هجمات إلكترونية خفية تستهدف شركات 40 دولة من بينها مصر والسعودية
هانى الروبى
كتب - هانى الروبى
اكتشف خبراء كاسبرسكى لاب مؤخراً سلسلة من الهجمات الموجهة الخفيّة التى تستخدم البرامج النظامية فقط: مثل برامج اختبار الاختراق المنتشرة على نطاق، بالإضافة إلى إطار (PowerShell) لاتمام المهام فى برنامج «ويندوز» من دون إيداع أى ملفات خبيثة فى القرص الصلب، بل إنها تختبئ وتتمركز فى الذاكرة.
وهذا النهج الموحد يساعد المجرمين على تجنب اكتشافهم عن طريق تكنولوجيات (Whitelisting) وارباك المحققين من خلال عدم ترك أثر لأى برمجيات أو ملحقات خبيثة للاستدلال بها. ويبقى المهاجمون قابعون هناك لمدة طويلة حتى يتمكنوا من جمع معلومات كافية قبل أن تتم إزالة آثارهم من النظام عند أول عملية إعادة تشغيل لجهاز الضحية.
فى نهاية العام 2016، تواصلت بنوك من رابطة الدول المستقلة مع خبراء كاسبرسكى لاب لتبلغهم بأنها قد وجدت برنامج اختبار الاختراق المعروف باسم (Meterpreter) والذى غالبا ما يستخدم حالياً لأغراض خبيثة، فى ذاكرة خوادمها، مع أنه من غير المفترض أن يكون هناك. وتوصلت كاسبرسكى لاب إلى أن شيفرة (Meterpreter) كانت مدمجة مع عدد من نسخ (PowerShell) وغيرها من الملحقات.
وتم تطوير الأدوات الموحدة لتتحول إلى شفرة خبيثة قادرة على التخفى فى كواليس الذاكرة ولتقوم خلسة بجمع كلمات المرور من إداريى النظام، بحيث يمكن للمهاجمين التحكم عن بعد بأنظمة الضحية. ويبدو أن الهدف النهائى من تلك الهجمات هو اختراق العمليات المالية.
وقد صرحت كاسبرسكى لاب منذ ذلك الحين بأن هذه الهجمات تحدث على نطاق واسع: حيث ضربت أكثر من 140 من شبكات الشركات ضمن نطاق من قطاعات الأعمال، وتركزت مواقع معظم الضحايا فى الولايات المتحدة الأمريكية وفرنسا والإكوادور وكينيا والمملكة المتحدة وروسيا.
ومن غير المعروف من يقف وراء هذه الهجمات، إن استخدام البرمجيات المفتوحة المصدر المحتوية على ثغرات أمنية وبرامج ويندوز شائعة الاستخدام والنطاقات المجهولة يجعل من المستحيل تقريبا تحديد الجهات المسئولة عن الهجمات، أو معرفة ما إذا كانت عصابة فردية أو مجموعة عصابات تشترك فى استخدام الأدوات ذاتها. من العصابات المعروفة التى تتبع أساليب متشابهة إلى حد بعيد، عصابة (GCMAN) وعصابة (Carbanak).
وهذه الأدوات أيضا تجعل من الصعب الكشف عن تفاصيل أى هجوم. إن الإجراء الاعتيادى الذى يقوم به أى محقق أثناء مرحلة الاستجابة لحالات الاختراق الأمنى يتمثل فى فحص الآثار والعينات التى يتركها المهاجمون خلفهم فى الشبكة. وفى حين أن البيانات المخزنة فى القرص الصلب قد تبقى متوفرة لمدة عام كامل بعد أى حالة اختراق، تتم إزالة جميع البرمجيات الخبيثة المتخفية فى الذاكرة عند أول عملية إعادة تشغيل لجهاز الكمبيوتر. لحسن الحظ، فى تلك الحالة، تمكن الخبراء من اكتشافها فى الوقت المناسب.
وصرح سيرجى غولوفانوف، الباحث الأمنى الرئيسى فى كاسبرسكى لاب بالقول، «بأن إصرار المهاجمين على إخفاء نشاطهم، وجعل عملية التتبع والاستجابة للحالات الطارئة أكثر صعوبة، وهو ما يفسر أحدث اتجاهات البرمجيات الخبيثة المضادة لتقنيات التحليل الجنائى والمرتكزة فى الذاكرة. وهذا ما يجعل الاعتماد على الأدلة الجنائية المجمّعة من الذاكرة غاية فى الأهمية لتحليل البرمجية الخبيثة ومهامها التخريبية. وفى هذه الحالات المحددة، أظهر المهاجمون، من خلال استخدام جميع التقنيات المتاحة والمضادة للأدلة الجنائية، كيف أنه لا حاجة لاستخدام أى ملفات خبيثة لتسريب بيانات من أى شبكة بشكل ناجح، وكيف أن استخدام المصادر الخدمية النظامية والمتاحة للجميع يجعل تحديد الجهات التى تقف وراء تلك الهجمات أمراً شبه مستحيل».
لا يزال المهاجمون فى أوج نشاطهم، ولذلك من المهم أن نعرف بأن الكشف عن هذا النوع من الهجمات لن يكون ممكناً إلا فى ذاكرة الوصول العشوائى والشبكة وسجل المعالج، وبأنه، فى مثل هذه الحالات، لن يكون لاستخدام أنظمة (Yara) الصارمة القائمة على فحص الملفات الخبيثة أى فائدة تذكر.
خلال قمة «Security Analyst Summit» الذى ستعقد خلال الفترة من 2 إلى 6 أبريل 2017، سيقوم سيرجى غولوفانوف وإيجور سومينكوف باستعراض تفاصيل وافية حول الجزء الثانى من الهجوم الذى يبيّن كيفية قيام المهاجمين باستخدام تكتيكات غير مسبوقة لسحب الأموال من أجهزة الصراف الآلى.
اكتشفت منتجات كاسبرسكى لاب بنجاح هجمات لعصابات إلكترونية تستخدم نفس التكتيكات والتقنيات والخطوات. يتوفر المزيد من المعلومات حول هذه الحالة وأنظمة (Yara) الصارمة للتحليلات الاستباقية عبر المدونة المنشورة فى موقع: Securelist.com كما تم تزويد العملاء الأعضاء فى (Kaspersky Intelligence Services) بجميع التفاصيل التقنية، بما فيها نتائج مؤشرات الاختراق.
إن التصدى للهجمات التى تشنها عصابات إلكترونية من أمثال (GCMAN) أو (Carbanak) تتطلب جملة من المهارات المحددة التى يتمتع بها مختصو الأمن المسئولون عن حراسة وحماية الشركات المستهدفة. وخلال قمة «Security Analysis Summit 2017» سيقيم عدد من نخبة خبراء الأمن المرموقين دورات تدريبية حصرية حول الأمن الإلكترونى، صممت لمساعدة المختصين فى هذا المجال على تتبع الهجمات الموجهة المتطورة. بإمكانكم تقديم طلب للتدرب على مهارات «التصدى للهجمات الموجهة باستخدام أنظمة (Yara) الصارمة» هنا. بإمكانكم تقديم طلب للتدرب على الهندسة العكسية للبرمجيات الخبيثة هنا.
