مجموعة LuckyMouse التخريبية تعود بشهادة مشروعة للمصادقة على البرمجيات الخبيثة

اكتشف فريق البحث والتحليل العالمى التابع لشركة كاسبرسكى لاب حدوث عدة إصابات ناجمة عن تروجان لم يكن معروفاً من قبل، ويرتبط على الأرجح بجهة التهديد LuckyMouse الناطقة باللغة الصينية. ووجد الفريق سمة فى غاية الغرابة لهذه البرمجية الخبيثة تكمن فى محرّكها الذى تم اختياره بعناية، وجرى توقيعه والمصادقة عليه بشهادة رقمية مشروعة أصدرتها شركة تعمل على تطوير برمجيات متعلقة بأمن المعلومات.
وتشتهر مجموعة LuckyMouse بشنّ هجمات إلكترونية موجّهة على كيانات تجارية وحكومية كبيرة فى أنحاء العالم. ويشكل نشاط المجموعة خطراً على مناطق بأكملها تشمل جنوب شرق آسيا ووسطها، حيث يبدو أن هجماتها مرتبطة بأجندات سياسية. ويرى الباحثون فى كاسبرسكى لاب أن التروجان المكتشف ربما يكون قد استُخدم فى عمليات تجسّس إلكترونى مدعومة من جهات حكومية، بالنظر إلى ملفات الضحايا وناقلات الهجوم التى اعتمدتها المجموعة فى السابق.
وأصاب التروجان المكتشف جهاز حاسوب عبر محرّك خاص بنتْه جهة التهديد، ليسمح للمهاجمين بالقيام بجميع المهام الشائعة مثل تنفيذ الأوامر البرمجية، وتنزيل الملفات وتحميلها، واعتراض حركة مرور البيانات عبر الشبكة. وتبيّن أن المحرّك المستخدم فى إصابة الجهاز بالتروجان هو الجزء الأكثر إثارة فى هذه الحملة؛ إذ يبدو أن المجموعة استولت على شهادة رقمية تتبع مطور برمجيات أمنية واستخدمتها لتوقيع عينات من البرمجيات الخبيثة والمصادقة عليها، كى تجعلها جديرة بالثقة، وذلك فى محاولة لتجاوز الحلول الأمنية، إذ إن التوقيع من جهة مشروعة يجعل البرمجيات الخبيثة تبدو وكأنها قانونية.
كذلك وجد الباحثون ما بدا أنه سمة أخرى جديرة بالاهتمام فى هذا المحرّك، وهى أنه على الرغم من قدرة LuckyMouse على إنشاء برمجيات خبيثة خاصة بها، فإن البرمجية المستخدمة فى الهجوم عبارة عن مزيج من نماذج لشيفرات برمجية متاحة للجمهور فى مستودعات عامة وبرمجيات خبيثة معدَّلة لتنفيذ أغراض خاصة. ويؤدى مثل هذا الاستخدام البسيط لشيفرة جاهزة للاستخدام من طرف خارجي، بدلاً من تأليف شيفرة أصلية، إلى توفير وقت المطورين وجعل اكتشاف الجهة التى تقف وراء الهجوم أكثر صعوبة.