برمجية التجسس SandStrike تستهدف «البهائيين» عبر VPN مفخخ

محمد عبدالمجيدنوفمبر 13, 2022

3٬992 3 دقائق

كشف باحثو كاسبرسكي في الربع الثالث من العام الجاري عن حملة تجسس جديدة استهدفت الأجهزة العاملة بنظام أندرويد، وأطلقوا عليها الاسم SandStrike. وتستهدف الحملة التخريبية أبناء طائفة البهائيين الناطقين بالفارسية من خلال توزيع تطبيق VPN، الذي يُفترض أنه يتيح الاتصال الآمن عبر شبكة خاصة افتراضية، لكنه كان مفخخًا ببرمجية التجسّس المتطوّرة.

واكتشف خبراء كاسبرسكي أيضاً نسخة متقدّمة لمجموعة برمجيات DeathNote، كما تعاونوا مع خبراء من شركة “سنتينل ون” في التحقيق في برمجية Metatron الخبيثة التي لم تُشاهد من قبل. وقد وردت هذه المستجدات وغيرها في أحدث تقرير فصلي صدر حديثاً عن كاسبرسكي في شأن معلومات التهديدات للربع الثالث من العام 2022.

وأنشأت العصابة حسابات على “فيس بوك” و”إنستجرام” تضم أكثر من 1,000 متابع وصمّموا مواد رسومية جذابة بطابع ديني لجذب الضحايا إلى تنزيل برمجية التجسس، وذلك في فخّ خطر استهدف أتباع هذه الديانة. واحتوت معظم حسابات التواصل الاجتماعي المذكورة كذلك على رابط لقناة أسّسها المهاجمون الذين يقفون وراء SandStrike على “تلغرام”، ووزعوا من خلالها تطبيق VPN يبدو سليماً، بزعم إتاحة الوصول عبره إلى المواقع الدينية المحظورة على الإنترنت. وقد حرص المجرمون على إنشاء بنيتهم التحتية الخاصة لشبكة VPN، لجعل التطبيق يعمل بكامل وظائفه.

لكن تطبيق VPN كان مشتملاً على برمجية تجسس كاملة الوظائف تسمح للجهة التخريبية بسرقة البيانات الحساسة، التي تشمل سجلّات المكالمات وقوائم جهات الاتصال، علاوة على قدرتها على تتبع أنشطة الضحايا.

وحرصت العصابات الرقمية ومجموعات التهديدات المتقدمة المستمرة طوال الربع الثالث من العام الجاري على تغيير تكتيكاتها، وتطوير أدواتها وأساليبها باستمرار.

وشملت أهمّ النتائج التي توصل إليها خبراء كاسبرسكي في هذا السياق:

• منصة متطورة لبرمجيات خبيثة تستهدف شركات الاتصالات ومقدمي خدمات الإنترنت والجامعات

حلل باحثو كاسبرسكي، بالتعاون مع خبراء من شركة “سنتينل ون”، منصة برمجيات خبيثة معقدة لم تسبق مشاهدتها من قبل. وتستهدف المنصة التي أطلق عليها اسم Metatron شركات الاتصالات ومقدمي خدمات الإنترنت والمؤسسات الأكاديمية في بلدان الشرق الأوسط وإفريقيا، وقد صُمّمت بطريقة تمكّنها من تجاوز حلول الأمن الأصلية أثناء نشر منصات البرمجيات الخبيثة مباشرة في وحدات الذاكرة في الأجهزة.

• تطوير أدوات متقدمة

لاحظ خبراء كاسبرسكي أن عصابة Lazarus تستخدم مجموعة DeathNote من البرمجيات الخبيثة في استهداف ضحاياها في كوريا الجنوبية. ومن المحتمل أن تكون العصابة لجأت إلى أسلوب اختراق استراتيجي عبر الويب باستخدام سلسلة إصابات مشابهة لإصابات أبلغ عنها باحثو كاسبرسكي سابقاً، تهاجم برمجيات الأمن على الأجهزة المتصلة بالشبكة. لكن الخبراء وجدوا أنه قد جرى أيضاً تحديث البرمجيات الخبيثة ومخططات الإصابة. واستخدمت العصابة برمجية خبيثة لم تُشاهد من قبل وتعمل عند الحدّ الأدنى من الوظائف لتنفيذ الأوامر الواردة من خادم القيادة والسيطرة. وظلّ المشغّل مختبئاً في النظام المستهدف لمدة شهر جمع خلاله معلومات النظام باستخدام منفذ خلفي مزروع.

• التجسّس الرقمي يظلّ على قائمة أهمّ الأهداف في حملات التهديدات المتقدمة المستمرة

اكتشف باحثو كاسبرسكي في الربع الثالث من العام 2022 العديد من حملات التهديدات المتقدمة المستمرة التي استهدفت بالأساس المؤسسات الحكومية. وأظهرت التحقيقات أن البرمجية الخبيثة HotCousin حاولت ابتداء من فبراير الماضي اختراق وزارات للخارجية في بلدان بأوروبا وآسيا وإفريقيا وأمريكا الجنوبية.

وقال فيكتور تشبيشيف الباحث الأمني الأول في فريق البحث والتحليل العالمي لدى كاسبرسكي، إن تحليل مشهد التهديدات في الأشهر الثلاثة الماضية أظهر حرص الجهات التخريبية على استخدام ابتكار أدوات هجوم جديدة وتطوير الأدوات القديمة لإطلاق حملات تخريبية مؤثرة. وأضاف: “تستخدم العصابات في هجماتها أساليب ماكرة وغير متوقعة، مثل SandStrike التي تهاجم المستخدمين عبر خدمة VPN، التي يُفترض أنها خدمة لتأمين الاتصال بالإنترنت، كما أصبح من السهل اليوم توزيع البرمجيات الخبيثة عبر شبكات التواصل الاجتماعي، بحيث تظل مختبئة في أجهزة المستخدمين لأشهر أو سنوات، ما يحدونا لأن نصبح أكثر يقظة وحرصاً على التسلّح بمعلومات التهديدات والأدوات المناسبة للحماية من جميع التهديدات الحالية والناشئة”.

يمكن الاطلاع على التقرير الكامل لتوجهات التهديدات المتقدمة المستمرة للربع الثالث من 2022، على Securelist.com.

ويوصي باحثو كاسبرسكي بتنفيذ الإجراءات التالية لتجنب الوقوع ضحية لهجوم موجه تشنّه جهة تهديد معروفة أو غير معروفة:
• تزويد فريق مركز العمليات الأمنية بالقدرة على الوصول إلى أحدث معلومات التهديدات. وتُعدّ بوابة Kaspersky Threat Intelligence Portal نقطة وصول واحدة إلى معلومات التهديدات من كاسبرسكي، حيث بيانات الهجمات الرقمية والرؤى المتعمقة التي جمعتها الشركة على مدار خمسة وعشرين عاماً. وقد أعلنت كاسبرسكي عن إتاحة المجال أمام المؤسسات للوصول مجاناً إلى معلومات مستقلة ومحدثة باستمرار من مصادر عالمية حول الهجمات الرقمية والتهديدات المتقدمة المستمرة، لمساعدتها على تمكين دفاعاتها، لا سيما في أوقات الأزمات. ويمكن التقدّم بطلب الحصول على الخدمة عبر الإنترنت.
• تحسين مهارات فريق الأمن الرقمي لتمكينهم من معالجة أحدث التهديدات الموجهة من خلال برامج التدريب التي يطورها خبراء فريق البحث والتحليل العالمي وتتيحها كاسبرسكي عبر الإنترنت.
• استخدام حل متخصص بالكشف عن التهديدات عند الأجهزة الطرفية والاستجابة لها على المستوى المؤسسي، مثل Kaspersky EDR Expert. ومن الضروري اكتشاف التهديدات بين بحر من التنبيهات بفضل الدمج التلقائي للتنبيهات في الحوادث وتحليل الحوادث والاستجابة لها بأكثر الطرق فعالية.
• بالإضافة إلى اعتماد حماية الأجهزة الطرفية الأساسية، يجب تطبيق حل أمني على المستوى المؤسسي يكون قادراً على اكتشاف التهديدات المتقدمة على مستوى الشبكة في مرحلة مبكرة، مثل Kaspersky Anti Targeted Attack Platform.
• تدريب الموظفين على الوعي الأمني وإكسابهم المهارات العملية باستخدام أدوات مثل Kaspersky Automated Security Awareness Platform، نظرًا لأن العديد من الهجمات الموجّهة تبدأ بأساليب تقوم على مبادئ الهندسة الاجتماعية، مثل التصيّد.