FireEye تتوصل إلى استمرار حملات g0berspionage للهاتف المحمول

لا يزال يجري استخدام أداة تجسس على الإنترنت معروفة باسم Gh0st RAT في هجمات خبيثة خبيثة ، وفقا لتقرير جديد من شركة الأمن FireEye

FireEye ، المتخصصة في اكتشاف البرمجيات الخبيثة. البيانات التي جمعتها من مئات عملائها خلال عام 2012. نظرت في 12 مليون تقرير مختلف عن نشاط مشبوه ، تم تصنيف حوالي 2000 منها على أنها "تهديدات مستمرة متقدمة" (APTs) ، مصطلح الصناعة الأمنية للأجهزة المتطورة ، التي يصعب اكتشافها الهجمات التي تستهدف التسلل على المدى الطويل من المنظمات.

معظم تلك الحوادث 2000 توظيف Gh0st RAT ، أداة الوصول عن بعد يعتقد أنه تم تطويرها في الصين التي تسمح للمهاجمين بسرقة أنا شكل من أجهزة الكمبيوتر الضحية. في عام 2009 ، أفاد باحثون بمراقبة المعلومات Warwar ، وهي مشروع بحثي لأمن الكمبيوتر ، وجامعة تورنتو عن حملة تجسس سيبرانية واسعة النطاق باستخدام G0st RAT التي تستهدف أكثر من 1000 جهاز كمبيوتر في 103 دولة.

[اقرأ المزيد: كيفية إزالة البرامج الضارة من جهاز الكمبيوتر الخاص بك الذي يعمل بنظام تشغيل Windows]

Gh0st RAT هو "جزء مهم من أنواع حملات APT لأنه أداة فعالة" ، يقول روب راشوالد ، مدير أبحاث السوق في FireEye.

ينظر تقرير FireEye على نطاق واسع إلى كيفية قيام المهاجمين باستخلاص المعلومات من الضحايا والتحكم في برامجهم الضارة على أجهزة الكمبيوتر المصابة ، أو نشاط "معاودة الاتصال". وتظهر بياناتهم من عام 2012 أن المهاجمين يستخدمون خوادم القيادة والتحكم لتقديم تعليمات لبرامج ضارة في 184 دولة الآن ، بزيادة قدرها 42 بالمائة عن عام 2010.

كوريا الجنوبية لديها تركيز لنشاط رد الاتصال. تميل خوادم شركات التكنولوجيا إلى استهداف الهاكرز للتواصل مع الأجهزة المصابة. "أعتقد أن حقيقة أنهم كانوا تقليدياً واحدة من أكثر الدول اتصالاً في العالم هو على الأرجح محرك آخر لهذا."

قال تقرير FireEye: "بمعنى ، كوريا الجنوبية تعاني من RATs [بعيد أدوات الوصول]. يتضح من بيانات عام 2012 أن كوريا الجنوبية هي واحدة من أفضل وجهات الاتصال في العالم وأن بعض أنشطة رد الاتصال في البلاد مرتبطة بهجمات أكثر استهدافًا. "

تم إدخال المتسللين أيضًا معلومات مسروقة إلى ملفات صور JPEG في لكي تجعل البيانات تبدو أكثر مثل حركة المرور العادية. واستخدمت البرمجيات الخبيثة أيضًا مواقع الشبكات الاجتماعية مثل Twitter و Facebook لوضع التعليمات الخاصة بالآلات المصابة.

لاحظت الشركة حدوث تغييرات أخرى في سلوك المتسللين. عادة ، تقع خوادم القيادة والتحكم في بلد مختلف عن الضحية. الآن ، يتم تحديد موقع البنية التحتية للقيادة في نفس البلد لجعل حركة المرور تبدو طبيعية.

ولكن بالنسبة لبعض البلدان ، لم يتدخل المخترقون مع خوادم التحكم في بلد المستهدف. كان لدى كل من كندا والمملكة المتحدة نسب مئوية عالية من حركة الاستدعاء في الخارج. ربما لم يفعل المهاجمون ذلك في تلك البلدان لأنهم "عرفوا أنهم لن يتم الكشف عنهم" ، قال راتشوالد.