تسلّل إلكتروني وتحديث لبرمجيات خبيثة

على مرّ الوقت، تبنّت Cloud Atlasافتعال عمليات تجسّس إلكتروني كبيرة والتي تستهدف قطاعات وجهات حكوميّة وكيانات أخرى. وقد تُعرِّفَ عليها لأول مرة في العام 2014 وهي تنشط منذئذ. من هنا، وبحسب باحثون لدى كاسبرسكي، وجدوا أن Cloud Atlas تستهدف قطاعي الاقتصاد والفضاء العالميين، فضلًا عن منشآت حكومية ودينية في البرتغال، ورومانيا، وتركيا، وأوكرانيا، وروسيا، وتركمانستان، وأفغانستان، وقيرغيزستان، وبلدان أخرى. وعندما تتمكّن هذه الجهة التخريبيّة من التسلّل بنجاح إلى الجهة المستهدفة، فإنّها تجمع المعلومات المتعلّقة بالنّظام الذي اخترقته، وتسجّل كلمات المرور، وتسرّب أحدث ملفات إلى خادم القيادة والسيطرة.

إضافةً إلى ذلك، بدأت Cloud Atlas تعمل عبر موجات من الهجمات المكتشفة، في تطبيق طريقة جديدة لإصابة ضحاياها وإجراء تحركات جانبية عبر شبكاتهم حيث إنها في السابق، كانت هذه الأخيرة ترسل أولًا رسالة بريد إلكتروني للتصيّد تشتمل على ملف مُرفق خبيث إلى الجهة المستهدفة. وفي حالة نجاح الاختراق، يُنفَّذ الملف الخبيث المرفق PowerShower، والمستخدم للاستطلاع الأوّلي ولتنزيل وحدات إضافية خبيثة، وذلك من أجل السّماح للمهاجمين الإلكترونيين بمتابعة العمليّة.

وتؤجّل سلسلة الإصابة المحدثة تنفيذ البرمجية الخبيثة PowerShower حتى مرحلة لاحقة، في حين باتت الآن تعمل بدلًا من ذلك على تنزيل تطبيق HTML خبيث وتنفيذه على الجهاز الهدف بعد الإصابة الأوليّة مباشرة. ويجمع هذا التطبيق بعد ذلك معلومات أوليّة عن الحاسوب المصاب الذي هوجم وينزّل وينفّذ وحدة خبيثة أخرى هي VBShower، قبل أن يمحو VBShower الدّليل على وجود برمجيّة خبيثة في النّظام، ويتشاور مع أسياده من خلال خوادم القيادة والسيطرة، لاتخاذ قرار بشأن الإجراءات الإضافية المفترض اتباعها. وتنزّل البرمجية الخبيثة بعد ذلك، من Cloud Atlas البرمجية الخبيثة PowerShower أو تفتح منفذًا خلفيًا آخر للمرحلة الثانية، وذلك بناءً على الأمر الذي تمّ استلامه.

وبينما تتّسم سلسلة الإصابة الجديدة هذه عمومًا بالتّعقيد أكثر من سابقتها، فإنّ التّمايز الرّئيس بينهما يتمثّل في حقيقة أن تطبيق HTML الخبيث ووحدة VBShower يتّسمان بكونهما متعدّدي الأشكال، ما يعني أنّ الشيفرة البرمجية في كلتا الوحدتين ستكون جديدة وفريدة في كل حالة من حالات الإصابة. ووفقًا لخبراء كاسبرسكي، يُنفذ هذا الإصدار المحدّث من أجل جعل البرمجية الخبيثة غير مرئية لدى الحلول الأمنية التي تعتمد على مؤشرات الاختراق الاعتيادية المألوفة.

وفي هذا السّياق، اعتبر فيليكس إيمي، أحد الباحثين الأمنيين في فريق البحث والتحليل العالمي لدى كاسبرسكي: إن تبادل الجهات العاملة في الأمن الإلكتروني مؤشرات الاختراق الخاصة بالعمليات التخريبية التي يُعثر عليها في البحث "بات من الممارسات الجيدة التي أصبحت تُتبع في مجتمع الأمن الإلكتروني"، موضحًا أن هذه الممارسة "تسمح لنا بالتصدي بسرعة لعمليات التجسّس الإلكتروني الدولية الجارية، ما يحول دون تسببها بأضرار".

وأضاف إيمي أن مؤشرات الاختراق بدأت تفقد فاعليتها في اكتشاف الهجمات الموجّهة في شبكات النّظام. هذا ما ظهر أولًا مع عملية ProjectSauron التي خلقت مجموعة من مؤشرات الاختراق لكل ضحيّة من ضحاياها واستمرت في اتجاه استخدام أدوات مفتوحة المصدر في عمليات التجسّس بدلًا من أدوات فريدة. واستمر هذا الحال مع هذا المثال الحديث للبرمجيّات الخبيثة متعدّدة الأشكال. ولا يعني هذا أن الجهات التخريبيّة صعّبت على الجهات الأمنية اللحاق بها وإيقافها، ولكن يجب أن تتطوّر المهارات الأمنيّة والأدوات الدفاعيّة لمواكبة تطوّر نظيراتها لدى الجهات التخريبية.

وتوصي كاسبرسكي الشركات والمؤسسات باستخدام حلول مضادة للهجمات الموجّهة ومُحسّنة باستخدام مؤشرات اختراق تركز على التكتيكات أو الأساليب أو الإجراءات التي قد تتخذها الجهات التخريبية عند التحضير لهجوم. وتتبع مؤشرات الهجوم الأساليب التي يتم توظيفها بغض النظر عن الأدوات المستخدمة. وتحتوي أحدث إصدارات الحلّين Kaspersky Endpoint Detection and Response وKaspersky Anti Targeted Attack من كاسبرسكي على قاعدة بيانات جديدة لمؤشرات الاختراق، يتم تحديثها على أيدي صائدي التهديدات الخبراء العاملين لدى كاسبرسكي.

على ضوء ذلك، تتقدّم كاسبرسكي ببعض الّتوصيات للشركات والمؤسسات، بالحرص على تثقيف الموظفين بشأن النّظافة الرّقمية وتعريفهم بكيفية التعرّف على رسائل البريد الإلكتروني التصيّدية، أو الروابط التي يُحتمل أن تكون ضارّة، مع الاهتمام بتقديم التدريب التوعوي المتخصص للموظفين. كما توصي باعتماد حلّ أمني للنّقاط الطرفيّة مزوّد بمكونات مكافحة البريد الإلكتروني غير المرغوب فيه ومكافحة التصيّد، فضلًا عن ضبط وظائف التحكّم في التطبيقات على وضع “الرفض الأساسي” من أجل منع تنفيذ التطبيقات غير المصرح بها، وذلك مثل الحلّ Kaspersky Endpoint Security for Business.

ومن جملة  التوصيات التي تطرحها كاسبرسكي للشركات هي تنفيذ حلّ Kaspersky Endpoint Detection and Response للإمساك حتى بالبرمجيات الخبيثة المصرفيّة المجهولة، من أجل الكشف عن التهديدات عند مستوى النقاط الطرفية والتحقيق فيها ومعالجتها في الوقت المناسب. بالإضافة إلى تطبيق حلّ أمني على المستوى المؤسسي يكشف التهديدات المتقدّمة على الشبكة في مرحلة مبكرة، مثل Kaspersky Anti Targeted Attack Platform. وتُوصى الشركات أيضًا بدمج معلومات التهديدات في الخدمات والضوابط الأمنية التابعة لإدارة المعلومات والأحداث الأمنية في المؤسسة، من أجل الوصول إلى أهمّ بيانات التهديدات وأحدثها.