جهة تهديدات رقمية تعزّز أدواتها التخريبية في استهداف كيانات بارزة بجنوب شرق آسيا
نجح باحثون في كاسبرسكي بتفكيك مجموعة أدوات رقمية تخريبية متطورة بالغة التعقيد، وظّفتها مجموعة تهديدات متقدمة مستمرة تستهدف جهات حكومية في منطقة جنوب شرق آسيا منذ العام 2013 على الأقلّ.
ووجد الخبراء برمجية خبيثة لم تكن معروفة في السابق، أطلق عليها اسم USBCulprit، وتتسم بالقدرة على التحرّك الأفقية (التنقل عبر الشبكة للحصول على البيانات المستهدفة) لسرقة المعلومات.
ولم يقتصر دور هذه البرمجية الخبيثة على إثراء مجموعة الأدوات التخريبية التي تعتمد عليها مجموعة Cycldek في عملها، ولكنها منحتها القدرة على الوصول إلى الأجهزة المعزولة وغير المتصلة اتصالًا مباشرًا بالإنترنت.
وتُعتبر مجموعة Cycldek (المعروفة بأسماء عدّة تشمل Goblin Panda وAPT 27 وConimes) جهة تهديد اكتشفت لأول مرة في العام 2013، وتركز في الأساس على كيانات مرموقة في جنوب شرق آسيا، بينها منظمات كبيرة وجهات حكومية.
وتابع باحثو كاسبرسكي عن كثب أحدث نشاط مارسته هذه المجموعة في التجسس الإلكتروني، ويعود إلى العام 2018، ضد منظمات حكومية في عدد من دول جنوب شرق آسيا؛ فيتنام وتايلاند ولاوس، ليكشف الباحثون عن مجموعة من الأدوات التخريبية كانت أوسع بكثير من المتوقع.
وكانت معظم الهجمات التي شُنّت بعد العام 2018 قد بدأت برسائل بريد إلكتروني تصيّدية تحتوي على مستندات RTF بغطاء من موضوع سياسي.
وتستغلّ المجموعة التخريبية الثغرات المعروفة في هذه المستندات لإسقاط حمولتها الخبيثة، المؤلفة من برمجية خبيثة تسمى NewCore RAT، تتكوّن من نسختين تتمتعان بإمكانيات متقدمة لسرقة البيانات: BlueCore وRedCore، استُخدمت الأولى ضد أهداف دبلوماسية وحكومية في فيتنام، في حين بدأ استخدام الثانية في فيتنام قبل العثور عليها في لاوس. وتعمل كلتا النسختين على تنزيل البرمجية الخبيثة USBCulprit، التي استخدمت بنشاط منذ العام 2014، وحتى ظهور عينات جديدة منها في وقت متأخر من 2019.
وتحظى هذه البرمجية بقدرات الحركة الأفقية وسرقة البيانات؛ إذ تُجري، بمجرد تثبيتها، مسحًا لمسارات مختلفة على الجهاز المصاب، وتجمع المستندات التي تنتهي ملفاتها بامتدادات معينة وتنقلها إلى قطع التخزين عبر USB متصلة بالنظام، ما يشير إلى أن هذه البرمجيات الخبيثة صُممت للوصول إلى الأجهزة المعزولة، أو غير المتصلة اتصالًا مباشرًا بالإنترنت أو بأي جهاز حاسوب متصل بالإنترنت. وهذا يعني أن الطريقة الوحيدة لنقل البيانات الواردة والصادرة تتمثل في وسائط التخزين المحمولة، مثل قطع التخزين عبر USB.
ومن المحتمل أن تكون الجهة التخريبية اعتمدت على نشر البرمجية الخبيثة باستخدام ناقل بشري، نظرًا لأنها لا تشتغل تلقائيًا عند توصيل قطعة التخزين المصابة بالجهاز عبر USB.
ويمكن لبرمجية USBCulprit استهداف ملفات محددة، بينها الملفات التي خضعت للتعديل في فترة زمنية معينة، كما أنها قادرة على توسعة إمكانياتها. ويمكن للإصدارات اللاحقة من هذه البرمجية الخبيثة تشغيل ملفات بأسماء معينة من قطع USB المتصلة بالأجهزة.
وتشكل هذه البرمجية إضافة معقدة لقائمة متنامية من الأدوات التي تستخدمها مجموعة Cycldek التخريبية. وتتضمن الأنواع الأخرى من الأدوات منفذًا خلفيًا معدّلًا، وأداة لسرقة ملفات تعريف الارتباط، وأخرى لسرقة كلمات المرور من قواعد بيانات المتصفح القائمة على Chromium.