نوع الفيروس: برنامج ضار، تهديد مستعصٍ متقدم
قام فريق البحث والتحليل العالمي في Kaspersky Lab بتحليل أحدث هجوم تهديد فيروسي يُسمى "Darkhotel". ويبدو أن تهديد Darkhotel عبارة عن مزيج من التصيّد بالحرية وبرنامج ضار خطير مصمَّم بهدف الاستحواذ على بيانات سرية.
يعمل المجرمون الإلكترونيون الذين اخترعوا Darkhotel منذ حوالي عَقْد، حيث يستهدفون آلاف الضحايا في جميع أنحاء العالم. وقد شهدت اليابان وتايوان والصين وروسيا وكوريا 90% من الإصابات بـ Darkhotel، ولكن ألمانيا والولايات المتحدة الأمريكية وإندونيسيا والهند وأيرلندا لم تكن بمنأى عن هذه الإصابات.
هذه الحملة غير معتادة لأنها تستغل درجات متنوعة من الاستهداف الضار.
من ناحية، يستخدمون رسائل البريد الإلكتروني للتصيّد بالحرية في اختراق قواعد الصناعات الدفاعية، والحكومات، والمنظمات غير الحكومية، وشركات تصنيع الإلكترونيات والأجهزة الطرفية الكبرى، وشركات الأدوية، ومزودي الخدمات الطبية، والهيئات ذات العلاقة بالمجال العسكري، وواضعي سياسات الطاقة. وتنتهج الهجمات عملية التصيّد بالحرية التقليدية مع عمليات زرع لـ Darkhotel مختفية تمامًا. غالبًا من يتضمن محتوى الاستدراج عبر البريد الإلكتروني موضوعات مثل الطاقة النووية وقدرات الأسلحة. وعلى مدار الأعوام السبعة المنصرمة تضمنت رسائل البريد الإلكتروني للتصيّد بالحرية ملف Adobe مرفقًا ذا استغلال فوري أو روابط تعيد توجيه مستعرضات الأهداف إلى مستعرضات Internet Explorer ذات استغلال فوري. ويتمثل هدفها في سرقة بيانات من هذه المؤسسات.
من ناحية أخرى، ينشرون البرامج الضارة عشوائيًّا من خلال مواقع مشاركة البيانات P2P (نظير إلى نظير) اليابانية. ويتم نقل البرامج الضارة كجزء من أرشيف RAR ضخم الذي يدعي عرض محتوى جنسي، ولكنه يثبِّت فيروس حصان طروادة متسللاً يجمع معلومات سرية من الضحية.
يستهدفون المسؤولين التنفيذيين غير المرتابين الذي يسافرون إلى دول خارجية ويقيمون في الفنادق، حيث يتخذون منهجًا يجمع بين الأسلوبين المذكورين آنفًا. فالضحايا هنا يصابون بفيروس حصان طروادة نادر يختفي كأحد إصدارات البرامج المهمة، مثل Google Toolbar وAdobe Flash وWindows Messenger. ويستغل المهاجمون هذه الإصابة الأولية في تحديد ضحاياهم وتنزيل المزيد من البرامج الضارة على حواسيب أهم الضحايا، مصمَّمة لسرقة بيانات سرية من حاسب الضحية.
وبناءً على سلسلة ضمن التعليمات البرمجية الضارة، يتضح أن التهديد يشير إلى مصدر النشأة وهو عنصر فاعل للتهديد وهو كوري الجنسية.
بالرغم من التعقيد الفني للعديد من الهجمات المستهدفة، فإنها تبدأ عادةً بخداع الموظفين المنفردين لفعل شيء يضر بأمن الشركة. وقد يكون الموظفون الذي يشغلون مناصب يتعاملون خلالها مع الجمهور (مثل، كبار المسؤولين التنفيذيين، وموظفي المبيعات والتسويق) أكثر عرضة للخطر، ولا سيما أنهم يكونون في حالة تنقُّل دائم ويستخدمون عادةً شبكات غير موثوق بها (كما في الفنادق) للاتصال بشبكة الشركة.
بالرغم من أن منع الهجمات تمامًا قد يكون صعبًا، فيما يلي بعض النصائح التي تضمن لك الحماية أثناء السفر.