قمة محللي الأمان 2021: المنفذ الخلفي للبرمجية الخبيثة “Tomiris” يُعيد مجموعة المخترقين التي تقف خلف هجوم “Sunburst” إلى الواجهة

0

المنبر التونسي (Sunburst) – اكتشف الباحثون لدى شركة “كاسبرسكي” الرائدة في مجال الحماية من الفيروسات، خلال عملية التحقيق حول الهجوم المتواصل للتهديدات المستعصية المتقدمة (APT)، برمجية خبيثة جديدة تضم عددا كبيرا من الصفات من شأنها أن تكون على علاقة مع “DarkHalo”، المجموعة الإجرامية الإلكترونية التي تقف خلف الهجوم السيبرانيSunburst، بصفته واحدا من أكثر الهجمات ضررا في السنوات الأخيرة.

يرجع تاريخ الهجوم السيبراني الكبير إلى شهر دجنبر من السنة الماضية، بعدما عملت المجموعة الإجرامية الإلكترونية “DarkHalo” على إلحاق ضرر جسيمبشبكة شركة برمجيات واسعة الاستخدام، ثم استخدمت بنيتها التحتية لفترة طويلة للتجسس وأوهمت الجميعأنها تحديثات مشروعة للبرمجيات.

وحافظت البرمجية الخبيثة على مكانتها المنخفضة إثر الضجة الإعلامية، والعمل المضني الذي قام به الفاعلون في الحفاظ على الأمن الإلكتروني.

ومنذ الهجوم الإلكتروني Sunburst، لم يتم نسب أي هجمات أخرى إلى المجموعة، كما لو أن التهديدات المستعصية المتقدمة المرتبطة بـ”DarkHalo” قد اختفت، لكن، ومع ذلك كشفت آخر النتائج المرتبطة بالدراسات التي أجراها الفريق العالمي للبحث والتحليل التابع لكاسبرسكيالتي جرى تقديمهاخلال مؤتمر قمة الأمن،أن الأمور ليست بهذه الحقيقة.

بعد مرور أزيد من نصف سنة على “اختفاء” البرمجية الخبيثة “DarkHalo”، تحديدا شهر يونيو الماضي،عثر الباحثون لدى كاسبرسكي على آثار لموجة من هجمات DNS التي ارتكبت ضد عدة إدارات، حيث عمد الأشخاص الواقفون خلف هجمات انتحال الشخصية إلى تغيير اسم النطاق (الذي يستخدم لربط URLللموقع مع عنوان IP للخادم الذي يستضيف الموقع المعني) من أجل تحويل حركة المرور إلى خادم يتحكم فيه قراصنة.

وحاول ضحايا الهجوم، حسب ما تم كشفه من لدن باحثي كاسبرسكي، الوصول إلى واجهة خدمة البريد الإلكتروني للشركات، غير أن القراصنة عملوا إلى إعادة توجيههم إلى نسخة وهمية من هذه الواجهة ثم طلبوامنهم تحميل تحديث خاصبالبرنامج الخبيث.

ووجد باحثو كاسبرسكيمن خلال عملية تتبعخطى المهاجمين، التحديث المزيف واكتشفوا أنه يولد منفذا خلفيًا يُدعى “Tomiris” لا يزال مجهولاً إلى حدود اليوم.

وكشفت التحاليل الإضافية التي تم إجراؤها على أن المنفذ الخلفي كان يسعى بشكل أساسي إلى إحداث نقطة ارتكازداخل النظام المستهدف ثم تنزيل المكونات الكيدية الأخرى.

لسوء الحظ، لم تتم عملية رصد البرمجيات الخبيثة،لكن الباحثون قاموا باكتشاف مهم من خلال ملاحظة أن المنفذ الخلفي Tomirisيشبه بشكل غريب Sunshuttle، المنفذ الخلفي المستخدم في هجوم Sunburst.

ونرصد لكم فيما يلي قائمة غير كاملة عن أوجه التشابه بين البرمجيتين الخبيثتين:

  • على غرارSunshutle، تم تطوير Tomirisبلغة البرمجة Go
  • المنفذان الخلفيان للبرمجيتين يعتمدان على نفس جهاز التشفير/التمويه لتشفير تشكيلات الشبكة وحركة المرور
  • يعتمد كل واحد منها على المهام المبرمجة للثبات ويستخدم التشغيل العشوائي مع النوم لإخفاء الأنشطة
  • بشكل عام، يبدو أن سير العمل في البرنامجين، ولا سيما طريقة توزيع الوظائف المختلفة، قريب بما فيه الكفاية بالنسبة لمحللي كاسبرسكي لكي يوحي بأنهم قادرون على الاستفادة من نفس الأساليب لتحقيق التطوير المطلوب
  • الأخطاء المرصودة في اللغة الإنجليزية، تحديدا في بعض سطور الشفرة الخاصة بتوميريس(isRunned) وSunshuttle(استخدام كلمة EXECED عوض executed)، ما يُوضح أن البرمجيتان الخبيثتانتم تصميمهما من لدن أفراد ليسوا ناطقين باللغة الإنجليزية، كما أنه لا يخفى على أحد أن مجموعة DarkHaloناطقة باللغة الروسية.
  • وأخيرا، تم اكتشاف Tomirisفي الشبكات التي أصيبت فيها آلات أخرى بـKazuar – وهو منفذ خلفي معروف بخطوط الرموز المشتركة مع خط هجوم Sunburst.

وفي هذا الصدد، شرح بيير ديلتشر، باحث في الأمن السيبراني داخل كاسبرسكي :”إذا ما تمت دراسة كُل برمجية خبيثة بشكل مستقل، فلن يكون أي من هذه العناصر التي تم جردها كافيةلتحديد أوجه التشابه ما بين Tomiris  وSunshuttle، لكن وفي حالة ماإذا اعترفنا بأن بعض هذه العناصر قد تكون عرضية، فإن ملازمتها تشير مع ذلك إلى أنها قد تكون صممت من قبل نفس المجموعة من المخترقين، أو باستخدام أساليب تطويرية متطابقة”.

 من جهته، قال إيفان كوياتكوفسكي، كبير الباحثين الأمنيين في فريق كاسبرسكي :”إذا ما تبين أن (Tomiris) و (Sunshuttle) لديهما صلة، فسيمكننا ذلك من تعلم دروس قيّمة حول كيف يجدد المجرمون السيبرانيين قدراتهم بعد كشفهم. وندعو الفاعلين الآخرين في مجال الأمن السيبراني إلى القيام بنفس البحث وإبداء رأيهم في أوجه التشابه التي اكتشفناها بين البرمجيتين”.

للحصول على معلومات أوفى، يُرجى الإطلاع على المقال المفصل المنشور على الرابط أسفله:

https://securelist.com/darkhalo-after-solarwinds-the-tomiris-connection/104311/

نبذة حول كاسبيرسكي

تأسست شركة “كاسبرسكي” العالمية للأمن السيبراني عام 1997. الشركة معروفة بخبرتها الكبيرة في مجال أمن التهديدات وأمن تكنولوجيا المعلوميات، وتعمل دائما على إنشاء حلول وخدمات أمنية لحماية الشركات والبنيات التحتية الحيوية، والسلطات العامة والأفراد في جميع أنحاء العالم.

تضمن مجموعة الحلول الأمنية الواسعة لـ “كاسبرسكي” حماية شاملة ونهائية للهواتف وإضافة إلى حلول وخدمات أمنية مخصصة لمكافحة التهديدات الرقمية المتطورة باستمرار.

كما تساعد تقنيات “كاسبيرسكي” أكثر من 400 مليون مستخدم و240.000 زبون على حماية الأشياء الأكثر أهمية بالنسبة لهم.

للحصول على معلومات أكثر، يمكنكم زيارة موقعنا عبر النقر على الرابط أسفله:

www.kaspersky.fr

LEAVE A REPLY

Please enter your comment!
Please enter your name here