أحمد طنطاوي
كشف فريق البحث والتحليل العالمي لدى كاسبرسكي عن برمجية تجسّس مجهولة، لوحظ وجودها في بعض المؤسسات المالية ومراكز الأبحاث بالهند. وصمَّم برمجية التجسس هذه، المسمّاة Dtrack، مجموعة Lazarus التخريبية الإلكترونية، بهدفامتلاك القدرة على تحميل الملفات إلى أنظمة الضحايا وتنزيلها منها، وتسجيل الضغطات على لوحات المفاتيح، وتنفيذ عمليات أخرى تتيح للأدوات الخبيثة إدارة الأجهزة التي وقعت ضحية لها، عن بُعد.
وكان باحثو كاسبرسكي كشفواخلال العام 2018 عن برمجية التجسس الخبيثةATMDtrackالمصممة لاختراق أجهزة الصراف الآلي في الهند وسرقة بيانات بطاقات المتعاملين. وتمكن الباحثون عقب البحث باستخدام منظومة Kaspersky Attribution Engine، التي تعمل على خوارزميات خاصة بكشف التطابق بين مختلف البرمجيات الخبيثة وبعض الأدوات الأخرى، من العثور على أكثر من 180 برمجية خبيثة متشابهة مع ATMDtrack، لكن هذه البرمجيات لم تستهدف أجهزة الصراف الآلي، بل صنفتها وظائفها بوصف "أدوات تجسّس"، سميت لاحقًاDtrack.
ولم يقتصر الشبه على هاتين السلالتين من البرمجيات الخبيثة فحسب، وإنما طال أيضًا حملة DarkSeoulالتي نُفّذت في العام 2013 ونُسبت لمجموعة Lazarus، التي تُعدّ أحد جهات التهديداتالمتقدمة والمستمرة المشهورة بنشاطها في عدّة عمليات تجسّس وتخريب رقمي.
وتستطيع جهات التهديد توظيف Dtrack أداةًلإدارة الأجهزة عن بعد، ما يعطيها سيطرة كاملة على الأجهزة المستهدفة. بإمكان المجرمين لاحقا الإتيان بشتى الأفعال، مثل تحميل الملفات إلى الأجهزة وتنزيلها منها وتنفيذ بعض العمليات الرئيسة.
وغالبًا من تكون الجهات المستهدفة من جهات تخريبية تستخدم Dtrack تعاني ضعف السياسات الأمنية الخاصة بشبكاتها وتدني المعايير المتبعة في وضع كلمات المرور، إضافة إلى الفشل في تتبع حركة البيانات عبر الأنظمة المؤسسية. وتستطيع برمجية التجسس،إذا جرى تفعيلها بطريقة صحيحة، تسجيل كل الملفات المتاحة والعمليات الفعالة على الجهاز وحفظ كل الضغطات على لوحة المفاتيح علاوة على الاطلاع على سجل التصفح على الإنترنت وعناوين الإنترنت المرتبطة بالجهاز، بما فيها الشبكات المتاحة والاتصالات المفعلة.
تجدر الإشارة إلى أن هذه البرمجية الخبيثة بناء على قياسات كاسبرسكي ما زالت فعالة وتستخدم في شنّ هجمات.
وقال كونستنتين زوكوف، الباحث الأمني في فريق كاسبرسكي للبحث والتحليل العالمي، إن مجموعة Lazarus"تقف وراءها جهات حكومية تدعمها"، مشيرًا إلى أنها تركّز في جانب من عملها على تنفيذ عمليات تجسس وتخريب رقمية، مثل مجموعات أخرى مشابهة، بيد أنها تشنّ هجمات أخرى تستهدف سرقة المال من ناحية ثانية، معتبرًا أن مثل هذا التصرف "فريد من نوعهمن جهة تهديد تتمتع بهذه المكانة، لأن الجهات الأخرى المماثلة عادة لا تحرّكها المحفزات المالية".
وأضاف: "يؤكد العدد الشاسع من عينات Dtrack التي وجدناها أن Lazarusهي أحد أكثر جهات التهديد المتقدم والمستمر نشاطًا، وأنها دومًا ما تُصمّم وتطوّر تهديدات تقع في إطار مساعيها الرامية للتأثير في قطاعات كبيرة. ويبيّن تنفيذها الناجح للهجوم ببرمجية Dtrack أن التهديدات، حتى وإن بدا أنها اختفت، قد ترجع بحُلة جديدة لاستهداف ضحايا جدد. لذلك ينبغي لجميع الجهات، حتى وإن كانت مركز أبحاث أو مؤسسة مالية مستقلة ولا تربطها بالحكومات أية روابط،أن تأخذ في الاعتبار،عند وضع نموذج أمني متخصص بالتعامل مع التهديدات،احتمالية وقوع هجوم من قبل جهة تهديد متقدم والتأهب بناء على ذلك".
يُذكر أن منتجات كاسبرسكي قادرة على الكشف عن برمجية Dtrack الخبيثة وإيقافها بنجاح.
وتقترح كاسبرسكي اتخاذ الإجراءات التاليةلتفادي هجمات البرمجيات الخبيثة، مثل أداةDtrack:
استخدام برمجيات مراقبة لحركة البيانات عبر الإنترنت، مثل Kaspersky Anti Targeted Attack Platform (KATA). تبني الحلول الأمنية المعروفةوالمجهزة بتقنيات الكشف المبنية على السلوك، مثل Kaspersky Endpoint Security for Business. تنفيذ تدقيق أمني دوري في البنية التحتية التقنية للشركة. إجراء جلسات تدريب أمني دورية للموظفين
يمكن الاطلاع على مزيد من المعلومات عن البرمجية الخبيثة الجديدة من مجموعة Lazarus على الصفحةSecurelist.
