الأربعاء 17 يناير 2018 م - 28 ربيع آخر 1439 هـ
  • cairo ict
  • cisco cairo ict
  • e-finance cairo ict
  • تكنولوبيا
مدير الموقعمحمد عبد المنعمرئيس التحريرعائشة العفيفي
إنترنت
18 نوفمبر 2017 7:13 مـ 28 صفر 1439

كاسبرسكي لاب تنشر نتائج التحقيق الداخلي المتعلق بحادثة الشيفرة المصدرية للبرمجية الخبيثة Equation APT

كاسبرسكي لاب تنشر نتائج التحقيق الداخلي المتعلق بحادثة الشيفرة المصدرية للبرمجية الخبيثة Equation APT

في أوائل شهر أكتوبر، نشرت صحيفة وول ستريت جورنال مقالة تزعم باستخدام برنامج مكافحة فيروسات من كاسبرسكي لاب من أجل تحميل بيانات سرية من كمبيوتر أحد موظفي وكالة الأمن القومي الأمريكية. وباعتبار أن كاسبرسكي لاب من أبرز الشركات العالمية المتخصصة التي تقف في طليعة الجهود الرامية إلى مكافحة التجسس والجرائم الإلكترونية منذ أكثر من 20 عاماً، تعاملت الشركة مع هذه الادعاءات بجدية عالية، حيث قامت بإجراء تحقيق داخلي شامل لجمع الحقائق حول هذا الأمر ومعالجة أي مخاوف ناجمة عنه.

وقد تم نشر النتائج الأولية للتحقيق في 25 أكتوبر، حيث سلط التقرير الضوء على النتائج العامة التي توصلت إليها الشركة بحثاً عن أية أدلة مرتبطة بالحادثة المزعومة التي نشرتها وسائل الإعلام. ويؤكد التقرير الجديد الذي نُشر اليوم النتائج الأولية، ويقدم معلومات ورؤى إضافية للتحليل الخاص بآلية القياس التي تعتمدها حزمة برامج كاسبرسكي لاب المتعلقة بالحادثة المذكورة. وتصف آلية القياس لهذا النشاط المشبوه المسجل على الكمبيوتر المعني ضمن الإطار الزمني للحادثة التي وقعت في العام 2014.

ملخص عام:
في الحادي عشر من شهر سبتمبر 2014، أبلغ برنامج كاسبرسكي لاب، الذي تم تحميله على جهاز كمبيوتر مستخدم في الولايات المتحدة، عن إصابة الجهاز بما يبدو أنه نوع جديد ومختلف من البرمجيات الخبيثة، التي تستخدمها مجموعة Equation APT، الناشطة في مجال الهجمات الإلكترونية المتطورة، والتي تخضع أنشطتها وممارساتها للتحقيق منذ شهر مارس من العام 2014.

وفي وقت لاحق، يبدو أن المستخدم قام بتحميل وتثبيت أحد البرامج المقرصنة على الجهاز، وتحديداً ملف Microsoft Office ISO، وأداة تفعيل حزمة برامج Microsoft Office 2013 غير قانونية (تعرف باسم  keygen ).

ولتثبيت النسخة المقرصنة من حزمة برامج Office 2013، يبدو أن المستخدم قام بإيقاف عمل برنامج كاسبرسكي لاب على الكمبيوتر الخاص به، نظراً لعدم إمكانية تشغيل أداة التفعيل المقرصنة وغير القانونية أثناء عمل برنامج مكافحة الفيروسات.

وكانت أداة التفعيل غير القانونية المدرجة ضمن حزمة برامج Office 2013 تحتوي على برمجية خبيثة، وبذلك أصيب المستخدم بهذه البرمجية الخبيثة لفترة غير محددة من الزمن، وهي الفترة التي تم خلالها إيقاف عمل برنامج كاسبرسكي لاب. هذه البرمجية الخبيثة كانت تحتوي على ثغرات خفية ومفتوحة تسمح لأطراف ثالثة أخرى بالوصول إلى جهاز المستخدم.

وعند إعادة تشغيله، اكتشف برنامج كاسبرسكي لاب البرمجية الخبيثة الضارة التي تحمل اللاحقة Backdoor.Win32.Mokes.hvl، وقام بحظرها لمنع أي عملية اتصال بخادم الأوامر والتحكم. وكان أول رصد لبرنامج الإعداد الخبيث بتاريخ 4 أكتوبر 2014.

بالإضافة إلى ذلك، كشف برنامج مكافحة الفيروسات أيضاً عن أشكال جديدة وأخرى معروفة مسبقاً من البرمجية الخبيثة الشهيرة Equation APT.

أحد الملفات التي اكتشفها البرنامج كان عبارة نسخة جديدة ومختلفة عن البرمجية الخبيثة Equation APT، وهو على شكل ملف أرشيف مضغوط يحمل الاسم 7zip، تم إرساله إلى مختبرات فحص الفيروسات لدى شركة كاسبرسكي لإجراء المزيد من عمليات التحليل وفقا لإتفاقية المستخدم النهائي ورخصة كاسبرسكي لأمن الشبكات.

واكتشفت عمليات التحليل احتواء ملف الأرشيف على عدة ملفات، بما فيها مجموعة من الأدوات المعروفة والمجهولة الخاصة بمجموعة Equation، وشيفرة المصدر، إلى جانب مستندات سرية. وعليه، أبلغ المحلل الرئيس التنفيذي بأمر هذه الحادثة. واستناداً إلى توجيهات الرئيس التنفيذي، تم حذف ملف الأرشيف، وشيفرة المصدر، وأية بيانات سرية في غضون أيام من كافة أنظمة الشركة. ومع ذلك، يتم الاحتفاظ بالملفات الثنائية للبرمجيات الخبيثة المشروعة لدى شركة كاسبرسكي لاب. ولم يتم مشاركة ملف الأرشيف مع أي طرف ثالث.

أما الأسباب التي استعدت قيام شركة كاسبرسكي لاب بحذف هذه الملفات، وحذفها لكافة الملفات المماثلة لها في المستقبل، فتستند إلى شقين، الأول أن الشركة تحتاج للبرمجيات الخبيثة الثنائية فقط للعمل على تحسين مستوى الحماية، والثاني وجود مخاوف ترتبط باحتمالية التعامل مع ملفات سرية.

وبسبب هذا الحادث، تم طرح سياسة جديدة لكافة محللي البرمجيات الخبيثة، وتتمثل في وجوب حذف أي ملفات يمكن أن تصنيف كلمات سرية يتم جمعها عن طريق الخطأ خلال الأبحاث الخاصة بمكافحة البرمجيات الخبيثة.

لم يكشف التحقيق عن أية حوادث مماثلة أخرى خلال العام 2015، أو 2016، أو 2017.

حتى الآن، لم يتم الكشف عن أي تدخل لطرف ثالث باستثناء Duqu 2.0 ضمن شبكات كاسبرسكي لاب.

ولتحقيق مستوى أعلى من الموضوعية حيال مسألة التحقيق الداخلي، حرصت كاسبرسكي لاب على الاستعانة بالعديد من المحللين، بمن فيهم محللون من أصول غير روسية، ويعملون خارج روسيا، لتجنب أي اتهامات محتملة بشأن التدخل في مسار التحقيق.

نتائج إضافية
أفادت أبرز الاكتشافات الرئيسية الأولية في مسار التحقيق أن جهاز الكمبيوتر المذكور كان مصاباً بالبرمجية الخبيثة Mokes backdoor، التي تتيح لقراصنة الإنترنت الوصول عن بعد إلى الجهاز. وكجزء من التحقيق، أجرى خبراء شركة كاسبرسكي لاب تحليلاً أعمق لهذه البرمجية الخفية، وعلى غيرها من المؤشرات التي لا تنتمي لمجموعة Equation المرتبطة بهذا التهديد، التي تم إرسالها من جهاز الكمبيوتر.

برمجية Mokes backdoor الخبيثة والخفية
تشتهر برمجية Mokes backdoor الخبيثة (المعروفة أيضاً باسم  Smoke Bot  أو  Smoke Loader ) بأنها ظهرت على صفحات المنتديات الروسية ضمن شبكة الإنترنت الخفية، حيث تم طرحها للشراء في العام 2011. وقد أظهرت أبحاث شركة كاسبرسكي لاب أنه خلال الفترة بين شهري سبتمبر ونوفمبر 2014، تم تسجيل ربط خوادم الأوامر والتحكم الخاصة بهذه البرمجيات الخبيثة مع كيان صيني محتمل يحمل الاسم Zhou Lou. كما أظهرت نتائج عمليات التحليل الأعمق، التي قامت بها شركة كاسبرسكي لاب، أن برمجية Mokes backdoor الخبيثة قد لا تكون البرمجية الخبيثة الوحيدة التي أصابت جهاز الكمبيوتر المعني وقت الحادثة، حيث تم الكشف عن وجود غيرها من أدوات التفعيل الـ keygens غير القانونية على نفس الجهاز.

المزيد من البرمجيات الخبيثة التي لا تنتمي لمجموعة Equation
على مدى شهرين، أبلغ البرنامج عن 121 تنبيه ترتبط ببرمجيات خبيثة لا تنتمي لمجموعة Equation، بما فيها برمجيات التسلسل backdoors، والاحتيال exploits، والـ Trojans، والـ AdWare. وتشير جميع هذه التنبيهات، إلى جانب عدد محدود من عمليات الاستقصاء عن بعد، إلى أنه عند قيام البرنامج برصد هذه البرمجيات الخبيثة والتهديدات، من المستحيل معرفة وتحديد فيما إذا كانت قد بدأت العمل خلال الفترة التي تم إيقاف البرنامج فيها.

وتواصل شركة كاسبرسكي لاب بحث ودراسة عينات البرمجيات الخبيثة الأخرى، حيث ستقوم بنشر المزيد من النتائج بمجرد الانتهاء من عمليات التحليل.

الاستنتاجات:
فيما يلي الاستنتاجات العامة للتحقيق حتى الآن:
عمل البرنامج كما هو متوقع منه، حيث قام بإخطار خبراء ومحللو الشركة بالتنبيهات بناءً على النسخة المعتمدة، والكشف عن البرمجية الخبيثة الخاصة بمجموعة Equation APT، التي كانت بالفعل قيد التحقيق منذ ستة أشهر. كل هذا وفقا لوصف وظيفة المنتج المعلنة، والسيناريوهات، والمستندات القانونية التي وافق عليها المستخدم قبل تثبيت البرنامج.

تم سحب ما يعتقد بأنها بيانات سرية محتملة، نظراً لإدراجها ضمن ملف الأرشيف الذي تم نشره بإشارة من برمجية Equation APT الخبيثة.

إلى جانب البرمجيات الخبيثة، احتوى ملف الأرشيف أيضاً فيما ما يبدو على شيفرة المصدر الخاصة برمجية Equation APT الخبيثة، مع أربعة ملفات  وورد  نصية مصنفة بعلامات تبويب  سرية . ولا تمتلك شركة كاسبرسكي لاب معلومات حول محتوى هذه الملفات، فقد تم حذفها خلال أيام.

لا تستطيع شركة كاسبرسكي لاب التقييم فيما إذا كانت البيانات قد  تم التعامل معها بشكل مناسب أم لا   (وفقا لمعايير وقواعد الحكومة الأمريكية)، حيث لم يتم تدريب خبراء ومحللو الشركة للتعامل مع المعلومات السرية الخاصة بالولايات المتحدة، كما أنه لا تقع على عاتقهم أية مسؤولية أو التزام قانوني للقيام بذلك. فالمعلومات لم تتم مشاركتها مع أية جهة ثالثة.

خلافاً لما أشار إليه عدد من وسائل الإعلام، لم يتم العثور على أي دليل على محاولة خبراء وباحثي شركة كاسبرسكي لاب، وفي أي وقت من الأوقات، إصدار تراخيص  غير نشطة  تهدف إلى البحث عن ملفات  وورد  نصية تحتوي على كلمات مثل  سري للغاية  و سرية ، وغيرها من الكلمات المشابهة.

تشير الإصابة بالبرمجية الخبيثة Mokes backdoor، واحتمالية الإصابة بغيرها من البرمجيات الخبيثة الأخرى التي لا تنتمي لمجموعة Equation، إلى احتمال تسريب بيانات المستخدم إلى عدد غير معروف من الأطراف الثالثة، وذلك نتيجة الوصول عن بعد إلى جهاز الكمبيوتر.

وانطلاقاً من سياسة الشفافية المطلقة التي تنتهجها شركة كاسبرسكي لاب، فإنها على استعداد لتقديم تفاصيل إضافية حول التحقيق بطريقة مسؤولة إلى الأطراف المعنية من الهيئات الحكومية، والعملاء ذوي الصلة، حول التقارير التي قامت وسائل الإعلام بنشرها مؤخراً.

أُضيفت في: 18 نوفمبر (تشرين الثاني) 2017 الموافق 28 صفر 1439
منذ: 1 شهر, 29 أيام, 5 ساعات, 44 دقائق, 59 ثانية
0
الرابط الدائم
موضوعات متعلقة

التعليقات

5429
icec217
صائد الهاكرز
cairo ict 2017
inovasys
التكنولوجيا وأخبارها