تعريف الفيروس
نوع الفيروس: برنامج ضار، تهديد مستعصٍ متقدم
ما هو تهديد Darkhotel؟
قام فريق البحث والتحليل العالمي في Kaspersky Lab بتحليل أحدث هجوم تهديد فيروسي يُسمى "Darkhotel". ويبدو أن تهديد Darkhotel عبارة عن مزيج من التصيّد بالحرية وبرنامج ضار خطير مصمَّم بهدف الاستحواذ على بيانات سرية.
يعمل المجرمون الإلكترونيون الذين اخترعوا Darkhotel منذ حوالي عَقْد، حيث يستهدفون آلاف الضحايا في جميع أنحاء العالم. وقد شهدت اليابان وتايوان والصين وروسيا وكوريا 90% من الإصابات بـ Darkhotel، ولكن ألمانيا والولايات المتحدة الأمريكية وإندونيسيا والهند وأيرلندا لم تكن بمنأى عن هذه الإصابات.
تفاصيل تهديد الفيروس
ما هي آلية عمل تهديد Darkhotel؟
هذه الحملة غير معتادة لأنها تستغل درجات متنوعة من الاستهداف الضار.
(1) التصيّد بالحرية
من ناحية، يستخدمون رسائل البريد الإلكتروني للتصيّد بالحرية في اختراق قواعد الصناعات الدفاعية، والحكومات، والمنظمات غير الحكومية، وشركات تصنيع الإلكترونيات والأجهزة الطرفية الكبرى، وشركات الأدوية، ومزودي الخدمات الطبية، والهيئات ذات العلاقة بالمجال العسكري، وواضعي سياسات الطاقة. وتنتهج الهجمات عملية التصيّد بالحرية التقليدية مع عمليات زرع لـ Darkhotel مختفية تمامًا. غالبًا من يتضمن محتوى الاستدراج عبر البريد الإلكتروني موضوعات مثل الطاقة النووية وقدرات الأسلحة. وعلى مدار الأعوام السبعة المنصرمة تضمنت رسائل البريد الإلكتروني للتصيّد بالحرية ملف Adobe مرفقًا ذا استغلال فوري أو روابط تعيد توجيه مستعرضات الأهداف إلى مستعرضات Internet Explorer ذات استغلال فوري. ويتمثل هدفها في سرقة بيانات من هذه المؤسسات.
(2) نقل البرامج الضارة
من ناحية أخرى، ينشرون البرامج الضارة عشوائيًّا من خلال مواقع مشاركة البيانات P2P (نظير إلى نظير) اليابانية. ويتم نقل البرامج الضارة كجزء من أرشيف RAR ضخم الذي يدعي عرض محتوى جنسي، ولكنه يثبِّت فيروس حصان طروادة متسللاً يجمع معلومات سرية من الضحية.
(3) الإصابة
يستهدفون المسؤولين التنفيذيين غير المرتابين الذي يسافرون إلى دول خارجية ويقيمون في الفنادق، حيث يتخذون منهجًا يجمع بين الأسلوبين المذكورين آنفًا. فالضحايا هنا يصابون بفيروس حصان طروادة نادر يختفي كأحد إصدارات البرامج المهمة، مثل Google Toolbar وAdobe Flash وWindows Messenger. ويستغل المهاجمون هذه الإصابة الأولية في تحديد ضحاياهم وتنزيل المزيد من البرامج الضارة على حواسيب أهم الضحايا، مصمَّمة لسرقة بيانات سرية من حاسب الضحية.
وبناءً على سلسلة ضمن التعليمات البرمجية الضارة، يتضح أن التهديد يشير إلى مصدر النشأة وهو عنصر فاعل للتهديد وهو كوري الجنسية.
ما هي خطورة Darkhotel؟
بالرغم من التعقيد الفني للعديد من الهجمات المستهدفة، فإنها تبدأ عادةً بخداع الموظفين المنفردين لفعل شيء يضر بأمن الشركة. وقد يكون الموظفون الذي يشغلون مناصب يتعاملون خلالها مع الجمهور (مثل، كبار المسؤولين التنفيذيين، وموظفي المبيعات والتسويق) أكثر عرضة للخطر، ولا سيما أنهم يكونون في حالة تنقُّل دائم ويستخدمون عادةً شبكات غير موثوق بها (كما في الفنادق) للاتصال بشبكة الشركة.
سمات حملة Darkhotel
- تركِّز الهجمات المستهدفة على الضحايا من المستوى "ج": الرؤساء التنفيذيين، وكبار نواب الرؤساء، ومدراء المبيعات والتسويق، وكبار موظفي البحث والتطوير
- تستخدم العصابات الهجمات المستهدفة والعمليات بأسلوب شبكة بوت نت. فهم يخترقون شبكات الفنادق ثم يشنون هجمات من هذه الشبكات على مجموعة مختارة من الضحايا المرموقين. وفي الوقت نفسه، يستخدمون العمليات بأسلوب شبكة بوت نت للمراقبة الشاملة أو لتنفيذ هجمات أخرى، مثل هجمات حجب الخدمة الموزَّع (DDoS) أو لتثبيت أدوات تجسس أكثر تعقيدًا على حواسيب أهم الضحايا.
- استخدام عمليات الاستغلال الفورية التي تستهدف منتجات Internet Explorer وAdobe.
- استخدام مسجِّل لوحة مفاتيح أساسي متقدم لسرقة بيانات سرية.
- تُستخدم شهادات رقمية مسروقة للتوقيع على التعليمات البرمجية الضارة.
- حملة مستعصية – يعمل Darkhotel منذ حوالي عَقْد.
كيف يمكنني منع هجومات Darkhotel؟
بالرغم من أن منع الهجمات تمامًا قد يكون صعبًا، فيما يلي بعض النصائح التي تضمن لك الحماية أثناء السفر.
- إذا كنت تخطط للوصول إلى شبكات Wi-Fi عامة أو حتى شبه عامة، فينبغي لك استخدام أنفاق VPN الموثوقة فقط
- معرفة آلية عمل هجمات التصيُّد بالحرية وفهمها
- صيانة جميع برامج الأنظمة وتحديثها
- الحرص دومًا على التحقق من الملفات القابلة للتنفيذ والتعامل مع الملفات التي يتم مشاركتها عبر شبكات P2P بحذر وحيطة
- محاولة الحد من تحديثات البرامج أثناء السفر
- تثبيت برامج فائقة الجودة لأمن الإنترنت: تأكد من أنها تشمل دفاعًا استباقيًّا ضد التهديدات الجديدة بدلاً من الحماية الأساسية ضد الفيروسات.