التهديد الجديد يضم مهارات تأليف البرمجيات الخبيثة "للمدرسة القديمة" مع البرمجيات المستغلة المطورة في Adobe Reader لتجميع المعلومات الجيوسياسية من الأهداف ذات الأهمية البالغة
نشر خبراء كاسبرسكي لاب اليوم تقريرا جديدا يحلل مجموعة من الحوادث الأمنية التي تورط فيها برنامج PDF المستغل في Adobe Reader المكتشف حديثا (CVE-2013-6040) والبرنامج الخبيث الذي خضع لتعديلات كبيرة يعرف باسم MiniDuke. وقد استخدم برنامج MiniDuke من نوع Backdoor لشن الهجمات على مؤسسات ومنظمات حكومية عديدة في مختلف أنحاء العالم خلال الأسبوع الفائت. وقد قام خبراء كاسبرسكي لاب بالاشتراك مع CrySys Lab بتحليل الهجمات بشكل مفصل ونشر النتائج التي توصلوا إليها.
وفقا لتحليل كاسبرسكي لاب، عدد كبير من الأهداف ذات الأهمية البالغة سبق وأن تعرضت لهجمات MiniDuke، بما في ذلك المؤسسات الحكومية في أوكرانيا، بلجيكا، البرتغال، رومانيا، تشيكيا وارلندا. إضافة إلى أن مؤسسة بحثية، مركزين للعلوم، موفر الخدمات الصحية في الولايات المتحدة قد تعرضت أيضا لهذه التهديدات إلى جانب مؤسسة بحثية بارزة في هنغاريا.
وقال المدير العام ومؤسس كاسبرسكي لاب، يوجين كاسبرسكي في هذا الصدد: "إنها هجمة الكترونية غير مألوفة للغاية. لا أزال أذكر هذا النمط من برمجة البرامج الخبيثة منذ أواخر التسعينات وبداية الألفية الجديدة. إني أتساءل فيما إذا كان هذا النوع من مؤلفي البرمجيات الخبيثة الذين كانوا في سبات منذ اكثر من عقد، قد أفاقوا فجأة من سباتهم وانضموا إلى فريق المجرمين الالكترونيين الناشطين على الساحة الالكترونية. لقد كانت هذه النخبة من مؤلفي البرمجيات الخبيثة من "المدرسة القديمة" فاعلة للغاية في الماضي وقد ألفت فيروسات معقدة جدا والآن تقوم بضم مهاراتها إلى البرامج المستغلة المطورة حديثا، من النوع الذي يتفادى تقنية Sandbox، لمهاجمة المؤسسات الحكومية أو المراكز البحثية في مختلف البلدان".
وأضاف كاسبرسكي: "وقد تم تأليف البرنامج الخبيث المعدل بشكل كبير MiniDuke من فصيلة برامج "Backdoor" بواسطة لغة البرمجة Assembler بحجم صغير جدا لا يزيد عن 20 كيلوبت.إن البرامج الخبيثة التي كتبها مؤلفو المدرسة القديمة مع استخدامها للبرامج المستغلة المكتشفة حديثا وأدوات الهندسة الاجتماعية لإصابة أهداف هامة، تعتبر خطيرة للغاية".
النتائج الأولية لبحث كاسبرسي لاب:
مهاجمو MiniDuke لا يزالون فاعلين في الوقت الراهن وقد قاموا بتأليف برامج خبيثة منذ فترة قصيرة أي في 20 فبراير 2013. وقد استخدم المهاجمون أساليب فعالة للغاية من الهندسة الاجتماعية التي شملت إرسال مستندات PDF خبيثة إلى ضحاياهم. وقد كانت هذه المستندات تتمتع بمظهر لائق وتشمل معلومات ملفقة حول ندوة تتعلق بحقوق الإنسان (ASEM) وخطط السياسة الخارجية لأوكرانيا والعضوية في الناتو. وقد كانت هذه المستندات مجهزة بالبرامج المستغلة التي تستهدف Adobe Reader بإصداراته 9، 10 و11، وتتفادى تقنية Sandbox. أما الادوات التي استخدمت في إعدادها، فيبدو أنها ذاتها التي استخدمت في الهجمة الأخيرة لـFireEye. إلا أن البرامج المستغلة التي استخدمت في هجمات MiniDuke كانت لأغراض أخرى ولها برنامجها الخبيث المعدل الخاص بها. في حال تم استغلال النظام، يتم إلقاء برنامج محمل صغير الحجم في القرص التابع للآلة المستهدفة لا يزيد حجمه عن 20 كيلوبت. ويتميز البرنامج المحمل بنظام فريد ويحتوي على برمجية Backdoor معدة بلغة البرمجة Assembler. فبعد تحميله في النظام، يستخدم المحمل مجموعة من الحسابات الرياضية لتحديد البصمة الخاصة بالحاسوب وبعد ذلك يقوم باستخدام هذه البيانات لتشفير اتصالاته فيما بعد. كما انه مبرمج لتفادي تحليله من قبل مجموعة من الادوات المشفرة في بيئات محددة مثل VMware. في حال وجد أيا من هذه المؤشرات فإنه يصبح ساكنا في هذه البيئة بدلا من الانتقال إلى المرحلة الأخرى وعرض المزيد من وظائفه من خلال فك شيفرته؛ وهذا يدل على أن مؤلفي البرمجيات الخبيثة يدركون تماما ما يقوم به مكافح الفيروسات وخبراء أمن تقنية المعلومات بهدف تحليل البرنامج الخبيث وكشفه. في حال كان نظام الضحية يلبي المتطلبات المحددة مسبقا، سيستخدم البرنامج الخبيث Twitter (غير المعروف بالنسبة للمستخدم) ويبدأ البحث عن تغريدات خاصة من حسابات مجهزة من قبل. وقد تم إنشاء هذه الحسابات من قبل مديري خوادم الأوامر والمراقبة في فريق Miniduke وتقوم هذه التغريدات بحفظ عناوين URL مشفرة مخصصة لـ Backdoor. وتوفر هذه العناوين إمكانية الوصول إلى خوادم الأوامر والمراقبة التي توفر بدورها الأوامر والتحويلات لبرامج Backdoor إضافية إلى النظام عبر ملفات من نسق GIF. وفقا للتحليل، يبدو أن مؤلفي MiniDuke يوفرون نظام النسخ الاحتياطي مرن. إن لم ينجح Twitter أو أن الحسابات قد أغلقت، فإن البرنامج الخبيث يستطيع استخدام محرك البحث Google Search لإيجاد الوصلات المشفرة المؤدية إلى خادم المراقبة والأوامر الثاني. هذا النموذج يتمتع بالمرونة ويسمح للمدراء بتغيير أسلوب وصول الأوامر أو الشيفرة الضارة إلى برامج Backdoor باستمرار كلما تتطلب الأمر. عندما يكتشف النظام المصاب مكان خادم الأوامر والمراقبة، فإنه يستلم برامج Backdoor مشفرة التي يتم تمويهها في ملفات GIF وتبدو كصور تظهر على الآلة المصابة. ففي حال تم تحميلها على الآلة فإنها تقوم بتحميل برامج Backdoor أكبر والتي تقوم بدورها بعدد من الوظائف كنسخ الملفات، نقلها، إزالتها، توجييها وغيرها إلى جانب تحميل وتنفيذ البرمجيات الخبيثة الجديدة. ويتصل برنامج Backdoor بخادمين، أحدهما متواجد في باناما والآخر في تركيا لاستلام توجيهات من المهاجمين.