرمجية الخبيثة WinDealer لمهاجمة أجهزة «ويندوز».

وعادة ما تحتوي البرمجية الخبيثة على خادم قيادة وسيطرة مشفّر تتحكم العصابة من خلاله في النظام بأكمله. باستخدام المعلومات المتعلقة بهذا الخادم، من الممكن حظر عنوان IP للأجهزة التي تتفاعل معها البرمجية الخبيثة، ما يؤدي إلى تحييد التهديد. لكنّ WinDealer يعتمد على خوارزمية معقدة لتوليد IP جديد لتحديد الجهاز الذي يجب الاتصال به. ويتضمن ذلك نطاقاً يصل إلى 48.000 عنوان IP، ما يجعل من المستحيل تقريباً على المشغل التحكّم حتى في قدر محدود من العناوين. على أن الطريقة الوحيدة لتفسير هذا السلوك الشبكي الذي يبدو مستحيلاً، تكمن في افتراض أن المهاجمين لديهم قدرات اعتراض كبيرة على امتداد نطاق IP هذا، ويمكنهم حتى قراءة حُزم البيانات الشبكية التي لا تصل إلى أية وجهة.

توجيه البيانات

ويُعدّ الهجوم بأسلوب man-on-the-side مدمراً لأنه لا يتطلب أي تفاعل مع الهدف ليؤدي إلى إصابة ناجحة؛ إذ يكفي وجود جهاز متصل بالإنترنت. وإضافة إلى ذلك، لا يوجد شيء يمكن للمستخدمين القيام به لحماية أنفسهم، عدا عن توجيه حركة البيانات نحو شبكة أخرى باستخدام شبكة افتراضية خاصة (VPN)، لكن هذا الخيار قد لا يكون متاحاً في جميع المناطق، لا سيما في الصين، التي يقع فيها أغلبية ضحايا LuoYu، ولذلك يرى خبراء كاسبرسكي أن تركيز العصابة ينصبّ في الغالب على الضحايا الناطقين بالصينية والجهات ذات الصلة بالصين. ومع ذلك، لاحظ الباحثون أيضاً وقوع هجمات في دول أخرى مثل ألمانيا والنمسا والولايات المتحدة وجمهورية التشيك وروسيا والهند.

التوزيع الجغرافي 

وأكّد سوغورو إيشيمارو الباحث الأمني الأول في فريق البحث والتحليل العالمي لدى كاسبرسكي، أن LuoYu جهة تهديد متطورة جداً وقادرة على الاستفادة من الوظائف التي ليست متاحة إلا للعصابات الكبيرة. ووصف الهجمات التي تُشنّ بأسلوب man-on-the-side بأنها «فائقة التدمير»، موضحاً أن الشرط الوحيد المطلوب لمهاجمة الجهاز هو أن يكون متصلاً بالإنترنت، وأن فشل الهجوم في المرة الأولى لا يعني عدم قدرة المهاجمين على تكرار المحاولات حتى ينجحوا. وقال: «لا يسعنا إلا التكهّن بسبل تمكنهم من تطوير مثل هذه القدرات، لكن هذه هي طريقة شنّهم هجمات تجسّس خطرة وناجحة على ضحاياهم من الدبلوماسيين والعلماء والموظفين من كبرى القطاعات».

وأضاف: «بغض النظر عن طريقة تنفيذ الهجوم، فليس أمام الضحايا المحتملين سبيل للدفاع عن أنفسهم سوى توخّى الحيطة واليقظة وتطبيق إجراءات أمنية قوية، مثل الفحوصات المنتظمة للفيروسات، وتحليل حركة البيانات الشبكية الصادرة، والتسجيل الشامل لهذه الحركات لاكتشاف الحالات غير الطبيعية».

وتوصي كاسبرسكي المؤسسات باتباع التدابير التالية لحماية أنفسها من هذا التهديد المتقدم وغيره:

•    تطبيق إجراءات أمنية صارمة تتضمن فحوصات منتظمة للفيروسات، وتحليل حركة البيانات الشبكية الصادرة، والتسجيل الشامل لهذه الحركات لاكتشاف الحالات غير الطبيعية.

•    إجراء تدقيق على الأمن الرقمي للشبكات ومعالجة أية ثغرات تُكتشف عند محيط الشبكة أو داخلها.

•    تثبيت حلول مكافحة التهديدات المتقدمة المستمرة وحلول الكشف عن التهديدات والاستجابة لها، ما يتيح تعزيز القدرات الخاصة باكتشاف التهديدات والتحقيق فيها ومعالجتها في الوقت المناسب.

•    تزويد فريق مركز العمليات الأمنية بإمكانية الوصول إلى أحدث معلومات التهديدات واكتساب المهارات بانتظام من خلال التدريب المهني. وهذا متاح ضمن منظومة Kaspersky Expert Security.

•    تساعد الخدمات التخصصية، بجانب الحماية المناسبة للنقاط الطرفية، في التصدّي للهجمات عالية المستوى، وذلك مثل Kaspersky Managed Detection and Response، التي تساعد في تحديد الهجمات وإيقافها في مراحلها الأولى، قبل أن يحقق المهاجمون أهدافهم.

•    إدراك التهديدات الجديدة للحفاظ على مستوى عالٍ من الأمن المؤسسي. وفي هذا السياق، يتيح Threat Intelligence Resource Hub الوصول مجاناً إلى معلومات مستقلة ومحدّثة باستمرار من مصادر عالمية حول الهجمات والتهديدات المستمرة.

طباعة Email