- الرُّبع الثالث بالأرقام
- نظرة عامة
- الهجمات/ التطبيقات المستهدِفة
- الخدع الجديدة لفيروس التجسس “نت ترافيلر”
- برنامج التشفير “آيس فوج”
- حملة التجسس الإلكتروني “كيمسوكي”
- قصص البرمجيات الخبيثة
- القبض على مصمم نظام استغلال بلاك هول
- ظهور موجِّه “بوت نت” الجديد
- أمن الويب وخروقات البيانات
- خرق فودافون ألمانيا
- اختراق منطقة مطور أبل
- سرقة المواقع الشهيرة
- البرمجيات الخبيثة في أجهزة الهواتف النقالة
- مصممو البرمجيات الخبيثة يطلقون تطويرات جديدة
- المفاتيح الرئيسية: ثغرات أندرويد الأمنية تسمح للتطبيقات بالتهرب من اختبارات السلامة
- الإحصائيات
- الإحصائيات
- التهديدات عبر الإنترنت
- اكتشاف التهديدات عبر الإنترنت
- البلدان المصنَّفَة بوجود برمجيات خبيثة على موارد الإنترنت الخاصة بها
- البلدان التي واجه مستخدموها أخطر أنواع العدوى على الإنترنت
- التهديدات المحلية
- التهديدات المكتشَفة على أجهزة كمبيوتر المستخدمين
- البلدان التي يواجه فيها المستخدمون أخطر أنواع العدوى المحلية
- وفقًا لبيانات شبكة كاسبرسكي للأمان، استطاعت منتجات كاسبرسكي لاب أن تكتشف وتتصدى لـ 978628817 تهديدًا، خلال الرُّبع الثالث من عام 2013.
- اكتشفت حلول كاسبرسكي لاب 500284715 هجومًا تم إطلاقه من موارد عبر الإنترنت، من جميع أنحاء العالم.
- حجبت برامج كاسبرسكي لاب لمكافحة الفيروسات بنجاح 476856965 محاولة، لتصيب محليًّا أجهزة كمبيوتر المستخدمين المتصلة بشبكة كاسبرسكي للأمان.
- 45.2% من هجمات الويب التي تم التصدي لها بواسطة منتجات كاسبرسكي لاب، تم تنفيذها عن طريق استخدام موارد ويب خبيثة داخل الولايات المتحدة الأمريكية وروسيا.
الرُّبع الثالث بالأرقام
نظرة عامة
الهجمات/ التطبيقات المستهدِفة
الخدع الجديدة لفيروس التجسس “نت ترافيلر”
عثر باحثو كاسبرسكي لاب على ناقلٍ لهجومٍ جديدٍ تم استخدامه بواسطة فيروس التجسس “نت ترافيلر”، الذي يُعد أحد التهديدات المستمرة المتقدمة التي أصابت بالفعل المئات من الضحايا رفيعي المستوى في أكثر من 40 بلدًا. وتشمل الأهداف الشهيرة لفيروس التجسس “نت ترافيلر” نشطاء من التبت/ اليوجور، وشركات النفط، ومراكز ومعاهد الأبحاث العلمية، والجامعات، والشركات الخاصة، والحكومات والمؤسسات الحكومية، والسفارات، والمتعهدين العسكريين.
مباشرةً، وفور الكشف بشكلٍ علني عن عملياتهم في شهر حزيران/ يونيو 2013، أغلق المهاجمون أنظمة الأوامر والتحكم لفيروس التجسس “نت ترافيلر”، وقاموا بنقلها إلى خوادم جديدة في الصين، وهونج كونج، وتايوان؛ حيث استمرت الهجمات دون وجود أي عوائق.
خلال الأيام القليلة الماضية، أُرسلت العديد من الرسائل المتصيِّدة بالحربة إلى العديد من نشطاء يوجور. تم معالجة وتصحيح هجمات البرمجيات المستغِلة الخاصة بجافا، التي اعتادت أن توزع هذا النوع الجديد من تطبيق النجم الأحمر “رِد ستار” في شهر حزيران/ يونيو 2013، وقد حقق هذا التصحيح نسبة نجاح كبيرة جدًّا. الهجمات التي حدثت في وقتٍ سابقٍ من هذا العام، والتي استخدمت ثغرة أوفيس “CVE-2012-0158”- تم تصحيحها بواسطة شركة مايكروسوفت في شهر نيسان/ أبريل الماضي.
بالإضافة إلى استخدام الرسائل المتصيِّدة بالحربة، تبنَّى مشغلو التطبيق تقنية “watering hole” (التي يُقصد بها عمليات إعادة توجيه الويب، وعمليات التحميل دون علم المستخدم من المواقع المزورة) لإصابة الضحايا من المستخدمين الذين يتصفحون الويب- بالعدوى. اعترضت وحجبت كاسبرسكي لاب عددًا من محاولات الإصابة بالعدوى من الموقع “weststock[dot]org”، وهو أحد المواقع الإلكترونية الشهيرة المتورطة في هجمات سابقة لفيروس التجسس “نت ترافيلر”. تظهر عمليات إعادة التوجيه على أنها قادمة من مواقع يوجورية تم اختراقها، وأصيبت بالعدوى عن طريق مهاجمي فيروس التجسس “نت ترافيلر”.
برنامج التشفير “آيس فوج”
اكتشفت كاسبرسكي برنامج “آيس فوج”، وهو عبارة عن تطبيق صغير لكنه حيوي، يُركز على أهدافٍ في كوريا الجنوبية واليابان، ويهاجم سلاسل التوريد للشركات الغربية. بدأت العملية في عام 2011، وتزايد حجمها ونطاقها خلال السنوات الأخيرة. بينما أصابت حملات التطبيقات الأخرى الضحايا من المستخدمين لشهورٍ أو حتى لسنوات؛ حيث استمر المهاجمون في الاستيلاء على البيانات؛ حيث تعامل مشغلو برنامج التشفير “آيس فوج” مع ضحاياهم واحدًا تلو الأخر، فقاموا بتحديد مواقع المعلومات المحددة المستهدفة فقط، ومن ثم نسخها. وبمجرد الحصول على المعلومات المنشودة والمستهدفة، يبادرون بالمغادرة. استولى المهاجمون على وثائق وخطط الشركة الحساسة، وبيانات اعتماد حساب البريد الإلكتروني، وكلمات المرور الخاصة بالدخول إلى العديد من الموارد، داخل وخارج شبكة الضحايا. في الكثير من الحالات، يبدو أن مشغلي برنامج التشفير “آيس فوج” يعرفون ويدركون جيدًا ما يحتاجونه من ضحاياهم من المستخدمين، فهم يبحثون عن أسماء ملفات محددة جدًّا، والتي يتم تحديدها ونقلها بسرعةٍ إلى خادم الأوامر والتحكم. بالاعتماد على ملفات التعريف الخاصة بالأهداف المحددة، يظهر أن المهاجمين مهتمون بالقطاعات التالية: العمليات العسكرية، وعمليات بناء السفن، والعمليات البحرية، وتطوير أجهزة الكمبيوتر والبرمجيات، وشركات الأبحاث، وشركات الاتصالات، وشركات الأقمار الصناعية، ووسائل الإعلام والتلفاز.
لقد اكتشف باحثو كاسبرسكي 13 نطاقًا من بين ما يزيد عن 70 نطاقًا استخدمه المهاجمون، وقد وفر ذلك إحصائيات عن عدد الضحايا من المستخدمين حول العالم. علاوةً على ذلك، طوَّرت خوادم الأوامر والتحكم الخاصة ببرنامج التشفير “آيس فوج” سجلات مشفرة لضحاياها من المستخدمين، جنبًا إلى جنبٍ مع تفاصيل العمليات المختلفة والمتنوعة التي استهدفتهم. يمكن لهذه السجلات في بعض الأحيان، أن تساعد في التعرف على أهداف الهجمات، وفي بعض الحالات- الضحايا من المستخدمين. بالإضافة إلى كلٍّ من اليابان وكوريا الجنوبية، تم رصد العديد من اتصالات ” sinkhole” في البلدان الأخرى، بما في ذلك تايوان، وهونج كونج، والصين، والولايات المتحدة الأمريكية، وأستراليا، وكندا، والمملكة المتحدة، وإيطاليا، وألمانيا، والنمسا، وسنغافورة، وروسيا البيضاء، وماليزيا. إجمالًا، رصدت كاسبرسكي لاب ما يزيد عن 4000 عدوى فريدة من نوعها واستثنائية، أصابت عناوين الآي بي (IP)، ومئات الضحايا من المستخدمين (منهم عشرات من ضحايا ويندوز، وما يزيد عن 350 ضحية من مستخدمي نظام التشغيل “Mac OS X”.
بناءً على قائمة الآيبيهات المستخدمة في الرصد والتحكم في البنية الأساسية، يفترض خبراء كاسبرسكي لاب، أن بعض اللاعبين وراء عمليات التهديد هذه، يأتون بشكلٍ رئيسي من ثلاثة بلدان، هي: الصين، وكوريا الجنوبية، واليابان.
حملة التجسس الإلكتروني “كيمسوكي”
في أيلول/ سبتمبر، نشر فريق كاسبرسكي لاب لأبحاث الأمن، تقريرًا جاء فيه تحليل لحملة تجسس إلكترونية نشطة، تستهدف في المقام الأول مراكز الفِكر في كوريا الجنوبية.
هذه الحملة المعروفة بـ “كيمسوكي”، محدودة ومستهدِفة للغاية. ووفقًا للتحليل التقني، ركز المهاجمون اهتمامهم على 11 منظمة توجد بشكلٍ رئيسي في كوريا الجنوبية ومنظمتين في الصين، بما في ذلك معهد سيونج، والمعهد الكوري لتحليلات الدفاع “KIDA”، ووزارة الوحدة بكوريا الجنوبية، وشركة هيونداي ميرشانت مارين، ومناصري الوحدة الكورية.
وتعود العلامات الأولى لنشاط كيمسوكي إلى الثالث من شهر نيسان/ أبريل 2013، كما ظهرت العينات الأولى من برنامج كيمسوكي من عائلة تروجان في الخامس من شهر أيار/ مايو 2013. يشمل هذا النوع من برامج التجسس غير المعقدة، العديد من أخطاء التشفير الأساسية، وإدارة الاتصالات من وإلى الأجهزة المصابة بالعدوى، عبر خادم الويب البلغاري والمجاني الخاص برسائل البريد الإلكتروني.
على الرغم من أن آلية التوصيل المبدئية تبقى مجهولة، يعتقد باحثو كاسبرسكي أن برمجيات كيمسوكي الخبيثة تنتقل على الأرجح عبر رسائل متصيِّدة بالحربة، ولديها المقدرة على تنفيذ المهام التجسسية التالية: تسجيل ضربات وضغطات المفاتيح، ومجموعة قوائم الدليل، والوصول بواسطة التحكم عن بُعد وسرقة وثيقة “HWP” (المرتبطة بتطبيق معالجة النصوص الكوري الجنوبي من حزمة هانكوم أوفيس، والمستخدمة على نطاقٍ واسعٍ من قِبل الحكومة المحلية). يستخدم المهاجمون نسخة وإصدار مُعدَّل لتطبيق الوصول عن بُعد “تيم فيور- TeamViewer”، ليعمل بطريقةٍ خفيةٍ للاستيلاء على أي ملفاتٍ من الأجهزة المصابة بالعدوى.
يحتوي برنامج كيمسوكي الخبيث على برنامج خبيث معين مصمم خصيصًا للاستيلاء على ملفات “HWP”، والذي يفترض أن هذه الوثائق تُعد أحد الأهداف الرئيسية للمجموعة.
الخيوط التي تَوصَّل إليها خبراء كاسبرسكي لاب يمكن أن نستنتج منها، أن المهاجمين يحملون الجنسية الكورية الشمالية، والتي منها: أولًا- وقبل كل شيء، ملفات تعريف الأهداف تتحدث عن نفسها- بدأت الجامعات الكورية الجنوبية في إجراء بحثٍ حول الشؤون الدولية، وإنتاج سياسات الدفاع للحكومة، ولشركة ملاحة وطنية، ومناصري الوحدة الكورية.
ثانيًا- تحتوي سلسلة مسار التجميع على مفردات من اللغة الكورية (على سبيل المثال: البعض منها يمكن ترجمته إلى أوامر باللغة الإنجليزية كـ “هجوم” و”إكمال”).
ثالثًا- عنوانَا البريد الإلكتروني اللذان يرسِل إليهما برنامج “بوتس” تقارير حول الحالة، ومعلومات النظام المصابة بالعدوى عبر المرفقات- وهماiop110112@hotmail.com و rsh1213@hotmail.com – حيث تم تسجيلهما بالأسماء التابعة لحملة التجسس الإلكتروني “كيم” التالية:”kimsukyang” و”Kim asdfa”. وبالرغم من ذلك، فإن بيانات التسجيل هذه لا توفر بيانات ثابتة أو ملموسة عن المهاجمين، وعناوين الآي بي الخاصة بالمصدر، والتابعة للمهاجمين، تتناسب مع ملف التعريف؛ حيث توجد 10 عناوين آي بي أصلية، وجميعها تكمن في شبكة إقليم جيلين، وشبكة إقليم لايونينج في الصين. ويُعتقد أن مزودي خدمات الإنترنت الموفرين لهذا النوع من الخدمات في هذه الأقاليم، يوفرون الخطوط داخل أجزاء من كوريا الشمالية.
قصص البرمجيات الخبيثة
القبض على مصمم نظام استغلال بلاك هول “Blackhole exploit kit”
تم القبض على مطور استغلال بلاك هول الذي يدعى “بانش”، وشركائه المزعومين في روسيا- في مطلع شهر تشرين الأول/ أكتوبر، ويُعد استغلال بلاك هول بلا جدالٍ أنجح أنظمة الاستغلال على الإطلاق، خلال السنوات الأخيرة. تم استئجار نظام الاستغلال بلاك هول من قِبل المجرمين الإلكترونيين الذين يريدون نشر البرمجيات الخبيثة، من خلال عمليات التحميل دون عِلم المستخدم الذي يقوم بالتصفح، وناقلات الهجمات المنتشرة في وقتنا الحاضر. يستخدم المجرمون الروابط والوصلات الخبيثة، التي تؤدي إلى المواقع الإلكترونية المخترَقة لإصابة أجهزة المستخدمين بالعدوى، كما يتم اختيار أنظمة استغلال البرمجيات المستغِلة الفعالة بناءً على إصدارات برامج فلاش، أو جافا، أو أدوبي ريدر المثبتة على جهاز الضحية.
تُعد حالة القبض هذه على المجرمين الإلكترونيين، من أبرز وأهم الحالات في التاريخ المعاصر؛ حيث جاءت بعد القبض على أعضاء عصابة كاربيرب خلال شهري آذار/ مارس، ونيسان/ أبريل من هذا العام. في حين تم الكشف عن رمز المصدر الخاص بحالة عصابة كاربيرب وأصبح متاحًا- إلى الآن، لم يتضح هل انتهى وتلاشى الرمز الخاص باستغلال بلاك هول، أو وقع في أيدي آخرين، أو أنه سيُستبدل من قِبل المنافسين في المستقبل.
ظهور موجِّه “بوت نت” الجديد
أبلغ هايسيه في شهر أيلول/سبتمبر من هذا العام، عن اكتشاف “بوت نت” جديد يتكون من موجِّهات. تعتبر الموجِّهات هي العمود الفقري لأي شبكة مستخدم منزلية، وإصابتها بالعدوى تؤثر على أي جهازٍ متصلٍ بتلك الشبكة، وكذلك أجهزة الكمبيوتر الشخصية، وأجهزة ماك، والأجهزة اللوحية، وأجهزة الهواتف الذكية، حتى أجهزة التلفاز الذكية. برنامج البوت المعروف بـ “Linux/Flasher.A”، يستخلص أي بيانات اعتماد خاصة بتسجيل الدخول، يتم إرسالها من أي جهاز. حدثت هذه العدوى بسبب وجود ثغرة أمنية في خادم ويب الموجهات التي تُشغِّل ما يعرف بـ “DD-WRT”، وهو أحد البرامج الثابتة في الموجِّه مفتوح المصدر. أدى بروتوكول نقل النص التشعبي المتشكل “HTTP” إلى تشغيل برمجيات خبيثة وتنفيذ أوامر عن بُعد، أو ما يُعرف بـ “execution of arbitrary code”. بعد ذلك، تم إرسال البيانات المسروقة المتخفية في صورة بيانات اعتماد تسجيل الدخول المأسورة، إلى خوادم الويب المُخترقة.
تم استخدام هذه الثغرة الأمنية المستغِلة بواسطة برنامج “فلاشر” منذ عام 2009، وعلى الرغم من إصلاحها بعد الكشف عنها، فإن ما يزيد عن 25.000 جهاز لا يزال في خطرٍ وغير آمن، وفقًا لما ذكره “هايسيه”. وهذا يوضح ويبرز التهديد الكبير الناتج عن الموجِّهات؛ فالبرمجيات الثابتة نادرًا ما يتم تحديثها من قِبل المستخدمين، مما يجعل منها أهدافًا سهلةً بمجرد اكتشاف ثغراتٍ أمنيةٍ بها. وللتعرف على مزيدٍ من المعلومات حول البرمجيات الخبيثة الخاصة بالموجِّهات، كتبت إحدى خبيرات كاسبرسكي لاب، مارتا جانوس، تحليلًا لأول برنامج خبيث يصيب الموجِّهات وهو “in the wild – Psyb0t”.
أمن الويب وخروقات البيانات
خرق فودافون ألمانيا
تعَرّضت شركة فودافون ألمانيا لخرق بياناتها في منتصف شهر أيلول/ سبتمبر، مما يعني أنه تم نسخ سجلات البيانات الخاصة بـ 2 مليون زبون. لم تكن هذه السجلات تحتوي فقط على أسماء وعناوين الزبائن، بل تحتوي أيضًا على تفاصيل حساباتهم المصرفية. اعتقدت شركة فودافون أن أحد العاملين بها هو من قام بذلك؛ وذلك نظرًا لآثار وحجم البيانات المخترَقة، وسريعًا ما تم تحديد والتعرف على المشتبه به، لكن إحدى مجموعات القرصنة التي تُعرف بـ “Team_L4w” اعترفت بمسؤوليتها عن تلك الهجمات، وزعمت أن أحد أعضائها استخدم قرص يو إس بي مجهولًا “USB thumb drive” ومُصابًا بالعدوى؛ لإصابة الجهاز الخاص بهذا الموظف في فودافون.
أبلغت شركة فودافون جميع زبائنها المتضررين عن طريق خدمة البريد. ولأسبابٍ تتعلق بالشفافية، أنشأت فودافون نموذج ويب، يمكن للزبائن من خلاله أن يتأكدوا ما إذا كانت بياناتهم قد تضررت جراء هذا الهجوم أم لا.
اختراق منطقة مطوِّر أبل
شهد شهر تموز/ يوليو تعليق شركة أبل لبوابة مطوِّر أبل لما يزيد عن ثلاثة أسابيع، بعد أن تمكَّن أحد المتسللين من الدخول والوصول إلى المعلومات الشخصية للمطوِّرين المسجَّلين. وما زالت “هوية” المتسلل و”الكيفية” التي تمت بها عملية الاختراق مجهولة، لكن تتوافر عدة تفسيرات محتملة. وبعد فترةٍ وجيزةٍ من طرح الأمر على الرأي العام، نشر أحد مستشاري الأمن المزعومين فيديو على موقع “يوتيوب”، يعترف فيه بمسؤوليته عن هذا الهجوم.
كما كشف عن نَسخه لما يزيد عن 100.000 سجل من قواعد بيانات شركة أبل، والتي تعهد بحذفها ومسحها؛ حيث استغل إحدى الثغرات الأمنية في البرمجة النصّية للمواقع المشتركة الموجودة على بوابة المطوّر. بعد ذلك، نشر المهاجم 19 سجلًّا في جريدة الجارديان، وتم اكتشاف أن بعض العناوين كانت غير صالحة بينما كان البعض الآخر مهجورًا، مما أثار الشكوك في حقيقة هذا الاعتراف!
من المثير للاهتمام، أنه وقبل يومين فقط من تعليق شركة أبل لخدمة “بوابة المطوّر”، قام أحد الأشخاص بنشر رسالةٍ تتحدث عن وجود ثغرة أمنية جديدة في منتديات الأباتشي. وبالإضافة إلى شرح كافة التفاصيل، جعل ثغرة الاستغلال النشطة متاحةً لجمهور المستخدمين. ووفقًا لأحد المواقع الصينية، فإن ذلك قد أدى إلى حدوث هجماتٍ واسعة النطاق، قد تكون أبل واحدةً من ضمن ضحاياها الكثيرين.
سرقة المواقع الشهيرة
في مطلع تشرين الأول/ أكتوبر، تم تشويه العديد من المواقع الشهيرة؛ مثل “whatsapp.com”، و”alexa.com”، و”redtube.com” لاثنتين من شركات الأمن المرموقة والعملاقة. يبدو أن المهاجمين، وهم مجموعةٌ تُطلق على نفسها “KDMS”، بدلًا من أن يهاجموا ويخترقوا خوادم الويب الحقيقية، اختاروا أن يسرقوا نظام أسماء المواقع أو ما يُعرف بـ “DNS”، أو مسجلي النطاق. وظهر وقت الإعلان عن هذه القضية، أن جميع المواقع المخترَقة كانت تتشارك في نفس مسجل نظام أسماء المواقع “DNS”، وقد تم تحديثها في نفس الوقت. وبحسب موقع موسوعة البرامج “Softpedia“، تم استهداف ومهاجمة مزود خدمة الإنترنت للمواقع المتضررة، عن طريق إرسال طلبات وهمية لإعادة ضبط كلمات المرور عبر البريد الإلكتروني. بعد فرض السيطرة على الموقع ببيانات اعتماد جديدة، قام المهاجمون بتغيير المداخل، ونشروا بيانات وتصريحات سياسية.
البرمجيات الخبيثة في أجهزة الهواتف النقالة
شهد الرُّبع الثالث من عام 2013 الكثير من المعارك الضارية ضد البرمجيات الخبيثة في أجهزة الهواتف النقالة؛ حيث ظهرت مجموعة من الحِيل والخدع الجديدة.
مصممو البرمجيات الخبيثة يطلقون تطويراتٍ جديدة
لا شك أن الرُّبع الماضي من هذا العام، كان بمثابة رُبع فيروسات الهواتف النقالة المعروفة بـ “شبكة الروبوت (البوت نتس) أو botnets”. يحاول المجرمون الإلكترونيون، الذين هم وراء معظم برامج تروجان شديدة الانتشار، التي تستهدف الرسائل النصية القصيرة “SMS”- أن يضيفوا بعض الفاعلية للطريقة التي يديرون بها أنظمتهم. لهذا السبب، يستخدم مصممو البرمجيات الخبيثة الآن خدمة الرسائل السَّحَابية من جوجل “GCM”؛ لإدارة برمجيات “بوت نتس” الخبيثة الخاصة بهم؛ حيث تُمَكِّنهم هذه الخدمة من إرسال رسائل قصيرة بصيغة “JSON” إلى أجهزة الهواتف النقالة، لتعمل كخوادم أوامر وتَحَكُّم “C&C” إضافية لبرامج تروجان الخاصة بهم.
يُعد اكتشاف هذا النوع من التفاعل تحديًا كبيرًا للحلول الأمنية. تتم معالجة البيانات المستَلمة من خدمة الرسائل السحابية من جوجل”GCM” بمعرفة النظام، مما يعني صعوبة حجبها من على الأجهزة المصابة بالعدوى. الطريقة الوحيدة لمنع استخدام هذه الحِيل من قِبل مصممي البرمجيات الخبيثة للاتصال بهذه البرمجيات، هي أن يتم حجب وقفل حسابات المطورين في هذه الخدمة، التي يستخدمها المصممون لنشر برمجياتهم الخبيثة.
القليل فقط من البرمجيات الخبيثة في الهواتف النقالة، يمكنها أن تستخدم خدمة الرسائل السحابية من جوجل”GCM”، لكنها غالبًا تكون منتشرةً ومعروفةً جدًّا.
في منتصف شهر تموز/ يوليو 2013، سجلنا أول هجمات البوت نتس في الرُّبع الثالث من العام، أي أن أجهزة الهواتف النقالة قد أصيبت بالعدوى عن طريق برمجيات خبيثة أخرى، وبمعرفة مجرمين إلكترونيين آخرين- بهدف نشر البرمجيات الخبيثة التي تستهدف الهواتف النقالة.
بهذه الكيفية، تم توزيع ونشر أكثر برامج تروجان تعقيدًا والذي يستهدف أجهزة الأندرويد، والذي يُعرف بـ “أوباد- Obad”- عن طريق استخدام أجهزة الهواتف النقالة المصابة ببرنامج “Opfake.a” من عائلة تروجان، الذي يصيب الرسائل النصية القصيرة، ونظام التشغيل أندرويد. فبمجرد استلام أمر من خادم الأوامر والتحكم “C&C”، يبدأ برنامج “أوبفيك” في إرسال رسائل نصية لجميع جهات الاتصال لدى الضحية، ليدعوها إلى تحميل رسائل نصية قصيرة جديدة. في حال اتباع المستخدم المستلم للرسالة الرابط الموجود فيها، يتم التحميل التلقائي لبرنامج “أوباد الخفي” الذي يصيب نظام التشغيل أندرويد على الجهاز.
وكما جرت العادة، تُستخدم البرمجيات الخبيثة في الهواتف النقالة- في الغالب- للاستيلاء على أموال مالكي تلك الهواتف. خلال الرُّبع الثالث من العام الحالي، ظهر برنامج خبيث جديد يُمَكّن المجرمين الإلكترونيين من الاستيلاء على الحسابات المصرفية للضحايا من المستخدمين، بالإضافة إلى حسابات هواتفهم النقالة. خلال شهر تموز/ يوليو، اكتشفنا برنامج “سفنج” من عائلة تروجان الذي يصيب الرسائل النصية القصيرة ونظام التشغيل أندرويد، والذي يُمْكن لمصمم البرنامج الخبيث أن يستخدمه؛ ليتمكن من معرفة ما إذا كان رقم الهاتف النقال مرتبطًا بالخدمات المصرفية عبر الإنترنت، والتي توفرها العديد من المصارف الروسية، أم لا. شمل التعديل الثاني لبرنامج تروجان رمزًا يقوم بتنفيذ هذه الوظيفة:
يسمح الهاتف المتصل بالخدمة المصرفية عبر الهاتف النقال عادةً لمالكه، بأن يعيد ملء أي حسابٍ للهاتف عن طريق إرسال نصٍّ وفقًا لقالبٍ معين. وهذا يُمكّن المهاجمين من استخدام الخدمة المصرفية على الهاتف النقال لتحويل المبالغ المتاحة لأرقام هواتفهم النقالة، ومن ثم تحويلها في صورة نقد؛ على سبيل المثال: عن طريق تحويل المال إلى حسابات في نظام الدفع الإلكتروني؛ مثل محفظة الدفع”QIWI”.
يَمنع برنامج “سفنج” من عائلة تروجان، الذي يصيب الرسائل النصية القصيرة ونظام التشغيل أندرويد- الضحية من الاتصال بالمصرف. على وجه التحديد، يعترض الرسائل والمكالمات الصادرة عن أرقام المصرف. ونتيجةً لذلك، يبقى الضحايا لا يعرفون بأن أموالهم قد نُهبت من حساباتهم المصرفية، وذلك لفترةٍ زمنيةٍ طويلة.
هذا النوع من برامج تروجان قد يكلف المستخدمين آلاف الدولارات.
اتسعت عملية استغلال الثغرات الأمنية العديدة في نظام التشغيل أندرويد، وانتشرت بشدة؛ على سبيل المثال: أدت الثغرة الأمنية الخاصة بالأرشيف الذي يكاد يكون غير موجود؛ بسبب أنه محمي بكلمة مرور خاصة ببرنامج “Svpeng.a”- والذي اعترض سُبُل التواصل بهدف إلغاء مزايا مدير الجهاز أو ما يُعرف بـ “DEVICE ADMINISTRATOR” الخاصة به- إلى إضعاف قدرة المستخدمين على إزالة هذا التطبيق بأنفسهم.
تُستخدم حاليًا مزايا مدير الجهاز أو ما يعرف بـ “DEVICE ADMINISTRATOR ” عن طريق البرمجيات الخبيثة الأخرى أيضًا، مما يمكِّنها من العمل بفعاليةٍ لفتراتٍ زمنيةٍ طويلة، في معظم إصدارات أندرويد.
المفاتيح الرئيسية: ثغرات أندرويد الأمنية تسمح للتطبيقات بالتهرُّب من اختبارات السلامة
شهدت بداية الرُّبع الثالث من هذا العام، اكتشاف ثغرتين أمنيتين غير سارتين في الأندرويد، يشار إلى كليهما بثغرة “المفتاح الرئيسي”، والتي تسمح بتعديل مكونات التطبيق، وتجاوُز توقيع التشفير؛ ليظل نظام التشغيل أندرويد يتعامل معها على أنها شرعية تمامًا، بِغَض النظر عن المحتوى الجديد الذي يُحتمل أن يكون خبيثًا وضارًّا.
لدى هذه الثغرات الأمنية الكثير من القواسم المشتركة؛ فالثغرة الأولى اكتُشفت في شهر شباط/ فبراير عن طريق شركة بلوبوكس للأمن، ثم بعد ذلك تم تقديمها بالتفصيل بواسطة جيف فوريستال في مؤتمر القراصنة ذوي القبعات السوداء، في لاس فيجاس. ووفقًا لشركة بلوبوكس، فإن هذه الثغرة الأمنية موجودة في جميع إصدارات أندرويد منذ الإصدار 1.6، ومن ثم فقد تؤثر في الغالب على أي جهازٍ تم إصداره خلال الأربع سنوات الماضية. التطبيقات عبارة عن ملفات بامتداد “APK” (حزمة أندرويد)، وجميع هذه الملفات من نوع الملفات البريدية “ZIP”، وتكون جميع الموارد مُجمَّعة في صورة ملفات مسماة خصيصًا (رمز التطبيق عادةً ما يُخزّن بامتداد “classes.dex”). وكقاعدةٍ عامة، يتم عرقلة أي محاولةٍ لتغيير محتوى الملف بامتداد حزمة أندرويد “APK”، وذلك أثناء تثبيت التطبيق على نظام التشغيل أندرويد. كما أن الصيغة البريدية “ZIP” لا تمنع ولا تستبعد نسخ أسماء الملفات، وفي حالة الموارد “المنسوخة”، يفحص نظام التشغيل أندرويد بنجاحٍ واحدًا من الملفات، في حين يترك الآخر يعمل.
نشر خبراء صينيون معلوماتٍ عن الثغرة الأمنية الثانية. وتتمثل المشكلة هنا، في الاستخدام المتزامن لطريقتي القراءة وتفريغ ملفاتٍ بامتداد حزمة أندرويد “APK”، وللتفسيرين المختلفين لجافا و”C”. وكما هو الحال في الثغرة الأمنية الأولى، يمكن لهذه الثغرة كذلك أن تستخدم ملفات بامتداد حزمة أندرويد “APK” بأسماءٍ متطابقة؛ لتعبث بالنظام. وتجدر الإشارة هنا، إلى أن أحد الشروط التي يتوقف عليها نجاح الهجوم، هو طول الملف الأصلي بصيغة وامتداد “classes.dex”- ومن ثم يجب ألا يزيد عن 64 كيلو بايت، وهذا لا يتوافر في معظم تطبيقات أندرويد.
لمزيدٍ من المعلومات، يُرجى قراءة منشور”ستيفانو أورتولاني” وثيق الصلة في المدونة من هنا
الإحصائيات
خلال الرُّبع الثالث من عام 2013، أَخذ عدد عينات البرمجيات الخبيثة في الهواتف النقالة في الازدياد:
يتشابه توزيع برمجيات الهواتف النقالة الخبيثة المكتشَفة، تبعًا للنوع خلال الرُّبع الثالث، مع نظيره خلال الرُّبع الثاني:
توزيع برمجيات الهواتف النقالة الخبيثة الجديدة حسب نوع السلوك، الرُّبع الثاني من عام 2013
ما زالت برامج المهام الخفية “backdoors” تحتل مركز الصدارة، على الرغم من انخفاض نسبة مشاركتها بنحو 1.3 نقطة مئوية، بالمقارنة بالرُّبع الثاني من العام الحالي 2013. وجاءت برامج تروجان الخاصة بالرسائل النصية القصيرة “SMS” بنسبة “30%”، والتي زادت نسبتها بنحو 2.3 نقطة مئوية وذلك منذ الرُّبع السابق، لتحتل بذلك المركز الثاني. بينما في الرُّبع الثاني، تلاها في صدارة الترتيب برامج تروجان بنسبة (22%)، وبرنامج التجسس الخبيث من عائلة تروجان، ما يمثل 5% من المجموع. ومعًا، تُمثل برامج المهام الخفية “backdoors” وبرامج تروجان الخاصة بالرسائل النصية القصيرة “SMS”، ما يصل إلى 61% من برمجيات الهواتف النقالة الخبيثة المكتشَفة أثناء الرُّبع الثالث- ما يمثل زيادةً بنسبة 4.5 نقطة مئوية عن الرُّبع الثاني.
من الشائع، أن برمجيات الهواتف النقالة الخبيثة تحتوي على العديد من المكونات الخبيثة، مما يعني أن برامج المهام الخفية غالبًا ما تحتوي على وظيفة برنامج تروجان الخاص بالرسائل النصية القصيرة، وأن الأخير توجد به وظيفة برنامج البوت المُعقدة والمتطورة.
أهم 20 برنامجًا خبيثًا في الهواتف النقالة
المركز |
الاسم |
% بين جميع الهجمات |
1 |
DangerousObject.Multi.Generic |
29.15% |
2 |
Trojan-SMS.AndroidOS.OpFake.bo |
17.63% |
3 |
Trojan-SMS.AndroidOS.FakeInst.a |
8.40% |
4 |
Trojan-SMS.AndroidOS.Agent.u |
5.49% |
5 |
Trojan.AndroidOS.Plangton.a |
3.15% |
6 |
Trojan-SMS.AndroidOS.Agent.cm |
3.92 |
7 |
Trojan-SMS.AndroidOS.OpFake.a |
3.58% |
8 |
Trojan-SMS.AndroidOS.Agent.ao |
1.90% |
9 |
Trojan.AndroidOS.MTK.a |
1.00% |
10 |
DangerousObject |
1.11% |
11 |
Trojan-SMS.AndroidOS.Stealer.a |
0.94% |
12 |
Trojan-SMS.AndroidOS.Agent.ay |
0.97% |
13 |
Exploit.AndroidOS.Lotoor.g |
0.94% |
14 |
Trojan-SMS.AndroidOS.Agent.a |
0.92% |
15 |
Trojan-SMS.AndroidOS.FakeInst.ei |
0.73% |
16 |
Trojan.AndroidOS.MTK.c |
0.60% |
17 |
Trojan-SMS.AndroidOS.Agent.df |
0.68% |
18 |
Trojan-SMS.AndroidOS.Agent.dd |
0.77% |
19 |
Backdoor.AndroidOS.GinMaster.a |
0.80% |
20 |
Trojan-Downloader.AOS.Boqx.a |
0.49% |
جاء 12 من أصل الـ 20 برنامجًا خبيثًا الأوائل، من نوع برامج تروجان الخاصة بالرسائل النصية القصيرة “SMS”، وهذا يشير إلى أن هذا النوع هو الأشهر بين البرمجيات الخبيثة، التي يستخدمها المجرمون الإلكترونيون في هجماتهم المصمَّمة خصيصًا لربح وجني الأموال، من خلال أجهزة الهواتف النقالة.
احتل البرنامج الخبيث “DangerousObject.Multi.Generic” مركز الصدارة في القائمة، وهذا الحُكم يعني أننا على درايةٍ بالحقيقة المؤكدة لهذا التطبيق الخبيث. لكن لسببٍ أو لآخر، لن نستطيع أن نزود مستخدمينا بالتوقيعات التي تُمكِّنهم من كشفه. في تلك الحالات، يمكن اكتشاف هذا البرنامج من خلال التقنيات السحابية التي تطبقها الشركة في شبكة كاسبرسكي للأمان، مما يسمح لمنتجنا بتقليص الوقت المستغرَق في الاستجابة، والكشف عن التهديدات الجديدة وغير المعروفة.
تُعد عينات البرمجيات الخبيثة في الهواتف النقالة المحتلة للمراكز الثلاثة التالية- تطبيقات معقَّدة ومتطورة استخدمها مصممو البرمجيات الخبيثة لخلق فيروسات الـ “بوت نتس” التي تستهدف الهواتف النقالة.
في المركز الثاني، حل برنامج “أوبفيك” من عائلة تروجان، الذي يستهدف الرسائل النصية القصيرة “SMS”، ونظام التشغيل أندرويد أو ما يُعرف بـ “Trojan-SMS.AndroidOS.OpFake.bo”. وهذا النوع، يُعد أكثر برامج تروجان الخاصة بالرسائل النصية القصيرة “SMS” تعقيدًا وتطوُّرًا؛ حيث يتميز بواجِهته المصمَّمَة بشكلٍ جيد، وبجَشع مطوريه. عندما يتم إطلاقه، يستولي على الأموال من مالك الهاتف النقال- والذي يبدأ بـ “9 دولارات”، حتى ينتهي إلى مجموع المبالغ الموجودة في حساب المستخدم. كما توجد خطورةٌ من أن يفقد رقم هاتف المستخدم مصداقيته، نظرًا لأن برنامج تروجان يمكنه أن يجمع الأرقام من قائمة الاتصال، ومن ثم يرسل رسائل نصية قصيرة لهذه الأرقام كافة. يستهدف هذا البرنامج الخبيث في المقام الأول، الناطقين بالروسية، والمستخدمين في بلدان رابطة الدول المستقلة. كما حل برنامج خبيث آخر من نفس العائلة، يقوم بنفس المهام والوظائف- في المرتبة السابعة من بين الـ 20 الأوائل.
جاء في المركز الثالث برنامج “فيك إنست” من عائلة تروجان، الذي يستهدف الرسائل النصية القصيرة “SMS”، ونظام التشغيل أندرويد أو ما يُعرف بـ “Trojan-SMS.AndroidOS.FakeInst.a”. كما هو الحال مع برنامج “أوبفيك”، تطور هذا البرنامج الخبيث خلال العامين السابقين من كونه برنامج تروجان بسيط خاص بالرسائل، إلى برنامج بوت كامل الوظائف يتم التحكم فيه من خلال طرق متعددة (بما في ذلك خدمة الرسائل السحابية من جوجل). يستطيع هذا النوع من تروجان أن يستولي على الأموال من حساب المستخدم، وأن يرسِل رسائل إلى الأرقام المسجلة في قائمة اتصال الضحية.
احتل المركز الرابع برنامج “أجينت. يو” من عائلة تروجان، الذي يستهدف الرسائل النصية القصيرة “SMS”، ونظام التشغيل أندرويد أو ما يُعرف بـ “Trojan-SMS.AndroidOS.Agent.u”. كان هذا البرنامج الأول من نوعه الذي يستخدم الثغرة الأمنية في نظام التشغيل أندرويد، للحصول على مزايا مدير الجهاز “DEVICE ADMINISTRATOR”، مما يجعل من إزالته مهمةً بالغة الصعوبة. بالإضافة إلى ذلك، لديه القدرة على رفض المكالمات الواردة، بل وإجراء مكالمات بنفسه. الخسائر المحتملة للبرنامج: إرسال رسائل نصية قصيرة متعددة بتكلفة إجمالية قدرها 9 دولارات أو أكثر.
يمثل الأندرويد 99.92% من إجمالي الهجمات المستهدِفة لمنصات الهواتف النقالة، خلال الرُّبع الثالث من عام 2013. وهذا لا يمثل أي مفاجأة؛ فمنصة الأندرويد تظل مشهورةً ومفتوحة؛ بالإضافة إلى ذلك، حتى أحدث إصداراتها يدعم تثبيت التطبيقات من مصادر مجهولة.
وهذا يعني، أن مطوري أحد أشهر أنظمة تشغيل الهواتف النقالة، قد أدركوا أن نظام التشغيل أندرويد قد أصبح الهدف الرئيسي للبرمجيات الخبيثة في الهواتف النقالة، وأنهم يحاولون على الأقل توفير نفس المستوى من الحماية لمستخدمي النظام.
الإحصائيات
تم الحصول على جميع هذه الإحصائيات المدونة في هذا التقرير، من شبكة كاسبرسكي للأمانالمستندة إلى الحوسبة السحابية. جَمَّع هذه الإحصائيات مستخدمو شبكة كاسبرسكي للأمان، الذين وافقوا على تبادل ومشاركة هذه البيانات المحلية. شارك ملايين المستخدمين لمنتجات كاسبرسكي لاب من 213 بلدًا، في تبادل المعلومات العالمي حول الأنشطة الخبيثة.
التهديدات عبر الإنترنت
تم استمداد الإحصائيات الواردة في هذا القسم من مكونات برامج مكافحة فيروسات الويب، التي تحمي المستخدمين عندما يحاول الرمز الخبيث أن يقوم بعملية التحميل من المواقع الإلكترونية المصابة. قد يتم إنشاء المواقع الإلكترونية المصابة بالعدوى بواسطة المستخدمين الخبيثين، أو أنها قد تتكون أيضًا من المواقع التي تعتمد على المحتوى الذي يقدمه المستخدمون (كالمنتديات)، والموارد الشرعية التي تم اختراقها.
اكتشاف التهديدات عبر الإنترنت
خلال الرُّبع الثالث من هذا العام، اكتشفت منتجات كاسبرسكي لاب 500284715 هجومًا تم شنه من موارد الإنترنت المختلفة، في جميع أنحاء العالم.
التهديدات الـ 20 الأولى المكتشَفة عبر الإنترنت
المركز |
الاسم |
% بين جميع الهجمات** |
1 |
Malicious URL |
89.16% |
2 |
Trojan.Script.Generic |
3.57% |
3 |
Adware.Win32.MegaSearch.am |
2.72% |
4 |
Trojan-Downloader.JS.Psyme.apb |
1.19% |
5 |
Trojan.Script.Iframer |
1.10% |
6 |
Exploit.Script.Blocker |
0.37% |
7 |
Trojan.Win32.Generic |
0.35% |
8 |
Trojan-Downloader.Script.Generic |
0.28% |
9 |
Trojan.JS.Iframe.aeq |
0.15% |
10 |
Adware.Win32.Agent.aeph |
0.13% |
11 |
Exploit.Java.Generic |
0.11% |
12 |
Trojan-Downloader.Win32.MultiDL.k |
0.10% |
13 |
Trojan-Downloader.Win32.Generic |
0.10% |
14 |
Exploit.Script.Generic |
0.08% |
15 |
Exploit.Script.Blocker.u |
0.06% |
16 |
WebToolbar.Win32.MyWebSearch.rh |
0.06% |
17 |
Packed.Multi.MultiPacked.gen |
0.06% |
18 |
Trojan-SMS.J2ME.Agent.kn |
0.05% |
19 |
Adware.Win32.Lyckriks.j |
0.05% |
20 |
Exploit.JS.Agent.bnk |
0.04% |
* هذه الإحصائيات تمثل أحكام الاكتشافات الخاصة بوحدة مكافحة الفيروسات الشبكية، وتم الإبلاغ عنها عن طريق مستخدمي منتجات كاسبرسكي لاب، الذين وافقوا على تبادل البيانات المحلية.
**نسبة الحوادث الفريدة من نوعها، التي سُجلت بواسطة برامج مكافحة فيروسات الويب المثبت على أجهزة كمبيوتر المستخدمين.
مرةً أخرى، يُظهر هذا التصنيف أكثر اكتشافات مكافحة الفيروسات التي تحدث على مستوى العناوين “URL”؛ حيث جاءت 89.2% من اكتشافات وحدات مكافحة فيروسات الويب لروابط ووصلات خبيثة، ومسجَّلة في القائمة السوداء (احتل العنوان “URL” الخبيث المركز الأول).
يتكون نصف الاكتشافات في قائمة الـ 20 الأوائل، من أحكامٍ متنوعةٍ لكائنات خبيثة متورطة في هجمات “drive-by attacks”، التي تعتبر حاليًا واحدةً من أشهر الطُّرق والأساليب المستخدَمة في اختراق أجهزة الكمبيوتر. هذه الأحكام، منها الاستدلالية مثل: (برنامج تروجان للبرمجة النصية “Trojan.Script.Generic”، وبرنامج تروجان للبرمجة النصية “Trojan.Script.Iframer”، وحاجب البرمجة النصية المستغلة “Exploit.Script.Blocker”، وبرنامج البرمجة النصية المُحمَّلة لتروجان “Trojan-Downloader.Script.Generic”، وبرنامج استغلال جافا “Exploit.Java.Generic”، وبرنامج البرمجة النصّية المستغلة “Exploit.Script.Generic”)، وغير الاستدلالية.
تشمل الأحكام غير الاستدلالية في هذا التصنيف معظم برامج الإعلانات؛ حيث قفز تبادلها بنحو 2.4 نقطة مئوية منذ الرُّبع الثاني من العام الحالي 2013.
مَثَّل دخول برنامج “Trojan-SMS.J2ME.Agent.kn” للتصنيف في الرُّبع الثالث أمرًا غير متوقع، وصُمم هذا البرنامج لاستهداف النسخة الميكرو لمنصة جافا الخاصة بالهواتف النقالة؛ حيث خرجت جميع برامج هذه العائلة من قائمة الـ 20 الأوائل منذ عام 2011. تتمثل الوظيفة الأساسية لهذا النوع من البرمجيات الخبيثة على الهواتف النقالة، في إرسال رسائلنا النصية إلى أرقامٍ مميزة. يتم توزيع هذا البرنامج من خلال الرسائل المزعجة في برنامج المحادثة “ICQ”، الذي يحتوي على رابط بتطبيقات جافا، بالإضافة إلى مواقع الثيمات المتخصصة التي تُشجع المستخدم على تحميل التطبيقات من عليها. بمجرد أن يضغط المستخدم على الرابط، يتم تحديد خانة “عامل المستخدم User-Agent” الموجودة على أحد جوانب الموقع؛ لتحديد نوع نظام التشغيل الخاص بزائر هذا الموقع. إذا كانت أداة “عامل المستخدمUser-Agent ” تتطابق مع متصفح الويب الخاص بالأندرويد، فيتم تحميل تطبيق أندرويد خبيث. في جميع الحالات الأخرى، بما في ذلك استخدام متصفح ويب في جهاز الكمبيوتر الشخصي القياسي، فإن مصممي البرنامج الخبيث يفضلون استخدام تطبيق “J2ME” في الوضع الافتراضي. يحدث ذلك عند الضغط على مثل هذه الروابط والوصلات؛ حيث يقوم برنامج مكافحة فيروسات الويب المثبت على أجهزة الكمبيوتر، بإصدار حكم لكشف وجود برنامج تروجان الخبيث “Trojan-SMS.J2ME.Agent.kn”، الذي يستهدف الرسائل النصية القصيرة.
البلدان المصنفة بوجود برمجيات خبيثة على موارد الإنترنت الخاصة بها
تستند الإحصائيات التالية إلى المواقع الفعلية لموارد الإنترنت، التي استُخدمت في هجماتٍ تم إبلاغ شبكة كاسبرسكي للأمان بها (صفحات الويب التي تتم خلالها عمليات إعادة توجيه لهجمات برمجيات مستغِلة، والمواقع المحتوية على برمجيات مستغِلة وبرمجيات خبيثة أخرى، ومركز أوامر البوت نتس… إلخ). ولكي يتسنى لنا تحديد المصدر الجغرافي لهذا النوع من هجمات الويب، تم استخدام طريقةٍ يتم من خلالها عمل مطابقةٍ لأسماء المواقع مع عناوين الآي بي للمواقع الفعلية، ومن ثم يتم تحديد الموقع الجغرافي لعنوان آي بي معين أو ما يُعرف بـ “GEOIP”.
81.5% من موارد الإنترنت التي تُستخدم في نشر البرمجيات الخبيثة، توجد في 10 بلدان، مما يمثل تراجعًا بنحو 1.5 نقطة مئوية عن الرُّبع الثاني من العام 2013.
توزيع البلدان المصنفة بوجود برمجيات خبيثة على موارد الإنترنت الخاصة بها خلال الرُّبع الثالث لعام 2013
تغيرت البلدان التي تُصَدِّر العدد الأكبر من الخدمات المضيفة الخبيثة، تغيرًا طفيفًا عن الرُّبع الثاني من هذا العام؛ حيث احتلت الولايات المتحدة بنسبة (27.7%)، وروسيا (18.5%)، وألمانيا (13.4%)، وهولندا (11.6%) المراكز الأولى. إجمالًا، تمثل الأربعة بلدان هذه نسبة 70.15% من إجمالي المضيفين الخبيثين. خرجت الصين وفيتنام من قائمة الـ 10 الأوائل، في حين دخلت بلدان لأول مرة القائمة مثل كندا بنسبة (1.3%)، وجزر العذراء (1.2%) ليحتلا المركزين الثامن والتاسع على التوالي.
البلدان التي واجه مستخدموها أخطر أنواع الإصابة بالعدوى على الإنترنت
لكي نتمكن من تقييم مستوى خطورة عدوى الإنترنت التي تعَرّض لها المستخدمون من بلدان مختلفة، قمنا فقط بحساب عدد اكتشافات برامج مكافحة فيروسات الويب، التي سجلها مستخدمو منتجات كاسبرسكي لاب، خلال فترة الثلاثة أشهر الماضية.
ومع ذلك، فإن جوجل تستحق أن تحصل منَّا على بعض الثناء والتقدير؛ حيث إن النظام الآن، أصبح يستجيب لبعض التطبيقات الخبيثة:
البلدان* الـ 20 الأوائل في أعلى مستويات خطورة الإصابة بالعدوى**خلال الربع الثالث من عام 2013
* لإجراء هذه الحسابات، قم بإقصاء البلدان التي يمثل فيها مستخدمو منتجات كاسبرسكي لاب عددًا ضئيلًا إلى حدٍّ ما (أقل من 10.000).
** نسبة المستخدمين المتميزين في البلد، الذين يستخدمون منتجات كاسبرسكي لاب على أجهزتهم، والتي استطاعت أن تتصدى لتهديدات الويب.
ظلت قائمة البلدان في هذا التصنيف دون تغييرٍ عن الرُّبع الثاني من عام 2013، باستثناء دخول ألمانيا واحتلالها للمركز الثاني عشر بنسبة (35.78%)، وخروج ليبيا من التصنيف.
اللافت للنظر، أنه وخلال الرُّبع الثالث من عام 2013، لم تتجاوز نتيجة أي بلدٍ 50%؛ على سبيل المثال: كان الرقم الخاص بروسيا (المحتلة للمركز الأول في التصنيف) 49.66%. وهذا يعني أنه لا توجد دولة قد تأهلت لمجموعة الدول المعرضة لأقصى درجات الخطورة خلال الرُّبع الثالث من العام 2013؛ حيث إن ما يزيد عن 60% من المستخدمين قد تعرضوا مرةً واحدةً على الأقل للتهديدات على الإنترنت.
يمكن تقيسم جميع البلدان إلى ثلاث مجموعات رئيسية:
- مخاطر عالية. تشمل هذه المجموعة البلدان الثماني الأولى في قائمة الـ 20 الأوائل (أقل ببلدين عن الرُّبع الثاني من عام 2013) مع نسبٍ تتراوح بين 41 – 60%؛ وتشمل فيتنام (43.45%)، وبلدان من الاتحاد السوفيتي السابق، على وجه التحديد روسيا (49.66%)، وكازاخستان (49.22%)، وأرمينيا (49.06%)، وأذربيجان (48.43%)، وطاجكستان (45.40%)، وروسيا البيضاء (40.36%)، وأوكرانيا (40.11).
- مخاطر متوسطة. تشمل هذه المجموعة البلدان التي تعَرّض 21 – 40.99% من مجموع مستخدميها مرةً واحدةً على الأقل- لتهديدات الإنترنت، وضمت 76 دولة خلال الرُّبع الثالث من عام 2013. تشمل هذه المجموعة ألمانيا “35.78% “، وبولندا “32.79% “، والبرازيل “30.25%”، والولايات المتحدة “29.51%”، وإسبانيا “28.87%”، وقطر “28.82%”، وإيطاليا “28.26%”، وفرنسا “27.91%”، والمملكة المتحدة “27.11%”، والإمارات العربية المتحدة “26.30%”، والسويد “21.80%”، وهولندا “21.44%” والأرجنتين “21.40%”.
- 3. مخاطر منخفضة. في الرُّبع الثالث من عام 2013، ضمت هذه المجموعة 62 بلدًا، بنسبٍ تتراوح من 10 – 21%،
وجاء أقل عددٍ لهجمات الويب في الدنمارك “17.01%”، واليابان “17.87%”، وجنوب أفريقيا “18.69%”، وجمهورية التشيك “19.68%”، وسلوفاكيا “19.97%”، وفنلندا “20.87%”.
تعَرّض 34.1% من متوسط أجهزة الكمبيوتر المتصلة بشبكة كاسبرسكي للأمان لهجومٍ واحدٍ على الأقل، أثناء تصفح الويب خلال الثلاثة أشهر الماضية- مما يمثل انخفاضًا بنحو 1.1 نقطة مئوية، بالمقارنة بالرُّبع الثاني من هذا العام.
التهديدات المحلية
يحتوي هذا القسم على تحليلٍ للإحصائيات، بناءً على البيانات المتوفرة من خلال فحص لحظة الوصول، وإحصائيات الفحص من أقراص مختلفة، بما في ذلك الوسائط القابلة للإزالة.
التهديدات المكتشَفة على أجهزة كمبيوتر المستخدمين
استطاعت حلول كاسبرسكي لاب لمكافحة الفيروسات، خلال الرُّبع الثالث من عام 2013، بنجاحٍ أن تتصدى لـ 476856965 محاولة عدوى محلية على أجهزة كمبيوتر المستخدمين المتصلة، والمشتركة في شبكة كاسبرسكي للأمان.
الـ 20 تهديد الأوائل المكتشفة على أجهزة كمبيوتر المستخدمين
المركز |
الاسم |
% بين المستخدمين* |
1 |
Trojan.Win32.Generic |
35.51% |
2 |
DangerousObject.Multi.Generic |
32.43% |
3 |
Trojan.Win32.AutoRun.gen |
13.56% |
4 |
Adware.Win32.DelBar.a |
11.80% |
5 |
Virus.Win32.Sality.gen |
9.52% |
6 |
Adware.Win32.Bromngr.j |
7.81% |
7 |
Exploit.Win32.CVE-2010-2568.gen |
7.56% |
8 |
Adware.Win32.Bromngr.i |
6.60% |
9 |
Adware.Win32.Agent.aeph |
6.55% |
10 |
Worm.Win32.Debris.a |
6.24% |
11 |
Trojan.Win32.Starter.lgb |
5.59% |
12 |
Adware.Win32.WebCake.a |
5.06% |
13 |
Expoit.Script.Generic |
4.31% |
14 |
Trojan.WinLNK.Runner.ea |
4.17% |
15 |
Adware.Win32.Bandoo.a |
4.00% |
16 |
Virus.Win32.Generic |
3.71% |
17 |
Virus.Win32.Nimnul.a |
3.67% |
18 |
Trojan.Win32.Staser.fv |
3.53% |
19 |
Trojan.Script.Generic |
3.52% |
20 |
HiddenObject.Multi.Generic |
3.36% |
تم جمع هذه الإحصائيات من أحكام اكتشافات البرمجيات الخبيثة، الصادرة عن وحدات الفحص لحظة الوصول ولحظة الطلب، الموجودة على أجهزة كمبيوتر المستخدمين التي تستخدم منتجات كاسبرسكي لاب، الذين وافقوا على تقديم بياناتهم الإحصائية.
* تتشابه نسبة المستخدمين الأفراد الذين تم اكتشاف هذه الأشياء على أجهزتهم بواسطة وحدة مكافحة الفيروسات، مع نسبة هؤلاء المستخدمين لمنتجات كاسبرسكي لاب على أجهزتهم؛ حيث تم اكتشاف البرمجيات الخبيثة عليها.
ما زال يتبقى ثلاثة برمجيات رائدة وبارزة في قائمة الـ 20 الأوائل.
برنامج تروجان “Trojan.Win32.Generic .” المحتل للصدارة بنسبة “35.51% “، بناءً على أحكام صادرة من المحلل الاستدلالي خلال إجراء عملية الاكتشاف الاستباقي، للعديد من البرمجيات الخبيثة.
البرمجيات الخبيثة المصنفة على أنها “DangerousObject.Multi.Generic” المكتشفة عن طريق استخدام التقنيات السحابية، جاءت في المركز الثاني بنسبة “32.43% “. تعمل التقنيات السحابية عندما لا توجد أي توقيعات في قواعد بيانات برامج مكافحة الفيروسات، وعدم وجود أي دلالات تساعد في الكشف عن البرمجيات الخبيثة، لكن التقنيات السحابية الخاصة بكاسبرسكي لاب تتوافر لديها بالفعل بيانات عن التهديد.
احتل برنامج تروجان “Trojan.Win32.AutoRun.gen” المركز الثالث بنسبة “13.56% “، ويشمل برمجيات خبيثة تستخدم خاصية التشغيل التلقائي.
البلدان التي يواجه فيها المستخدمون أخطر أنواع العدوى المحلية
تُظهر الأرقام أدناه المعدل المتوسط للعدوى بين أجهزة كمبيوتر المستخدمين في بلدانٍ مختلفة. أُصيب المستخدمون المشاركون في شبكة كاسبرسكي للأمان، والذين يمدون كاسبرسكي لاب بالمعلومات- بملفٍ واحدٍ خبيثٍ على الأقل تم اكتشافه تقريبًا على كل ثالث جهاز بنسبة “31.9%)؛ حيث تواجد الملف إما على القرص الصلب أو القرص القابل للإزالة المتصل بجهاز الكمبيوتر. وهذا يمثل زيادةً بنحو نقطتين مئويتين عن الرُّبع الماضي من العام.
مستويات عدوى أجهزة الكمبيوتر* تبعًا للبلد- قائمة الـ 20 الأوائل عن الرُّبع الثالث من عام 2013**
* نسبة المستخدمين المتميزين في البلد، الذين يستخدمون منتجات كاسبرسكي لاب على أجهزتهم التي استطاعت أن تتصدى لتهديدات الويب.
** عندما قمنا بالحساب، استبعدنا البلدان التي يوجد بها أقل من 10.000 مستخدم لكاسبرسكي لاب.
لمدةٍ تتجاوز العام، احتلت البلدان الأفريقية، وبلدان الشرق الأوسط، وجنوب شرق آسيا المراكز الـ 20 الأولى لهذه الفئة.
يمكن أيضًا تقسيم معدلات العدوى المحلية إلى أربع مجموعاتٍ تبعًا لمستوى الخطورة:
- المعدل الأقصى للإصابة بالعدوى المحلية (يتجاوز 60%) . دولة واحدة فقط تأهلت لهذه الفئة- فيتنام بنسبة 61.2%.
- المعدل العالي للإصابة بالعدوى المحلية بنسبة (41 – 60%). ضمت هذه المجموعة ما مجموعه 29 بلدًا خلال الرُّبع الثالث من عام 2013، بما في ذلك نيبال “55.61%”، وبنجلاديش “54.75%”، والهند “51.88%”، والمغرب “42.93%”، والفلبين “41.97%”.
- المعدل المتوسط للإصابة بالعدوى المحلية بنسبة (21 – 40.99%). ما مجموعه 87 بلدًا، بما في ذلك الإمارات العربية المتحدة “39.86%”، وتركيا “38.41%”، والبرازيل “36.67%”، والصين “36.07%”، والمكسيك “34.09%”، وألمانيا “24.31%”، والمملكة المتحدة “21.91%”.
- المعدل المنخفض للإصابة بالعدوى المحلية بنسبة (أقل من 21%). تضم ما مجموعه 29 بلدًا، بما في ذلك: الولايات المتحدة “20.36%”، وكندا “19.18%”، وهولندا “18.39%”، والسويد “16.8%”، واليابان “12.9%”، وجمهورية التشيك “12.65%”.
خطورة الإصابة بالعدوى المحلية حول العالم- الرُّبع الثالث من عام 2013
جاءت البلدان الـ 10 الأولى الأقل خطورةً في الإصابة بالعدوى المحلية كما يلي:
المركز |
الاسم |
البلد |
1 |
الدنمارك |
11.93% |
2 |
جمهورية التشيك |
12.85% |
3 |
اليابان |
12.90% |
4 |
فنلندا |
14.03% |
5 |
سلوفينيا |
14.93% |
6 |
النرويج |
15.95% |
7 |
سيشل |
16.32% |
8 |
أستونيا |
16.46% |
9 |
سلوفاكيا |
16.72% |
10 |
السويد |
16.80% |
شهد الرُّبع الثالث من العام 2013، دخول ثلاثة بلدان جديدة إلى قائمة الـ 10 الأوائل- وهي سيشل، وأستونيا، وسلوفاكيا، ليخرج بذلك من القائمة أيرلندا، وهولندا، والمارتينيك.