AdvancedIPSpyware أداة تجسس بمنفذ خلفي تستهدف المؤسسات
أورد خبراء كاسبرسكي وصفاً مفصلاً للبرمجية AdvancedIPSpyware في تقرير حديث عن برمجيات الجريمة الرقمية.
وأوضح الخبراء أن هذه البرمجية عبارة عن نسخة خبيثة من الأداة الشبكية الشهيرة Advanced IP Scanner التي يستخدمها مسؤولو الشبكات للتحكّم في شبكات المنطقة المحلية (LAN)، وأن هذه النسخة الخبيثة متخفية ومزوّدة بمنفذ خلفي. وأصابت هذه الأداة الخبيثة ضحايا كثراً في أمريكا اللاتينية وإفريقيا وأوروبا الغربية وجنوب آسيا وأستراليا وبلدان رابطة الدول المستقلة.
وأصبح من الشائع في أوساط الجريمة الرقمية إضافة شيفرات برمجية خبيثة إلى برمجيات حميدة معروفة، لتحويلها إلى برمجيات خبيثة متخفية وخداع المستخدمين بها. لكن خبراء كاسبرسكي أشاروا هذه المرة إلى أمر غير مألوف يتمثل في أن الملف الثنائي ذا المنفذ الخلفي يحمل توقيعًا رقميًا.
ويُعدّ AdvancedIPSpyware إصداراً ذا منفذ خلفي من الأداة Advanced IP Scanner التي يستخدمها مسؤولو الشبكة للتحكم في الشبكات المحلية. ومن المرجح أن تكون شهادة التوقيع الرقمي التي تحملها البرمجية الخبيثة مسروقة. وقد تمت استضافة هذه البرمجية على موقعين بنطاقين يتطابقان تقريباً مع نطاق موقع ويب Advanced IP Scanner الرسمي، إذ لا يختلفان سوى في حرف واحد فقط. كذلك، يبدو تصميم المواقع متشابهة، أما الاختلاف الوحيد فيتمثل في زر “التنزيل المجاني” على الموقعين الخبيثين.
ويتسم هذا الإصدار الخبيث بميزة أخرى غير شائعة تتمثل في كون البنية معيارية أو نمطية. وعادةً ما تُرصد البنى المعيارية في البرمجيات الخبيثة التي تتبع عصابات تحظى برعاية حكومية، لا في العصابات الإجرامية. لكن في هذه الحالة لم تكن الهجمات موجهة، ما يدفع إلى الاستنتاج بأن AdvancedIPSpyware لا يدلّ على حملات ذات دوافع سياسية.
وتركت حملة AdvancedIPSpyware تأثيرًا كبيرًا في المستخدمين المصابين في أمريكا اللاتينية وإفريقيا وأوروبا الغربية وجنوب آسيا وأستراليا وبلدان رابطة الدول المستقلة، حيث بلغ العدد الإجمالي للضحايا حوالي 80 ضحية.
ويتضمن تقرير برمجيات الجريمة الرقمية المنشور على Securelist، بالإضافة إلى ما تقدّم، النتائج التالية:
• BlackBasta، عصابة فدية اكتُشفت في يوليو الماضي، أضافت وظائف تُعيق البحث الجنائي في الجرائم الرقمية وتصعّب الكشف عنها، مع تمتّع برمجياتها الخبيثة بالقدرة على الانتشار في الشبكة.
• شهد الباحثون مزايا جديدة أضيفت إلى أداة السرقة الرقمية CLoader، التي اكتشفت لأول مرة في إبريل الماضي. واستخدمت العصابة ألعاب فيديو وبرمجيات مقرصنة كطعم لخداع المستخدمين ودفعهم لتثبيت برمجيات خبيثة. وكانت الملفات التي تم تنزيلها عبارة عن مثبتات NSIS، تحتوي على شيفرات خبيثة في النص الخاص بالتثبيت.
• في أغسطس الماضي، اكتُشفت حملة نشطة منذ بداية العام على الأقلّ، ينصبّ تركيزها على الأفراد الناطقين بالصينية. فقد جرى تحميل مقطع فيديو يقدم إرشادات حول طريقة تثبيت متصفح Tor المحظور في الصين، وذلك على قناة يوتيوب صينية شهيرة تركّز على مسألة إخفاء الهوية على الإنترنت. لكن بدل أن يحصل المستخدم على متصفح Tor الأصلي عند النقر على الرابط في شرح الفيديو، فإنه يحصل على إصدار مصاب من المتصفح.
وأكّد يورن فان دير فيل الخبير الأمني لدى كاسبرسكي، أن البريد الإلكتروني يُعدّ من طرق الإصابة الأكثر شيوعاً التي يستخدمها مجرمو الإنترنت والعصابات المدعومة من الحكومات، وقال: “هذه المرة ألقينا نظرة على الأساليب الأقلّ شيوعاً التي يلجأ إليها مجرمو الإنترنت، سواء المعروفون أو من ظلّوا ينشطون في الخفاء، ومن ذلك البرمجية AdvancedIPSpyware بهيكلتها غير المألوفة، واستغلالها لأداة أصلية وإطلاقها نسخة متطابقة تقريباً من موقع الويب الرسمي لهذه الأداة”.
يمكن الاطلاع على التقرير الكامل على Securelist.com، للمزيد حول AdvancedIPSpyware وغيره من الاكتشافات الأخرى في عالم الجريمة الرقمية.
وتوصي كاسبرسكي المستخدمين باتباع التدابير التالية لحماية أنفسهم وأعمالهم من أخطار الفدية:
• عدم الاتصال بسطح المكتب البعيد وخدمات الإدارة (مثل RDP وMSSQL وغيرها) عبر شبكات الإنترنت العامّة، إلا للضرورة القصوى، مع الحرص على استخدام كلمات مرور قوية واعتماد أسلوب المصادقة الثنائية وقواعد وجدران الحماية.
• المسارعة إلى تثبيت التصحيحات المتاحة لحلول VPN التجارية التي تتيح للموظفين الوصول عن بُعد، وتعمل كبوابات للشبكة المؤسسية.
• الحفاظ دائمًا على تحديث البرمجيات على جميع الأجهزة التي تستخدمها لمنع برمجيات الفدية من استغلال الثغرات الأمنية.
• تركيز الاستراتيجية الدفاعية على الكشف عن الحركات الجانبية وسحب البيانات إلى الإنترنت. مع ضرورة الانتباه لحركة المرور الصادرة لاكتشاف محاولات مجرمي الإنترنت للاتصال بالشبكة.
• النسخ الاحتياطي للبيانات بانتظام، والحرص على إمكانية الوصول إلى النسخ الاحتياطية بسرعة في حالات الطوارئ.
• استخدام حلول مثل Kaspersky Endpoint Detection and Response Expert وخدمة Kaspersky Managed Detection and Response التي تساعد على تحديد الهجوم وإيقافه في المراحل المبكرة، قبل أن يصل المهاجمون إلى أهدافهم المنشودة منه.
• الحرص على توعية الموظفين لحماية البيئة المؤسسية. وبوسع الدورات التدريبية التخصصية، كتلك المتاحة في Kaspersky Automated Security Awareness Platform أن تساعد في هذا الجانب.
• استخدام حلّ أمني موثوق به لحماية النقاط الطرفية، مثل Kaspersky Endpoint Security for Business المدعوم بمزايا منع الاستغلال واكتشاف السلوك الخبيث وبمحرك إصلاح قادر على إلغاء الإجراءات الخبيثة، فيما لديه أيضًا آليات حماية ذاتية لمنع مجرمي الإنترنت من إزالته.
• استخدام أحدث معلومات التهديدات للبقاء على اطلاع على التكتيكات والأساليب والإجراءات التي تتبعها وتستخدمها الجهات التخريبية. وتقدّم بوابة Kaspersky Threat Intelligence Portal مدخلًا موحدًا إلى منصة معلومات التهديدات المتكاملة من كاسبرسكي، والتي تتيح بيانات الهجمات الرقمية والرؤى والمعلومات والتفصيلية التي جمعها فريق الشركة على مدار 25 عامًا. وتتيح كاسبرسكي المجال أمام المؤسسات للوصول إلى معلومات مستقلة ومحدّثة باستمرار من مصادر عالمية حول الهجمات الرقمية والتهديدات المستمرة، وذلك لمساعدة المؤسسات، مجانًا، على تعزيز دفاعاتها الأمنية في وسط الأوقات الصعبة التي يمرّ بها العالم حاليًا.