في سبتمبر من عام 2015، رصدت منصة Anti-Targeted Attack Platform لكاسبرسكي لاب نشاطاً غير عادياً في إحدى شبكات العملاء. وأدى هذا الوضع المريب إلى تمكين الباحثين من اكتشاف (ProjectSauron)، وهي حملة خبيثة منتشرة على نطاق واسع تستهدف المؤسسات المحلية عن طريق استخدام مجموعة فريدة من الأدوات المصممة وفقاً لخصائص كل ضحية على حدة، الأمر الذي يجعل المؤشرات التقليدية الدالة على الاختراقات الأمنية عديمة النفع غالباً. ويبدو أن الهدف من هذه الهجمات يتمحور بشكل رئيسي على التجسس الإلكتروني.
وتركز حملة (ProjectSauron) الخبيثة بشكل خاص على اختراق وتصيّد الاتصالات المشفرة باستخدام منصة تجسس إلكتروني نموذجية متطورة تشتمل على مجموعة من الأدوات والتقنيات غير المسبوقة. ومن ابرز الخصائص المميزة المستخدمة في تكتيات حملة (ProjectSauron) الخبيثة هو التجنب المتعمد لاعتماد أنماط متكررة ومألوفة: حيث تقوم حملة (ProjectSauron) بإعداد نماذج خاصة من الطعوم الخبيثة (implants) والبنى التحتية بما يتماشى مع كل هدف فردي، ولا تلجأ إلى إعادة استخدام أي منها على الإطلاق. وهذا التكتيك المترافق مع مختلف الأساليب المتعددة لتحميل البيانات المسروقة، مثل قنوات البريد الإلكتروني النظامية و(DNS)، يساعد (ProjectSauron) في شن حملات تجسس إلكتروني سرية طويلة الأمد على الشبكات المستهدفة.
وتعطي (ProjectSauron) انطباعا بأنها عصابة إلكترونية متمرسة وتقليدية بذلت جهوداً كبيرة للتعلم من حملات القرصنة فائقة التطور، بما في ذلك (Duqu) و(Flame) و(Equation) و(Regin) وتستخدم بعضاً من تقنياتها الأكثر ابتكارا وتحرص دائماً على تحسين أساليبها الهجومية لكي تبقى متخفية باستمرار.
السمات الرئيسية
تشمل أدوات وتقنيات حملة (ProjectSauron) الخبيثة التي لها أهمية خاصلة ما يلي:
المناطق الجغرافية والضحايا المستهدفون
تم حتى الآن تحديد أكثر من 30 شركة ومؤسسة وقعت ضحية لحملة (ProjectSauron) الخبيثة، والتي يقع معظمها في روسيا و إيران و رواندا. وهناك المزيد من الدول الناطقة باللغة الإيطالية و المؤسسات والمناطق الجغرافية التي يحتمل أن تتأثر بتلك الهجمات.
واستناداً إلى نتائج تحليلنا، تم التوصل إلى أن المؤسسات المستهدفة عموما تلعب دورا رئيسيا في توفير خدمات جيدة على نطاق الدولة، بما فيها:
وتشير التحليلات الجنائية إلى أن حملة (ProjectSauron) الخبيثة تنشط منذ يونيو من عام 2011 وهي لاتزال كذلك حتى في العام 2016. ولايزال عامل العدوى الأولي المستخدم من قبل حملة (ProjectSauron) الخبيثة لاختراق شبكات الضحية مجهولا حتى الآن.
وقال فيتالي كاملوك، الباحث الأمني الرئيسي في كاسبرسكي لاب، "نشهد اليوم عدداً من هجمات القرصنة الموجهة التي تستخدم أدوات منخفضة التكلفة وفي متناول الجميع. وتعد ProjectSauron ، في المقابل، من إحدى تلك الهجمات التي تعتمد بالمرتبة الأولى على وسائل محلية الصنع وموثوقة ورموز نصوص برمجية قابلة للتخصيص. ويعد استخدام المؤشرات الفريدة لمرة واحدة، مثل سيرفر التحكم ومفاتيح التشفير وغيرها، بالإضافة إلى تبني التقنيات المتطورة من قبل الحملات الخبيثة الرئيسية الأخرى شيئاً جديداً نوعاً ما. والطريقة الوحيدة لمنع مثل هذه التهديدات تتمثل في ضرورة اقتناء حلول أمنية متعددة الطبقات، بحيث تكون قائمة على سلسلة من أجهزة الاستشعار التي ترصد أي نشاط مريب مهما كان عديم الأهمية في تدفقات أعمال الشركة، وبحيث يكون مدعوماً بقدر مضاعف من استخبارات التهديدات والتحليلات الجنائية للبحث عن الأنماط المريبة حتى وإن لم يكن هنالك مؤشرات على وجودها."
إن تمويل تكلفة هذه الحملة الخبيثة ومستواها المتطور واستمرارها دون انقطاع والهدف الكامن ورائها: مثل سرقة المعلومات السرية من مؤسسات لها مركز حساس في الدول، يشير إلى أن هناك حكومات دول متورطة أو تدعم هذه الحملة الخبيثة.
يوصي خبراء الأمن في كاسبرسكي لاب المؤسسات بإجراء تدقيق شامل لشبكات تكنولوجيا المعلومات ونقاط النهاية لديها وتطبيق الإجراءات التالية:
إن تقرير حملة ProjectSauron الخبيثة متوفر مسبقاً للعملاء عن طريق خدمة تقارير Kaspersky Lab APT Intelligence. لمعرفة المزيد، يرجى زيارة الموقع: http://www.kaspersky.com/enterprise-security/apt-intelligence-reporting
تتوفر مؤشرات هجمات الاختراق الإلكتروني وقواعد YARA هنا
جميع منتجات كاسبرسكي لاب تتبع عينات ProjectSauron على شكل HEUR:Trojan.Multi.Remsec.gen.
لمعرفة المزيد حول ProjectSauron ، يرجى قراءة المدونة الإلكترونية على الموقع: blogpost on Securelist.com
تعرفوا أكثر حول آلية عمل منتجات كاسبرسكي لاب في حماية المستخدمين من هذا التهديد.