Car-tech

الباحثون يكتشفون حملة عالمية جديدة للتجسس الإلكتروني

نظرية "الأرض مسطحة" تنتشر من جديد في أمريكا

نظرية "الأرض مسطحة" تنتشر من جديد في أمريكا
Anonim

حدد باحثون أمنيون حملة تجسس إلكترونية مستمرة عرقلت 59 حاسوبًا تابعًا لمنظمات حكومية ومعاهد أبحاث ومراكز أبحاث وشركات خاصة من 23 دولة في 10 أيام الماضية.

تم اكتشاف وتحليل حملة الهجوم من قبل باحثين من شركة الأمن كاسبرسكي لاب ومختبر تشفير وأمن النظام (CrySyS) من جامعة بودابست للتكنولوجيا والاقتصاد.

Dubbed MiniDuke ، وحملة الهجوم استخدام رسائل البريد الإلكتروني المستهدفة - وهي تقنية تعرف باسم التصيد الاحتيالي - والتي تحمل ملفات PDF خبيثة تم تزويتها بتكرار tly patched exploit for Adobe Reader 9، 10 and 11.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows]

تم اكتشاف هذا الاستغلال في البداية في هجمات نشطة في وقت سابق من هذا الشهر من قبل باحثين أمنيين من FireEye وقادر تجاوز الحماية في الحماية في Adobe Reader 10 و 11. Adobe أصدرت بقع أمان للثغرات التي يستهدفها الاستغلال في 20 فبراير.

تستخدم هجمات MiniDuke الجديدة نفس الاستغلال الذي حددته FireEye ، ولكن مع بعض التعديلات المتقدمة ، Costin Raiu ، مدير فريق البحث والتحليل العالمي في كاسبرسكي لاب ، يوم الأربعاء. قد يشير ذلك إلى أن المهاجمين تمكنوا من الوصول إلى مجموعة الأدوات التي تم استخدامها لإنشاء الاستغلال الأصلي.

ملفات PDF الخبيثة هي نسخ خادعة من التقارير ذات محتوى ذي صلة بالمنظمات المستهدفة وتتضمن تقريرًا عن اجتماع آسيا-أوروبا غير الرسمي (أسيم) ندوة حول حقوق الإنسان ، وتقرير عن خطة عمل عضوية أوكرانيا في الناتو ، وتقرير عن السياسة الخارجية الأوكرانية الإقليمية وتقرير عن الجمعية الاقتصادية الأرمنية لعام 2013 ، وأكثر من ذلك.

إذا كان الاستغلال ناجحًا ، فإن ملفات PDF المارقة تثبيت جزء من البرامج الضارة المشفرة بالمعلومات التي تم جمعها من النظام المتأثر. وقد استخدمت تقنية التشفير هذه أيضًا في البرامج الضارة للتجسس الإلكتروني ، وتمنع تحليل البرامج الضارة على نظام مختلف. إذا تم تشغيله على كمبيوتر آخر ، فإن البرامج الضارة ستنفذ ، ولكن لن تبدأ وظيفته الخبيثة ، قال

جانب آخر مثير للاهتمام من هذا التهديد هو أنه بحجم 20 كيلوبايت فقط وكتب في Assembler ، وهي طريقة نادرا ما تستخدم اليوم من قبل المبدعين الخبيثة. وقال رايو إن حجمه الصغير غير معتاد عند مقارنته بحجم البرمجيات الخبيثة الحديثة. هذا يشير إلى أن المبرمجين كانوا "مدرسة قديمة" ، كما قال.

القطعة الخبيثة التي تم تركيبها خلال هذه المرحلة الأولى من الهجوم تتصل بحسابات تويتر محددة تحتوي على أوامر مشفرة تشير إلى أربعة مواقع تعمل كقيادة و- خوادم التحكم. وتستضيف هذه المواقع ، التي يتم استضافتها في الولايات المتحدة وألمانيا وفرنسا وسويسرا ، ملفات GIF المشفرة التي تحتوي على برنامج مستترٍ ثانٍ.

إن الباب الخلفي الثاني هو تحديث لأول مرة ويربط مرة أخرى بخوادم القيادة والتحكم لتحميل برنامج مستتر آخر مصمم بشكل فريد لكل ضحية. واعتبارًا من يوم الأربعاء ، كانت خوادم القيادة والسيطرة تستضيف خمسة برامج خلفية مختلفة لخمس ضحايا فريدين في البرتغال وأوكرانيا وألمانيا وبلجيكا ، حسبما قال رايو. وتتصل هذه البرامج الخلفية الفريدة بخوادم القيادة والتحكم المختلفة في بنما أو تركيا. وهي تسمح للمهاجمين بتنفيذ الأوامر على الأنظمة المصابة بالعدوى.

يعمل الأشخاص الذين يقفون وراء حملة التجسس الإلكتروني MiniDuke منذ أبريل 2012 على الأقل ، عندما تم إنشاء أحد حسابات Twitter الخاصة لأول مرة ، على حد قول رايو. ومع ذلك ، من المحتمل أن يكون نشاطهم أكثر دقة حتى وقت قريب ، عندما قرروا الاستفادة من استغلال Adobe Reader الجديد لتقديم تنازلات أكبر عدد ممكن من المنظمات قبل أن يتم تصحيح نقاط الضعف ، كما قال

إن البرمجيات الخبيثة المستخدمة في الهجمات الجديدة فريدة من نوعها ولم يتم مشاهدتها من قبل ، لذا فقد تكون المجموعة قد استخدمت برامج ضارة مختلفة في الماضي ، على حد قول رايو. وأشار إلى أنه من خلال النطاق الواسع للأهداف والطبيعة العالمية للهجمات ، ربما يكون لدى المهاجمين أجندة كبيرة.

ضحايا ميني ديوك يشملون منظمات من بلجيكا والبرازيل وبلغاريا وجمهورية التشيك وجورجيا وألمانيا والمجر وأيرلندا ، إسرائيل ، اليابان ، لاتفيا ، لبنان ، ليتوانيا ، مونتينيغرو ، البرتغال ، رومانيا ، روسيا ، سلوفينيا ، إسبانيا ، تركيا ، أوكرانيا ، المملكة المتحدة والولايات المتحدة.

في الولايات المتحدة ، معهد أبحاث ، اثنان مؤيدان للولايات المتحدة وقال رايو إن الدبابات وشركة الرعاية الصحية تضررا من هذا الهجوم دون ذكر أي من الضحايا.

الهجوم ليس متطورا مثل شعلة Flame أو Stuxnet ، لكنه رفيع المستوى على الرغم من ذلك ، قال Raiu. لا توجد مؤشرات تشير إلى المكان الذي قد يعمل فيه المهاجمون أو ما هي المصالح التي قد يخدمونها.

ومع ذلك ، فإن نمط الترميز المستتر هو يذكر بمجموعة من الكتّاب الخبيثين المعروفين باسم 29A ، ويعتقد أنه لم يعد موجودًا منذ عام 2008. هناك "666" توقيع في الرمز و 29 A هو تمثيل ست عشري من 666 ، قال رايو.

تم العثور على قيمة "666" أيضا في البرمجيات الخبيثة المستخدمة في الهجمات السابقة تحليلها من قبل FireEye ، ولكن هذا التهديد كان مختلفا عن MiniDuke ، وقال راو. لا تزال مسألة ما إذا كان الهجوم مرتبطًا أم لا.

تأتي أخبار حملة التجسس الإلكتروني هذه في أعقاب مناقشات متجددة حول تهديد التجسس الإلكتروني في الصين ، خاصة في الولايات المتحدة ، والتي كان السبب وراءها تقرير حديث شركة الأمن مانديانت. يحتوي التقرير على تفاصيل حول نشاط استمر لسنوات لمجموعة من المتطفلين عبر الإنترنت أطلقوا عليها اسم طاقم التعليق ، وهو أن مانديانت يعتقد أنه سرقة سرية للجيش الصيني. وقد رفضت الحكومة الصينية هذه الادعاءات ، لكن التقرير غطى على نطاق واسع في وسائل الإعلام.

قال راو أن أيا من ضحايا ميني ديوك الذين تم تحديدهم حتى الآن من الصين ، لكنهم رفضوا التكهن بشأن أهمية هذه الحقيقة. وفي الأسبوع الماضي ، قام باحثون أمنيون من شركات أخرى بتحديد هجمات مستهدفة قامت بتوزيع نفس ملف PDF الاستكشافي متنكراً كنسخ من تقرير مانديانت.

قامت تلك الهجمات بتثبيت برامج ضارة من الواضح أنها ذات أصل صيني ، على حد قول رايو. ومع ذلك ، فإن الطريقة التي استُخدم بها هذا الاستغلال في تلك الهجمات كانت شديدة للغاية وكانت البرمجيات الخبيثة غير معقدة عند مقارنتها بـ MiniDuke ، على حد قول