درس خبراؤنا البرنامج الضار WinDealer الذي أنشأته مجموعة LUOYU APT. يُعد الاكتشاف الأكثر إثارة للاهتمام هو أن المهاجمين على ما يبدو قد أتقنوا طريقة الهجوم man-on-the-side ويستخدمونها بنجاح لتسليم البرامج الضارة والسيطرة على أجهزة الكمبيوتر المخترقة بالفعل.
ما هو هجوم man-on-the-side وكيف يستخدمه مشغلو WinDealer؟
ما تعنيه تسمية هجوم man-on-the-side “المهاجم الجانبي” هو أنّ المهاجم يتحكم بطريقة ما في قناة الاتصال، مما يسمح له بقراءة نسبة استخدام الشبكة وإدخال رسائل عشوائية في عمليات تبادل البيانات العادية.
إليك مثال: يعترض المهاجمون طلب تحديث من برنامج مصرح تمامًا قانونيًا ويستبدلون ملف التحديث بملف آخر خادع. وعلى ما يبدو، هذه هي الطريقة التي يتم بها توزيع برنامج WinDealer الضار.
ويستخدم المهاجمون خدعة مماثلة لإصدار أوامر للبرامج الضارة على جهاز الكمبيوتر المُخترق. لجعل الأمر أكثر صعوبة على الباحثين الأمنيين في العثور على خادم الأوامر والتحكّم C&C، لا يحتوي البرنامج الخبيث على عنوانه الدقيق. عوضًا عن امتلاكه لعنوان، يحاول الوصول إلى عنوان IP عشوائي من نطاق مُحدد بشكل مسبق. ثم يعترض المهاجمون الطلب ويستجيبون له. في بعض الحالات، يحاول البرنامج الضار WinDealer الوصول إلى عنوان غير موجود حتى، ولكن بفضل طريقة man-on-the-side، لا يزال يتلقى ردًا.
وفقًا لخبرائنا، من أجل استخدام هذه الحيلة بنجاح، يحتاج المهاجمون إلى إمكانية وصول مستمر إلى أجهزة التوجيه الخاصة بالشبكة الفرعية بأكملها، أو إلى بعض الأدوات المتقدمة على مستوى مزود الإنترنت.
من هم أهداف WinDealer؟
تقع الغالبية العظمى من أهداف WinDealer في الصين: فهي منظمات دبلوماسية أجنبية أو أعضاء في المجتمع الأكاديمي أو شركات تعمل في مجال الدفاع أو اللوجستيات أو الاتصالات السلكية واللاسلكية. ومع ذلك، في بعض الأحيان تخترق مجموعة LOOYU APT أيضًا أهدافًا في بلدان أخرى: النمسا وجمهورية التشيك وألمانيا والهند وروسيا والولايات المتحدة. في الأشهر الأخيرة، أصبحوا أيضًا أكثر اهتمامًا ببلدان شرق آسيا الأخرى ومكاتبها الموجودة في الصين.
ما يستطيع WinDealer القيام به
يمكن العثور على تحليل فني مفصل لكل من البرنامج الخبيث نفسه وآلية تسليمه في منشور على مدونة Securelist باختصار، يتمتع WinDealer بوظائف برامج التجسس الحديثة. بإمكان البرنامج الضار:
- معالجة الملفات ونظام الملفات (فتح الملفات وكتابتها وحذفها، وجمع البيانات حول الأدلة والأقراص)؛
- جمع معلومات حول الأجهزة وتكوين الشبكة والعمليات وتخطيط لوحة المفاتيح والتطبيقات المثبتة؛
- تنزيل الملفات العشوائية وتحميلها؛
- تنفيذ الأوامر العشوائية؛
- البحث في الملفات النصية ووثائق MS Office؛
- التقاط لقطات للشاشة
- مسح الشبكة المحلية ضوئيًا؛
- دعم وظيفة المدخل السريّ للنظام؛
- جمع البيانات حول شبكات Wi-Fi المتاحة (واحدٌ على الأقل من أنواع البرامج الضارة التي عثر عليها خبراؤنا قادر على القيام بذلك).
كيف تحافظ على سلامتك
لسوء الحظ، من الصعب للغاية حماية جهازك من هجمات man-on-the-side على مستوى الشبكة. من الناحية النظرية، يمكن أن يساعد اتصال VPN الثابت، ولكنه ليس متاحًا دائمًا. لذلك، لاستبعاد إمكانية اختراق جهازك ببرامج التجسس، من الضروري تزويد كل جهاز لديه وصول إلى الإنترنت بحل أمان موثوق به. بالإضافة إلى ذلك، يمكن أن تساعد الحلول من فئة EDR في الكشف عن الحالات غير الطبيعية ووقف الهجوم في مرحلة مبكرة.