هجمات ريجين من أكثر الهجمات المتطورة حتى الآن

نوفمبر 25, 2014

تتحدث تقريباً كل مؤسسة معنية بشأن تعقب الهجمات المتقدمة المستمرة APT عن الهجمة المتطورة الجديدة التي تدعى “ريجين”.

ويبدو بأن مجموعة من المؤسسات كانت تحتفظ بملفات عن ريجين، إذ أنه حال قيام سيمانتيك بإصدار نسختها الأولى من التقرير خلال نهاية الأسبوع، بدأت تقارير أخرى بالظهور وإضافة اكتشافاتها الخاصة. ووصفت أكثر من شركة وأكثر من باحث، من بينها فريق الأبحاث والتحليلات الدولية في كاسبرسكي لاب، هذه الهجمات بأنها أكثر هجمات متطورة قاموا بتحليلها إلى حد الآن.

Regin-APT-Attacks-Among-the-Most-Sophisticated-Ever-Analyzed-1024x767
ووفق اكتشافات كاسبرسكي لاب، فإن حملة هجمات ريجين تستهدف مشغلات الاتصالات، والمؤسسات الحكومية، والهيئات السياسية العالمية، والمؤسسات المالية، ومؤسسات البحث، والأفراد المهتمين بمسائل التشفير. ويبدو بأن المهاجمين مهتمين بجمع البيانات الذكية وتسهيل أنواع أخرى من الهجمات. وتتضمن كثير من البيانات التي يجمعها المهاجمون التجسس على الرسائل الإلكترونية والملفات، كما يستهدف الهجوم شركات الاتصالات، ومزود GSM واحد على الأقل، وهو أمر غير معتاد في هذه الهجمات.

وتستند مفردة GSM إلى النظام العالمي لاتصالات الهواتف المحمولة، وهو أمر ثابت للاتصالات بين الهواتف المحمولة. ويمكن اعتبارها الجيل الثاني من الهواتف وتكنولوجيا الاتصالات (G2). ومن ناحية أخرى، وفقاً للتقارير، فإن GSM هي الأساس لكثير من شبكات الهواتف المحمولة المستخدمة من قبل أغلبية الاتصالات، وهي متوفرة بأكثر من 219 دولة ومنطقة، وتتطلب 90٪ من حصة سوق اتصالات الهواتف المحمولة.

هذا الأمر يعني أنهم يملكون إمكانية الدخول للمعلومات حول الاتصالات التي تم إجراؤها من قبل خلية معينة، وتحويل هذه الاتصالات إلى خلايا أخرى، وتفعيل الخلايا، وإجراء هجمات أخرى

“قدرة هذه المجموعة على تمثيل ومراقبة شبكات GSM قد تكون أكثر عامل غير معتاد ومثير للاهتمام في هذه العمليات”، يقول فريق الأبحاث والتحليلات الدولية في كاسبرسكي لاب. “في عالم اليوم، أصبحنا معتمدين تماماً على شبكات الهواتف المحمولة، والتي تعتمد بدورها على بروتوكولات اتصالات قديمة دون اعتماد أي معايير أمنية لحماية المستخدمين. ورغم أن معظم شبكات GSM تملك آلية مرتبطة بها تتيح للجهات القانونية تعقب المشتبه بهم، بينما هناك جهات أخرى قد تمتلك هذه القدرات وتستخدمها لإطلاق أنواع أخرى من الهجمات ضد مستخدمي الهواتف المحمولة”.

تمكن المهاجمون من سرقة بيانات الدخول من قاعدة GSM داخلية تعود ملكيتها إلى مشغل اتصالات كبير، منحهم إمكانية الدخول إلى خلايا GSM في تلك الشبكة المحددة، وفق كاسبرسكي لاب. ولاحظ زميلي في ثريت بوست، مايك ميموسو، بأن مدراء الشبكة يتحكمون بالاتصالات أثناء تنقلهم بين شبكات الهواتف المحمولة، بما يتضمن المصادر، وتنقلات البيانات بين الهواتف المحمولة.

“هذا الأمر يعني أنهم يملكون إمكانية الدخول للمعلومات حول الاتصالات التي تم إجراؤها من قبل خلية معينة، وتحويل هذه الاتصالات إلى خلايا أخرى، وتفعيل الخلايا، وإجراء هجمات أخرى”. كتب خبراء كاسبرسكي لاب، “في الوقت الحالي، فإن المهاجمين المسؤولين عن ريجين هم الوحيدين المعروفين بقدرتهم على تنفيذ هذه النوعية من العمليات”.

وبكلمات أخرى، فإن ممثلي ريجين لا يستطيعون مراقبة اتصالات الخلايا فحسب، إنما يستطيعون أيضاً إعادة توجيه اتصالات الخلايا من رقم إلى آخر.

ومن العوامل الأخرى المثيرة للاهتمام في هجوم ريجين هي قصة المسؤول عن التشفير البلجيكي جيان جاكوس كيسكواتر، وبدأت تقارير بالظهور في فبراير من هذه السنة تدعي بأن حاسوب كيسكواتر الشخصي تعرض للقرصنة من ستة أشهر قبل ذلك. ورغم أنه من غير المعتاد مهاجمة الأكاديميين من قبل المجرمين الإلكترونيين، فإن هذه الحالة مختلفة بسبب بعض عوامل التشابه بين الهجوم الذي استهدف جهازه وهجوم منفصل استهدف شبكة الاتصالات البلجيكية بيلجاكوم.

وكانت الحادثة الأخيرة الموضوع الرئيسي في اكتشاف ادوارد سنودين والذي ادعى فيه بأن وكالة الأمن القومي ونظيرتها البريطانية GCHQ قامت بتدبير الهجوم. وبالطبع، فقد ادعت كثير من المنصات الإعلامية بأن عوامل التشابه هذه تفيد بأن المؤسستين الأمريكية والبريطانية تقفان وراء الهجومين.

وإضافة إلى قصة كيسكواتر وحقيقة استهداف GSM، فإن منصة هجمات ريجين تعرض ثقافة تقنية عالية ومتطورة، إذ أن المهاجمين قاموا بإنشاء أبواب خلفية مع أوامر إعدادات لضمان الرقابة المتواصلة على شبكات الضحايا. وتم تشفير كافة اتصالات الحملة لضمان عدم ملاحظة الهجمات، بين كل من المهاجمين وخوادم التحكم، وبين أجهزة الضحايا والبنية التحتية للهجوم.

وتحصل معظم هجمات ريجين بين الأجهزة المصابة وشبكات الضحايا. ويتيح هذا الأمر إمكانية الدخول، مع تحديد كمية البيانات الموجودة على الشبكة لخادم الأمر والتحكم. وعندما ترى البيانات تغادر شبكتك وتتجه إلى شبكة مجهولة، فإن هذا الأمر يرفع تنبيه الخطر، مما يصعب على مراقبي الشبكات معرفة أن هناك هجوماً يحصل.

Regin-graph-one-1024x640

وفي إحدى دول الشرق الأوسط التي لم يتم تسميتها، تتواصل كل شبكة من الضحايا مع الشبكات الأخرى ضمن بنية “الند للند”. وتضمنت الشبكة مكتب الرئيس، ومركز بحث، وشبكة مؤسسة تعليمية، وبنك. وتتضمن إحدى شبكات الضحايا دندنة ترجمة قادرة على نقل حزم البيانات المسروقة خارج الدولة، إلى خادم الأمر والتحكم الموجود في الهند.

“يمثل هذا الأمر آلية أمر وتحكم مثيرة للاهتمام، وتضمن بإثارة الريبة”، كتب الباحثون. “إذا تم إرسال كافة الأوامر إلى مكتب الرئيس عبر شبكة البنك، فستكون كافة حركة النقل الخبيث المرئية لمكتب الرئيس مع البنك فقط في نفس الدولة”.

يقسم ريجين على ٥ مراحل، بما يمنح المهاجمين إمكانية الدخول لشبكة الضحايا، حيث تتضمن كل مرحلة أجزاء من الهجوم. وتتضمن النماذج في المرحلة الأولى أوامر تنفيذية في جهاز الضحية، وجميعها موقعة بشهادات مايكروسوفت وبرودكوم رقمية ملفقة، كي تبدو قانونية.

تستطيع منتجات كاسبرسكي الكشف عن نماذج من منصات ريجين مثل: Trojan.Win32.Regin.gen و Rootkit.Win32.Regin. كما أصدرت كاسبرسكي لاب بحثاً تقنياً كاملاً إذا كنت تود الاطلاع على مزيد من التفاصيل بهذه المسألة.