الباحثون يكتشفون عملية عالمية جديدة للتسلح عبر الإنترنت يطلق عليها اسم

كشف باحثون أمنيون من تريند مايكرو عن عملية نشطة في مجال الاتصالات الإلكترونية ، والتي تعرّضت حتى الآن إلى اختراق أجهزة الكمبيوتر التابعة للوزارات الحكومية ، وشركات التكنولوجيا ، ووسائل الإعلام ، والأوساط الأكاديمية. المؤسسات البحثية والمنظمات غير الحكومية من أكثر من 100 دولة.

العملية التي أطلقت عليها تريند مايكرو اسمها الآمن تستهدف الضحايا المحتملين الذين يستخدمون رسائل بريد إلكتروني مزورة بالرمح مع مرفقات ضارة. وقد قام باحثو الشركة بالتحقيق في العملية ونشروا ورقة بحثية مع النتائج التي توصلوا إليها يوم الجمعة.

تكتيكان تم رصدهما

كشف التحقيق عن مجموعتين من خوادم القيادة والتحكم (C & C) المستخدمة لما يبدو أنه خزانتان منفصلتان حملات الهجوم التي لها أهداف مختلفة ، ولكن استخدام نفس البرامج الضارة.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز الكمبيوتر الذي يعمل بنظام تشغيل Windows]

تستخدم حملة واحدة رسائل البريد الإلكتروني التصيد بالرمح ذات المحتوى المتعلق بالتبت ومنغوليا. تحتوي هذه الرسائل الإلكترونية على مرفقات.doc تستغل ثغرة في Microsoft Word مصححة بواسطة Microsoft في أبريل 2012.

كشفت سجلات الوصول المجمعة من خوادم C & C لهذه الحملة ما مجموعه 243 عنوانًا فريدًا من ضحايا IP (بروتوكول الإنترنت) من 11 دولة مختلفة. ومع ذلك ، وجد الباحثون ثلاثة ضحايا فقط كانوا لا يزالون نشطين في وقت تحقيقهم ، مع عناوين IP من منغوليا وجنوب السودان.

خوادم C & C المقابلة لحملة الهجوم الثانية سجلت 11،563 عنوان IP ضحية فريدة من 116 دولة مختلفة لكن من المرجح أن يكون العدد الفعلي للضحايا أقل بكثير. في المتوسط ​​، كان 71 من الضحايا يتواصلون بنشاط مع هذه المجموعة من خوادم C & C في أي وقت خلال التحقيق ، كما قالوا.

لم يتم تحديد رسائل الهجوم التي استخدمت في حملة الهجوم الثانية ، ولكن يبدو أن الحملة أكبر في نطاق والضحايا موزعة على نطاق أوسع من الناحية الجغرافية. البلدان الخمسة الأولى حسب عدد عناوين IP الضحية هي الهند والولايات المتحدة والصين وباكستان والفلبين وروسيا.

البرامج الضارة في مهمة

تم تصميم البرامج الضارة المثبتة على أجهزة الكمبيوتر المصابة في المقام الأول لسرقة المعلومات ، ولكن يمكن تحسين وظائفه بوحدات إضافية. وقد وجد الباحثون مكونات إضافية للأغراض الخاصة على خوادم القيادة والتحكم ، بالإضافة إلى برامج جاهزة يمكن استخدامها لاستخراج كلمات المرور المحفوظة من Internet Explorer و Mozilla Firefox ، وكذلك بيانات اعتماد بروتوكول Remote Desktop Protocol المخزنة في Windows.

"في حين أن تحديد نية وهوية المهاجمين لا يزال من الصعب التحقق من صحته ، فقد قررنا أن الحملة الآمنة مستهدفة وتستخدم برامج ضارة طورها مهندس برمجيات محترف قد يكون مرتبطًا بجريمة الإنترنت السرية في الصين". وقال الباحثون تريند مايكرو في ورقتهم. "درس هذا الفرد في إحدى الجامعات التقنية البارزة في نفس البلد ويبدو أنه يتمتع بإمكانية الوصول إلى مستودع رمز مصدر شركة خدمات الإنترنت".

استفاد مشغلو خوادم C & C من عناوين IP في العديد من البلدان ، ولكن غالبًا ما الصين وهونغ كونغ ، وقال الباحثون تريند مايكرو. "كما رأينا استخدام VPN وأدوات الوكيل ، بما في ذلك Tor ، والتي ساهمت في التنوع الجغرافي لعناوين IP الخاصة بالمشغلين."

تم تحديث المادة في تمام الساعة 9:36 صباحًا بتوقيت المحيط الهادي لتعكس أن Trend Micro قد غيّر اسم عملية التجسس الإلكتروني التي كانت موضوع القصة ، والارتباط بتقريرها البحثي