انقسام النهج الذي يستخدمه القراصنة في التهديدات الرقمية بالربع الثالث
كشفت الأنشطة التي مارستها مجموعات التهديدات المتقدمة المستمرة في الربع الثالث من العام الجاري 2020 إلى توجّه غير مألوف للهاكرز.
فبينما تتقدم العديد من تلك الجهات وتستمر في تنويع مجموعات أدواتها التخريبية، وتلجأ أحيانًا إلى تصميم أدوات مبتكرة لتنفيذ هجمات مستمرة ذات أغراض محددة
وتصل بعض تلك الجهات إلى أهدافها عبر أساليب مجربة ومعروفة منذ زمن. وقد تناولت كاسبرسكي هذا التوجه وغيره من التوجهات المرتبطة بالتهديدات المتقدمة المستمرة في أجزاء مختلفة من العالم في أحدث تقاريرها الربع سنوية الخاصة بمعلومات التهديدات.
ولاحظ باحثو كاسبرسكي في الربع الثالث من 2020، انقسامًا في النهج العام الذي تستخدمه الجهات والمجموعات الناشطة في مجال التهديدات الرقمية؛ فقد شوهدت تطورات متعددة في الأساليب والتقنيات والإجراءات الخاصة بهذه المجموعات في جميع أنحاء العالم، بجانب حملات فعالة استخدمت نواقل هجوم ومجموعات أدوات اتسمت بالبساطة.
كانت إحدى أبرز النتائج التي توصل إليها التقرير الربعي، حملة نفذتها مجموعة تخريبية غير معروفة قررت إصابة أحد الضحايا باستخدام نسخة من أدوات تشغيل البرمجيات الثابتة bootkit معدلة لتناسب الواجهة الموحّدة والموسّعة للبرمجيات الثابتة (UEFI)، التي تُعدّ مكونًا أساسيًا من مكونات أي حاسوب حديث. كان ناقل الهجوم هذا جزءًا من بُنية معقدة متعددة المراحل يُطلق عليه اسم MosaicRegressor. وقد أدّت إصابة UEFI إلى جعل البرمجية الخبيثة المزروعة في الجهاز تعمل استثنائيًا بصورة مستمرة وتصعب إزالتها. ويمكن علاوة على ذلك، أن تكون الحمولة التي يجري تنزيلها من قبل البرمجية الخبيثة مختلفة بين جهاز ضحية وآخر، وقد مكّن هذا النهج المرن جهة التهديدات من إخفاء حمولتها عن الشهود غير المرغوب فيهم.
من جهة أخرى، تستفيد بعض جهات التهديدات مما يُعرف بالاختزال، فقد اكتشفت طريقة جديدة تسيء استخدام الملف الثنائي الموقع برمز المصادقة في حلّ "ويندوز" الأمني المعتمد Windows Defender، ضمن هجوم على إحدى شركات الاتصالات في أوروبا.
واستخدمت نسخة جديدة من المنفذ الخلفي Okrum في حملة مستمرة منسوبة إلى المجموعة التخريبية Ke3chang، بحيث تُسيء استخدام الملف الثنائي الموقع برمز المصادقة في Windows Defender عبر استخدام أسلوب فريد في التحميل الجانبي. واستخدم المهاجمون أسلوب "إخفاء المعلومات" ضمن الملف لإخفاء الحمولة الرئيسة القابل للتنفيذ في Defender مع الحفاظ على سلامة التوقيع الرقمي، ما قلّل من فرص الكشف عنها.
وتواصل العديد من الجهات التخريبية الأخرى أيضًا تحديث مجموعات أدواتها لجعلها أكثر مرونة وأقل عرضة للانكشاف. وتستمر البُنى متعددة المراحل، مثل تلك التي طورتها مجموعة MuddyWater في الظهور في مزيد من الحوادث، في توجّه ينطبق أيضًا على البرمجيات الخبيثة الأخرى، مثل Dtrack RAT (أداة للوصول عن بُعد) التي خضعت للتحديث بميزة جديدة تمكن المهاجم من تنزيل المزيد من أنواع الحمولات وتنفيذها على الأجهزة المستهدفة.
لكن في المقابل، ما زالت بعض الجهات التخريبية تستخدم بنجاح سلاسل هجوم منخفضة التقنية، بينها مجموعة تخريبية مرتزقة أطلق عليها باحثو كاسبرسكي اسم DeathStalker. وتركّز المجموعة في الأساس على استهداف شركات المحاماة والشركات العاملة في القطاع المالي، وتجمع معلومات حساسة وقيمة من الضحايا. باستخدام أساليب ظلّت متطابقة في الغالب منذ العام 2018، تمكّنت DeathStalker من الاستمرار في تنفيذ هجماتها بنجاح بفضل التركيز على التهرّب من الاكتشاف.
وبينما تظلّ بعض الجهات التخريبية الناشطة في مجال التهديدات الرقمية ثابتة بمرور الوقت، وتتطلع ببساطة إلى استغلال مواضيع ساخنة مثل جائحة كورونا في محاولة الإيقاع بضحاياها ودفعهم إلى تنزيل المرفقات الخبيثة، تعمل البعض الآخر من تلك الجهات على تطوير نفسها ومجموعات أدواتها، وفق ما أوضح أرييل جونغيت الباحث الأمني الأول في فريق البحث والتحليل العالمي لدى كاسبرسكي.
وقال: "كان مما شهدناه خلال الربع الماضي اتساع نطاق المنصات والأنظمة التي جرت مهاجمتها، والعمل المستمرّ على تطوير سلاسل الهجوم، واستغلال بعض الخدمات الرسمية ضمن البنية التحتية للهجوم، وهو يعني لمختصي الأمن الرقمي أهمية استثمار الموارد في تتبع الأنشطة التخريبية في بيئات جديدة، لعل بعضها يكون رسميًا ولم يخضع لكثير من التدقيق من قبل، وربما يتضمن برمجيات خبيثة مكتوبة بلغات برمجية أقل شهرة، وخدمات سحابية معروفة".
فبينما تتقدم العديد من تلك الجهات وتستمر في تنويع مجموعات أدواتها التخريبية، وتلجأ أحيانًا إلى تصميم أدوات مبتكرة لتنفيذ هجمات مستمرة ذات أغراض محددة
وتصل بعض تلك الجهات إلى أهدافها عبر أساليب مجربة ومعروفة منذ زمن. وقد تناولت كاسبرسكي هذا التوجه وغيره من التوجهات المرتبطة بالتهديدات المتقدمة المستمرة في أجزاء مختلفة من العالم في أحدث تقاريرها الربع سنوية الخاصة بمعلومات التهديدات.
ولاحظ باحثو كاسبرسكي في الربع الثالث من 2020، انقسامًا في النهج العام الذي تستخدمه الجهات والمجموعات الناشطة في مجال التهديدات الرقمية؛ فقد شوهدت تطورات متعددة في الأساليب والتقنيات والإجراءات الخاصة بهذه المجموعات في جميع أنحاء العالم، بجانب حملات فعالة استخدمت نواقل هجوم ومجموعات أدوات اتسمت بالبساطة.
كانت إحدى أبرز النتائج التي توصل إليها التقرير الربعي، حملة نفذتها مجموعة تخريبية غير معروفة قررت إصابة أحد الضحايا باستخدام نسخة من أدوات تشغيل البرمجيات الثابتة bootkit معدلة لتناسب الواجهة الموحّدة والموسّعة للبرمجيات الثابتة (UEFI)، التي تُعدّ مكونًا أساسيًا من مكونات أي حاسوب حديث. كان ناقل الهجوم هذا جزءًا من بُنية معقدة متعددة المراحل يُطلق عليه اسم MosaicRegressor. وقد أدّت إصابة UEFI إلى جعل البرمجية الخبيثة المزروعة في الجهاز تعمل استثنائيًا بصورة مستمرة وتصعب إزالتها. ويمكن علاوة على ذلك، أن تكون الحمولة التي يجري تنزيلها من قبل البرمجية الخبيثة مختلفة بين جهاز ضحية وآخر، وقد مكّن هذا النهج المرن جهة التهديدات من إخفاء حمولتها عن الشهود غير المرغوب فيهم.
من جهة أخرى، تستفيد بعض جهات التهديدات مما يُعرف بالاختزال، فقد اكتشفت طريقة جديدة تسيء استخدام الملف الثنائي الموقع برمز المصادقة في حلّ "ويندوز" الأمني المعتمد Windows Defender، ضمن هجوم على إحدى شركات الاتصالات في أوروبا.
واستخدمت نسخة جديدة من المنفذ الخلفي Okrum في حملة مستمرة منسوبة إلى المجموعة التخريبية Ke3chang، بحيث تُسيء استخدام الملف الثنائي الموقع برمز المصادقة في Windows Defender عبر استخدام أسلوب فريد في التحميل الجانبي. واستخدم المهاجمون أسلوب "إخفاء المعلومات" ضمن الملف لإخفاء الحمولة الرئيسة القابل للتنفيذ في Defender مع الحفاظ على سلامة التوقيع الرقمي، ما قلّل من فرص الكشف عنها.
وتواصل العديد من الجهات التخريبية الأخرى أيضًا تحديث مجموعات أدواتها لجعلها أكثر مرونة وأقل عرضة للانكشاف. وتستمر البُنى متعددة المراحل، مثل تلك التي طورتها مجموعة MuddyWater في الظهور في مزيد من الحوادث، في توجّه ينطبق أيضًا على البرمجيات الخبيثة الأخرى، مثل Dtrack RAT (أداة للوصول عن بُعد) التي خضعت للتحديث بميزة جديدة تمكن المهاجم من تنزيل المزيد من أنواع الحمولات وتنفيذها على الأجهزة المستهدفة.
لكن في المقابل، ما زالت بعض الجهات التخريبية تستخدم بنجاح سلاسل هجوم منخفضة التقنية، بينها مجموعة تخريبية مرتزقة أطلق عليها باحثو كاسبرسكي اسم DeathStalker. وتركّز المجموعة في الأساس على استهداف شركات المحاماة والشركات العاملة في القطاع المالي، وتجمع معلومات حساسة وقيمة من الضحايا. باستخدام أساليب ظلّت متطابقة في الغالب منذ العام 2018، تمكّنت DeathStalker من الاستمرار في تنفيذ هجماتها بنجاح بفضل التركيز على التهرّب من الاكتشاف.
وبينما تظلّ بعض الجهات التخريبية الناشطة في مجال التهديدات الرقمية ثابتة بمرور الوقت، وتتطلع ببساطة إلى استغلال مواضيع ساخنة مثل جائحة كورونا في محاولة الإيقاع بضحاياها ودفعهم إلى تنزيل المرفقات الخبيثة، تعمل البعض الآخر من تلك الجهات على تطوير نفسها ومجموعات أدواتها، وفق ما أوضح أرييل جونغيت الباحث الأمني الأول في فريق البحث والتحليل العالمي لدى كاسبرسكي.
وقال: "كان مما شهدناه خلال الربع الماضي اتساع نطاق المنصات والأنظمة التي جرت مهاجمتها، والعمل المستمرّ على تطوير سلاسل الهجوم، واستغلال بعض الخدمات الرسمية ضمن البنية التحتية للهجوم، وهو يعني لمختصي الأمن الرقمي أهمية استثمار الموارد في تتبع الأنشطة التخريبية في بيئات جديدة، لعل بعضها يكون رسميًا ولم يخضع لكثير من التدقيق من قبل، وربما يتضمن برمجيات خبيثة مكتوبة بلغات برمجية أقل شهرة، وخدمات سحابية معروفة".
