منصات الهجوم الخطيرة المتشابهة

لقد اكتشف الباحثون منصة هجوم ناضجة حققت نجاحًا كبيرًا في التهرُّب من عمليات الكَشْف، واستفادت بشكلٍ جيد  من عملية استغلال موجودة في عددٍ من حملات التجسس.

وقد رَكَّزَت الهجمات بشكلٍ كبيرٍ على صناعة السيارات، لتستهدف في المقام الأول الشركات الكبيرة في آسيا، ولا يتم ذلك إلا بعد أن يتم إجراء اختبار لمعرفة مدى المقاومة المحتملة؛ حيث تُشَن الهجمات أولاً ضد أهداف الناشطين في المنطقة. وقد تم تقديم دراسة أجراها باحث يُدعَى جون جروس يعمل في Cylance (شركة أمن إلكتروني)، عن شركة سيارات تُسَمَّى  Grand Theft Auto Panda، وقد اعتمد الهجوم على الهجمات المستغِلة التي تستهدف الثغرة CVE-2012-0158؛ حيث يتم إرسال وثائق مايكروسوفت أوفيس الخبيثة إلى الضحية، الذي يُحَتِّم عليه عمله التفاعل مع وثائق برامج الإكسل أو الوورد، أو غيرها من الملفات المُرفقَة في رسالة تَصَيُّد على البريد الإلكتروني أو موقع إلكتروني؛ وذلك من أجل استغلال الثغرة الأمنية وحقنها بالبرامج الخبيثة، أو التسبب في انقطاع الخدمة.

لا يتم شَنْ هذه الهجمات على نفس النطاق مثل تلك التي تُشَن من قِبَل Comment Crew، أو غيرها من عصابات التهديدات المستعصية المتقدمة (APT) رفيعة المستوى. يتم اختيار أهداف محددة في هذه الحملات، ويتم تَصَيُّد هذه الأهداف عن طريق رسائل مقنعة مثل عرض سلبي لخدمة العملاء، كما هو الحال في إحدى الهجمات التي رُصِدَت من قِبَل Cylance.

وتتمتع المنصة بخبرةٍ كبيرة منذ بضع سنوات، حيث كانت لا تُستَخدَم لسرقة النظام وشبكة المعلومات فقط، بل أيضًا لسرقة الوثائق وأوراق المعلومات، بالإضافة إلى فتح اتصالٍ مستتر للمهاجم من أجل نَقْل البيانات المسروقة.

قال جروس: “إنها أكثر من مجرد منصة مُوَسَّعَة وقابلة للتوسيع، حيث يمكن إضافتها في أي وظيفة مثل Plug-in (برنامج مساعد)، وهي أكثر من مجرد إطار عدوى أقوى من أي برنامج تروجان محدد” “بل يمكنها تعديل المكونات مع مرور الوقت، وليس هناك حقًا ما يدعو للقلق بشأنها إذا لم يُكتَشَف المُكَوِّن الرئيسي أبدًا، لذلك تعتبر هذه المنصة أكبر من أن تُوَظَّف كنوعٍ من القرصنة على الشاشة، أو رصد لوحة المفاتيح، أو حتى مجرد إرسالها باعتبارها    Plug-in (برنامج مساعد).”

في الوقت ذاته، كانت الثغرة CVE-2012-0158 هي المُفَضَّلَة بين المهاجمين على مستوى البلاد، الذين يسعون إلى اختراق الشركات أو الجماعات الناشطة بغرض التجسس أو المراقبة. وقد تم اكتشاف هذه الثغرة في حملات Icefog وNetTraveler، وقد تم اكتشاف هذه الحملات من قِبَل كاسبرسكي لاب؛ حيث تم ربط كلتا الحملتين بالنشطاء في الصين واتباع الأنماط والأساليب المماثلة مثل GTA Panda، حيث كانوا يهاجمون كلٍ من النشطاء والشركات المُصَنِّعَة.

قال جروس: “نحن نرى الكثير من الناس الذين يهاجمون الصناعات، ويهاجمون أيضًا جماعات حقوق الإنسان، ودائمًا نعتقد أن هذه الهجمات تقل وتنخفض، لأنها مُوَجَّهَة من شخص يهدف فقط إلى اختبار هذه الهجمات ضد تلك الكيانات.” “نحن نعرف الكثير من البرامج الخبيثة التي تم اختبارها ضد الناشطين في مجال حقوق الإنسان، قبل أن تشق طريقها إلى البيئات المؤسسية. لم تكن العينة الأصلية التي وجدتُها مُستهدِفة ضد حقوق الإنسان، ولكن لأنني نقبت في هذا الأمر، رأيت المزيد والمزيد من العينات التي كانت تستهدف أيضًا حقوق الإنسان على نحوٍ إضافي، وقد كانت هذه هي العينة الأقدم قبل أن تنتقل العينات إلى الشركات. “

على سبيل المثال، استفادت حملة NetTraveler من الهجمات المستغِلة لثغرة CVE-2012-0158 من أجل استهداف النشطاء Uyghur وTibetan قبل الانتقال إلى شركات النفط والطاقة، بالإضافة إلى الدبلوماسيين والجهات الحكومية في جميع أنحاء العالم.

وأضاف جروس: “إنه نوعٌ من التطور الدارويني للبرامج الخبيثة. لذلك إذا اجتازت الاختبار الأول، فإن هذا يعني أن البقاء للأصلح؛ لأن الأشياء التي لم تُكتَشَف من الممكن أن يُعَاد استخدامها.” “ولهذا السبب يعتبر مجال حقوق الإنسان بمثابة ملعبٍ إلى حدٍ ما. وبالتالي هو مُستَهدَف دائمًُا، ونحن نرى الكثير من البرامج الخبيثة التي تُستَخدَم ضده قبل أي شخصٍ آخر.”

أما بالنسبة للمنصة، فإن سر بقاء قوتها يكمُن في قدرتها على التسلل الخفي

وقد أوضح جروس: “يُعَد الأمر الكبير هو تَحَرُّك الوظائف خارج الملفات الفعلية التي تُحَمَّل على (أجهزة الضحايا)، لأنها بعد ذلك لا تبدو مثيرة للارتياب حتى يُحَمِّل هذا الملف لاحقًا شيئُا آخر من شأنه تنفيذ النشاط الضار والخبيث.” وأضاف: “تظل المكونات الخبيثة مشفرة هناك على القرص؛ وهو المكان الذي لا يذهب إليه مُنتَجَك الأمني النموذجي ليكتشفه إذا لم يكن يعرفها بالفعل.”

وقال جروس: أن هناك أيضًا طبقات من التشفير التي تحمي الهجوم وتقيه من الاكتشاف، أما بالنسبة للهجمات الاستغلالية، فإنه غالبًا ما تكون التصحيحات المهملة والرديئة هي الجاني الأكبر، وفي هذه الحالة، كانت الثغرة CVE-2012-0158 قد تم تصحيحها منذ أكثر من 18 شهرًا بواسطة شركة مايكروسوفت. إلا أن تلاعب الهندسة الاجتماعية الفعالة في رسائل التصيد، أدَّى إلى مَزْج عناوين البريد الإلكتروني الموثوق بها بالعناوين المزيفة، مما أدَّى إلى تكوين مزيج قوي يُجلِب المتاعب.

قال جروس: “إذا وردت إليك رسائل إلكترونية تشبه تلك التي تأتي من الأشخاص والجهات الموثوق بها، فإنك عادةً ما تتواصل معها، ثم يغفل الحِس الأمني لدينا وغالبًا نقول: موافق، سوف أفتح هذه الرسالة .” وأضاف: “أعتقد أنهم يعتمدون على ذلك الأمر بشدة خاصةً مع مجتمع الناشطين، لأنهم يعرفون كل هؤلاء الأشخاص، ويعرفون مَنْ يتواصل معهم على نحوٍ منتظم، لذلك، هم يحاولون أن يجعلوا الرسالة وكأنها واردة من أحد هؤلاء الأشخاص المعتادين، مما يدعو إلى تراخي الحِس الأمني للنشطاء، وعدم قلقهم حيال تلك الرسائل.”