X
Jun 21, 2018   07:15 pm
facebook
twitter
you tube
whatsapp
Free Weather Widget
العلوم والتكنولوجيا
10-03-2018
برمجية خبيثة تعصف في منطقة الشرق الأوسط منذ العام 2012
T+ | T-


كشف باحثون لدى كاسبرسكي لاب عن تهديد متطور استخدم للتجسس الإلكتروني في منطقة الشرق الأوسط وإفريقيا منذ العام 2012 على أقل تقدير وحتى شهر فبراير الماضي.

وتهاجم البرمجية الخبيثة التي أطلق عليها الباحثون اسم سلينجشوت Slingshot “المقلاع”، وتصيب الضحايا من خلال بعض أجهزة التوجيه الشبكية الرديئة، ويمكن أن تعمل في النمط الجوهري Kernel Mode، ما يمنحها سيطرة كاملة على الأجهزة الضحية.

ويعد كثير من الأساليب المستخدمة من قبل هذه البرمجية فريدة من نوعها، وفقًا للباحثين الذي أكدوا فعاليتها الشديدة في الجمع الخفي للمعلومات، والقدرة على إخفاء حركتها ضمن حزم البيانات الملحوظة التي يمكنها اعتراضها دون العثور على أي أثر للاتصالات اليومية التي تجريها.

تم اكتشاف سلينجشوت بعد أن عثر الباحثون على برمجية مشبوهة لتسجيل عملية النقر على لوحة المفاتيح ووجدوا توقيعًا للكشف السلوكي من أجل معرفة ما إذا كانت هذه البرمجية قد ظهرت في مكان آخر.

وقد حفّزت هذه الخطوة اكتشاف وجود جهاز حاسوب مصاب بملف مشبوه داخل مجلد النظام باسم scesrv.dll، وقرر الباحثون تقصي المزيد عن هذا الأمر، ليُظهر تحليل أجري على الملف scesrv.dll أنه يتضمن شيفرة خبيثة، بالرغم من أنه يبدو جزءًا أصيلًا من نظام التشغيل.

وبما أن مكتبة الملفات هذه مُحمّلة بالملف التشغيلي services.exe، وهي طريقة معالجة تتمتع بامتيازات نظام التشغيل، فقد اكتسبت المكتبة الملغّمة الامتيازات نفسها المتاحة لمكتبة الملفات، ليُدرك الباحثون عندها أن دخيلاً استطاع أن يتسلل إلى العمق ووجد طريقه إلى قلب جهاز الحاسوب.

وقد يكون الناقل غير الاعتيادي لبرمجية سلينجشوت هو الشيء الأكثر إثارة للاهتمام فيها، ووجد الباحثون، مع اكتشافهم مزيداً من الضحايا، أن العديد منها أصيبت في البداية من خلال أجهزة توجيه شبكية Routers مخترقة.

ويبدو أن المجموعة القائمة خلف هجمات سلينجشوت تقوم أثناء شنها تلك الهجمات، باختراق أجهزة التوجيه وزارعة روابط ديناميكية خبيثة، وهي ليست في واقع الأمر سوى أداة تنزيل لمكونات خبيثة أخرى.

وتقوم البرمجية الخاصة بإدارة جهاز التوجيه بتنزيل الوحدة الخبيثة وتشغيلها على جهاز حاسوب مسؤول الشبكة عندما يلج إلى إعدادات جهاز التوجيه، فيما لا تزال الطريقة المستخدمة أصلاً لاختراق أجهزة التوجيه مجهولة.

بعد الإصابة، تقوم سلينجشوت بتحميل عدد من الوحدات على الجهاز الضحية، بما في ذلك وحدتان ضخمتان وقويتان هما Cahnadr وGollumApp، وتأتيان متصلتين ومتعاونتين في مداومة العمل على جمع المعلومات وتسريب البيانات.

ويبدو أن الهدف الرئيسي لبرمجية سلينجشوت هو التجسس الإلكتروني، إذ يُشير التحليل إلى أنها تجمع لقطات الشاشة وبيانات من لوحة المفاتيح وبيانات شبكية وكلمات مرور ووصلات USB وأنشطة أخرى على سطح المكتب وبيانات الحافظة الإلكترونية وغيرها، فوصول البرمجية الخبيثة إلى جوهر النظام يعني أن بإمكانها سرقة كل ما تريد.

كذلك يتضمن التهديد المتقدم والمستمر عدداً من الأساليب لمساعدة البرمجية الخبيثة في تجنب الكشف عنها، وتشمل تلك تشفير جميع السلاسل الكامنة في وحداته، واستدعاء خدمات النظام مباشرة من أجل تجاوز المنتجات الأمنية، واستخدام عدد من أساليب مكافحة تصحيح الأخطاء البرمجية Anti-debugging، وتحديد العملية التي تريد الدخول فيها اعتماداً على عمليات الحلول الأمنية المثبتة على الجهاز والمشغلة، وأكثر من ذلك.

وتعمل برمجية سلينجشوت كخادم خلفي سلبي، إذ لا تحتوي على عنوان ضمني لمركز القيادة والسيطرة ولكنها تحصل عليه من المشغل عبر اعتراض جميع حزم البيانات الشبكية في الوضع الجوهري والتحقق من الوضع لمعرفة ما إذا كان هناك اثنان من الثوابت السحرية المضمنة في مقدمة القطعة البرمجية، وإذا كانت هذه هي الحال، فهذا يعني أن هذه الحزمة تحتوي على عنوان لمركز القيادة والسيطرة، بعد ذلك تُنشئ سلينجشوت قناة اتصال مشفرة تصلها بمركز القيادة والسيطرة وتبدأ في نقل البيانات من أجل تسريبها.

ووضع الباحثون علامة Version 6.x على العينات الخبيثة التي تم التحقيق فيها، ما يشير إلى أن التهديد قائم منذ مدة طويلة، ومن المحتمل أن تكون المهارات والتكلفة المرتبطة بإنشاء مجموعة أدوات سلينجشوت المعقدة عالية، فضلاً عن تطلب تطويرها وقتاً طويلاً، وفي ذلك دلالات تُرجّح أن المجموعة الكامنة وراء هذه البرمجية مجموعة عالية التنظيم والاحترافية، وربما تحظى برعاية حكومية، فيما تشير الدلائل النصية في الشفرة البرمجية إلى أن لغة هذه المجموعة هي الإنجليزية، ويظل تحديد الإسناد الدقيق مع ذلك صعباً إن لم يكن مستحيلاً، كما أنه عُرضة للتلاعب والخطأ بشكل متزايد.

وشاهد الباحثون حتى الآن حوالي 100 ضحية لبرمجية سلينجشوت والوحدات المرتبطة بها، تقع في كينيا واليمن وأفغانستان وليبيا والكونغو والأردن وتركيا والعراق والسودان والصومال وتنزانيا، ويبدو أن معظم الضحايا المستهدفين أفراد لا مؤسسات، لكن بعضهم من الشركات والمؤسسات الحكومية، فيما يقع معظم الضحايا الذين تمت ملاحظتهم حتى الآن، في كينيا واليمن.

وقال أليكسي شولمين، المحلل الرئيسي للبرمجيات الخبيثة في كاسبرسكي لاب: “إن سلينجشوت عبارة عن تهديد متطور يلجأ إلى استخدام مجموعة واسعة من الأدوات والأساليب، بما في ذلك وحدات النمط الجوهري التي ظهرت حتى الآن فقط في الهجمات الأكثر تقدماً، وتعد هذه الوظيفية ثمينة ومربحة للمهاجمين، ما يفسر سبب وجودها لمدة ست سنوات على الأقل”.

تجدر الإشارة إلى أن جميع منتجات كاسبرسكي لاب تعمل على اكتشاف هذا التهديد ومنعه بنجاح. ولتجنب الوقوع ضحية لمثل هذا الهجوم، يوصي باحثو الشركة باتباع التدابير التالية:

ينبغي على مستخدمي أجهزة التوجيه من Mikrotik الترقية إلى أحدث إصدار برمجي في أقرب وقت ممكن لضمان الحماية من الثغرات المعروفة، وعلاوة على ذلك لم يعد Mikrotik Winbox يقوم بتنزيل أي شيء من جهاز التوجيه إلى حاسوب المستخدم.
استخدام حل أمني مُثبت وممتاز مع تقنيات مكافحة الهجمات الموجهة ومعلومات التهديدات.

إتاحة المجال أمام موظفي الأمن للوصول إلى أحدث بيانات التهديدات ما من شأنه تسليحهم بأدوات مفيدة للبحث والوقاية من الهجمات الموجهة، مثل مؤشرات الاختراق ومنصة YARA والتقارير الخاصة بالتهديدات المتقدمة.

إذا تم تحديد مؤشرات مبكرة على وقوع هجوم موجّه، على المستخدم أن يضع في اعتباره خدمات الحماية المدارة التي تسمح له باكتشاف التهديدات المتقدمة بشكل استباقي، وتقليل الوقت الذي يستغرقه الانتظار وترتيب التجاوب مع الحوادث في الوقت المناسب.


يلفت موقع صوت الفرح إلى أنه ليس مسؤولاً عن التعليقات التي ترده ويأمل من القرّاء الكرام الحفاظ على إحترام الأصول واللياقات في التعبير، ويحتفظ بعدم نشر أي تعليق يتضمن قدحاً أو ذمّاً أو تشهيراً أو تجريحاً أو شتائم.
  • wael sharafeddine (London): the music of sawt Al Farah itself is healing. It's an explosive expression of feeling.
  • wael sharafeddine (London):No matter what culture we're from, everyone loves the music of sawt Al Farah
  • حسين زيدان (صور):2-1لصالح ريال
  • هزار (القصيبه):بشكرصوت فرح وبتمنى لهم التوفيق
  • مهدي ياسر مسلماني (صور .الشعيتية):ريال مدريد2_1ليفربول
  • ali batta6 (بير):الريال بيربح 3-1
  • نجوى جمال (صور):صوت الفرح هوي الفرح كلو و هني اهل المحبي و الفرح
  • نجوى جمال (صور):شكرا لصوت الفرح
  • احمد كساب (مباروك):الف مبارك
  • رضا حمود (صور):الف مبروووك بتستاهلي اكتر من هيك وبتمنى تصيري وزير دولة احلا عالم
  • نرجس (صور):التوفيق للجميع
  • Tatiana Safa (Lebanon):Nice photos 📸
  • نعمان ابو خليل (القليله):نشد على ايديكم ايها الشرفاء
  • محمد (صور):تحية الى كوثر عيسي
  • جومانة كرم عياد (الجنوب):شكرا لصوت الفرح
  • khadija yassine ( الرمادية):أحلى صوت صوت الفرح
  • نبيل مملوك (صور):صلي الفخر الكبير أنني جزء من عائلة اسمها صوت الفرح ...منبر الحرية والشفافية والموضوعية والمحبة
  • غدير فرح (الجنوب):تحية لجميع محبي صوت الفرح صوت الجنوب
  • نبيل مملوك (لبنان):صوت الفرح :عائلة,تعاون ومحبة
  • عباس الجواد (قاقعية الصنوبر):من افضل الاذاعات صوت الفرح تحياتي لكم
  • زينب غندور (معركة):المعنى الحقيقي للفرح اذاعة صوت الفرح
  • إبراهيم (لبنان):رمز الإستمرارية الإعلامية
  • نهاد بحسون (خيزران):always be the best
  • صوت الفرح (صور):لإعلاناتكم على راديو صوت الفرح والموقع الإلكتروني إتصل 07742130
  • صوت الفرح (صور):يمكنكم الإستماع إلى راديو صوت الفرح على الموجة 104.3