نشرت شركة تريند مايكرو نتائج بحث عن حملة واسعة تقوم على شنّ هجمات تُعرف باسم “بِركة الشرب” Watering Holeوتستهدف المستخدمين في وقت سابق من شهر مارس،
,في جنوب شرق آسيا ببرمجية تجسس قوية تسمى LightSpy. وفي أعقاب نشر نتائج الدراسة البحثية تلك،
نشر فريق البحث والتحليل العالمي في كاسبرسكي تفاصيل إضافية مهمة عن هذه الحملة
التي تستهدف مستخدمي الهواتف المحمولة من خلال روابط خبيثة تؤدي إلى منتديات
وقنوات اتصال مختلفة.
وعرضت كاسبرسكي في بحثها المنشور على Securelist.com تحليلاً لما يلي:
• الجدول الزمني الخاص بتوظيف إطار المراقبة ابتداء من يناير 2020.
• عينات غير معروفة سابقًا من برمجيةLightSpy التي تُزرع في الأجهزة المحمولة العاملة بالنظام Android.
• آثار لبرمجيات تجسس مزروعة تستهدف أجهزة حاسوب بأنظمةWindows وMac وLinux،وأجهزة توجيه بـ Linux.
• مؤشرات جديدة لحدوث اختراقات، وتفاصيل أخرى حول الهجوم.
ماذايُعرف عن هجمات LightSpy؟
توزّع الجهة التخريبية الكامنة وراء الحملة روابط إلى مواقع خبيثة تحاكي مواقع أصلية يرتادها
ضحاياهم المستهدفون. وبمجرد أن يزور الضحية موقع الويب المفخّخ، تحاول سلسلة استغلال
مخصصة تنفيذ “شيفرة قشرة” shellcode، ما يؤدي إلى تشغيل البرمجية الخبيثة الأصلية بالكامل
على هاتف الضحية.
ونجحت البرمجية الخبيثة في استهداف أجهزة iPhone تعمل بإصدارات حتى 12.2 من النظام iOS.
ويُعدّ المستخدمون لأجهزة iPhone بالإصدار الأحدث 13.4 من النظامiOS، في مأمن من هذه الثغرات،
التي تستهدفمستخدمي الأجهزة العاملة بنظام التشغيل Android؛ إذ وجد الباحثون عدة إصدارات من
هذه البرمجية تستهدف هذا النظام. وعلاوة على ذلك، حدّد باحثو كاسبرسكي بعض المؤشرات على
وجود برمجيات خبيثة تستهدف أجهزة Mac وLinux وWindows، بجانب أجهزة توجيه تستند على
النظام Linux.
ووجد البحث أيضًا أن البرمجية تنتشر من خلال المشاركات والردودفي المنتديات، علاوة على منصات
الاتصال الشائعة عن طريق نشر روابط عليها تؤدي إلى الصفحات المزيفة المفخخة بالبرمجية القادرة
على كسر حماية نظام التشغيل لمنح المهاجمين القدرة على تسجيل المكالمات والصوت وقراءة
الرسائل في تطبيقات معينة،وغيرها من الأنشطة الخبيثة.
ولا تكفي المعلومات المتاحة حاليًا عن الحملة لتحديد الجهة التخريبية التي تقف وراءها، ما جعل
كاسبرسكي تطلقعلى المهاجمين اسم TwoSail Junk مؤقتًا.
وقال ألكسي فيرش الباحث الأمني في فريق البحث والتحليل العالمي لدى كاسبرسكي، إن الفريق
حرص على تتبع هذه الحملة وبنيتها التحتية منذ يناير من هذا العام، معتبرًا أنها تشكّل مثالًا مثيرًا
للاهتمام على إمكانية وضع بُنية منهجية مرنة وتوظيفها لغايات التجسس في جنوب شرق آسيا،
وأضاف: “هذه الاستراتيجية المبتكرة هي شيء رأيناه سابقًا لدى SpringDragon، في حين أن تحديد
الموقع الجغرافي المستهدف من البرمجية الخبيثة LightSpy يقع ضمن عمليات استهداف إقليمية
سابقة قامت بها SpringDragon، وLotusBlossom، وBillbug APT، وهو ما ينطبق على البنية التحتية واستخدام المنفذ الخلفي “إيفورا”. وعلى الرغم من أن الحملة بلغت ذروتها في فبراير، أي عندما
شهدنا أعلى نمو للروابط التي تؤدي إلى المواقع الخبيثة، فإنها ما زالت نشطة ولا نزال نراقبها”.
وتوصي كاسبرسكي المستخدمين باتباع التدابير التاليةلتجنب الوقوع ضحية لجهات “برك الشرب”
وغيرها من الهجمات الموجهة:
• تجنُّب الروابط المشبوهةالتي تعد بمحتوى حصري،خاصةإذاجرت مشاركتهاعلى وسائل التواصل الاجتماعي، مع الحرص على الرجوع إلى المصادر الرسمية للحصول على معلومات موثوق بها.
• ضرورة التحقق من صحةالموقع،وتجنب زيارة مواقع الويب حتى التأكدمن شرعيتهاوكونها تبدأبـhttps،
مع التحقق من تنسيق عنوان URL وتهجئة اسم الشركة، وقراءة التقييمات الخاصة به والتحقق من
بيانات تسجيل اسم النطاق.
• اختيارحلأمن رقمي موثوقبهمثلKaspersky Total Security للحماية الشخصية الفعالة من
التهديدات المعروفة وغير المعروفة.
وفي المقابل، توصي كاسبرسكي الشركات بضرورة أن تحظى فرق الأمن الرقمي فيها بالقدرة على
الوصول إلى أحدث المعلومات المتعلقة بالتهديدات الرقمية. وتتاح تقارير خاصة عن آخر التطورات
والمستجدات في مجال التهديدات لعملاء Kaspersky APT Intelligence Reporting.