التكنولوجيا وأخبارها بوابة مصر لأخبار تكنولوجيا المعلومات والإتصالات
كُشف باحثوا كاسبرسكي النقاب في فبراير الماضى عن قيام الجهة التخريبية SixLittleMonkeys،
المعنية بالتهديدات المتقدمة المستمرة والمعروفة أيضًا بالاسم Microcin،
وذلك بتنزيل أحد التروجانات الخطرة في ذاكرة النظام الرقمي المستهدف.
واكتشف باحثوا في كاسبرسكي أن المرحلة الأخيرة من الهجوم الذي تشنّه هذه الجهة التخريبية
والمتمثلة بتنزيل حمولتها الخبيثة وبدء تنفيذ الأوامر على جهاز الضحية، كانت تستخدم نمطًاجديدًا
في التشفير باستخدام بُنية شبيهة بواجهة برمجة التطبيقات من أجل تبسيط إجراء التحديثات على
برمجياتها الخبيثة.
وقد وجد باحثوا كاسبرسكي أن مجموعةSixLittleMonkeys تستهدف منذ عدة سنوات هيئات حكومية ودبلوماسيةبحملات تجسس إلكتروني تُشنّ عبر منفذ خلفي. كذلك،
تمكّنت المجموعة من إخفاء
نشاطها التخريبي باستخدام طريقة إخفاء المعلومات، وهي عملية يتم من خلالها إرسال المعلومات
بتنسيق مخفي ضمن ملفات وبطريقة لا يمكن معها معرفة أنه جرى تنزيلها أو تحديثها، الأمر الذي
يصعّب على منتجات مكافحة الفيروسات اكتشاف الحمولات الخبيثة.
ووجد الباحثون أن SixLittleMonkeysكانت تستخدم بقدر كبير مجموعة الأدوات ومكتبة البحث نفسها
وأسلوب إخفاء المعلومات نفسهعندما عُثر عليهاتنشط في عمليات ضد إحدى الهيئات الدبلوماسية
خلال فبراير الماضي. ولكنها، مع ذلك، استطاعت أن تخطو خطوة مهمة تمثلت في تطبيق تقنيات
تشفير ذات أسلوب مؤسسي في المرحلة الأخيرة من الهجوم.
وتتيح واجهات برمجة التطبيقات للمطورين إنشاء تطبيقات بطريقة أسرع وأسهل من خلال إنشاء لبِنات
بناء للبرمجيات المستقبلية، بحيث لا يلزم تطوير الشيفرة البرمجية من البداية. في حالة البرمجيات
الخبيثة، تضيف واجهات برمجة التطبيقات مستوىً إضافيًا من الكفاءة يمكن معه تسريع إجراء التحديثات
أو التغييرات المطلوبة.
وتستفيد الوظيفة الشبيهة بواجهة برمجة التطبيقات التي تستخدمها SixLittleMonkeys من معاملَيْن
أو وظيفتين تُستدعيان لاحقًا؛ مؤشرات إلى أداة التشفير ووظائف التسجيل. أما الوظيفة
الأولى فمسؤولة عن التشفير أو فك التشفير لاتصالات C2 (خادم التحكّم) وبيانات التهيئة الخاصة به،
في حين أن الثانيةتحفظ سجلّ عمليات البرمجيات الخبيثة في الملف. ويسهِّل هذا النهجعلى واضعي
البرمجيات الخبيثة تغيير خوارزمية التشفير أو إعادة توجيه المسجِّل عبر قناة اتصال مختلفة.
واشتمل جانب آخر من نشاط SixLittleMonkeysفي استخدام العمل غير المتزامن مع المقابس،
التي تتمثل في هذه الحالة بكيانات الاتصالات الشبكية مع خادم التحكّم. هذا، ولا تؤدي إحدى العمليات
إلى إعاقة الأخرى نظرًا لأنها غير متزامنة، ما يعني تنفيذ جميع الأوامر.
وأوضح دينيس ليغيزو الباحث الأمني الأول في كاسبرسكي، إنه نادرًا ما يُعثَر في البرمجيات الخبيثة
على هذا التوظيف لأسلوب البرمجة الشبيه بواجهة برمجة التطبيقات على مستوى المؤسسات،
حتى لدى الجهات التخريبية التي تشنّ حملات موجهة، وقال: “يظهر اتباع هذا الأسلوب خبرة واسعة
في تطوير البرمجيات ويدلّ على التطوّر الكبير الحاصل من جانب الجهة التخريبية، التي سوف تتمكّن
من تحديث برمجياتها لاحقًا بفضلوظائف الاستدعاء اللاحق”.
ويوصي خبراء كاسبرسكي المؤسسات باتباع التدابير التالية للبقاء في مأمن من هجمات الجهات
التخريبية القائمة على التهديدات المتقدمة المستمرة، مثلSixLittleMonkeys:
• تزويد فريق مركز العمليات الأمنية بإمكانية الوصول إلى أحدث المعلومات المتعلقة بالتهديدات، والبقاء على اطلاع على أحدث الأدوات والتقنيات والأساليب الجديدة والناشئة التي تستخدمها الجهات التخريبية ومجرمو الإنترنت.
• تنفيذ حلول EDR مثلKaspersky Endpoint Detection and Response، للكشف عن التهديدات مستوى النقاط الطرفية، والتحقيق فيها ومعالجتهافي الوقت المناسب.
• تنفيذ حل أمني مؤسسي يكتشف التهديدات المتقدمة على مستوى الشبكة في مرحلة مبكرة، مثل Kaspersky Anti Targeted Attack Platform.
• تزويد الموظفين بالتدريب الأساسي على الأمن الرقمي والسلامة الرقمية العامة، إذ إن العديد من الهجمات الموجّهة تبدأ بأساليب التصيّد أو تقنيات الهندسة الاجتماعية الأخرى المستخدمة في خداع المستخدمين. ويمكن تنفيذ هجوم تصيد وهمي للتأكّد من قدرة الموظفينعلى التمييز بين رسائل التصيّد والرسائل السليمة.
يمكن الاطلاع على المزيد عن أحدث أنشطة SixLittleMonkeys على Securelist.
