حملة قرصنة جديدة موجّهة ضد مؤسسات مالية وعسكرية أوروبية
تمكن باحثون كاسبرسكي، باستخدام محرك Kaspersky Threat Attribution Engine، من ربط أكثر من 300 عينة من برمجية "منفذ خلفي" خبيثة تُدعى Bisonal بحملة نفذتها إحدى جهات التهديدات المتقدمة المستمرة.
وركزت الحملة التي نفذتها مجموعة التجسس الإلكتروني CactusPete على أهداف عسكرية ومالية في أوروبا الشرقية، ما يُبرز قدرة هذه المجموعة التخريبية على التطور السريع.
وتُعدّ CactusPete، المعروفة أيضًا بالاسمين Karma Panda وTonto Team، مجموعة تجسّس إلكتروني تنشط منذ العام 2012 على الأقل، وقد نجحت هذه المرة في ترقية برمجية المنفذ الخلفي لاستهداف جهات عسكرية ومالية في أوروبا الشرقية، للوصول على الأرجح إلى معلومات سرية.
وتُشير سرعة إنشاء عينات البرمجيات الخبيثة الجديدة إلى التطوّر السريع للمجموعة، ما يستدعي تأهب الجهات التي قد تكون على قائمة الأهداف المحتملة لهذه العصابة الإجرامية الرقمية.
ولاحظ باحثو كاسبرسكي أحدث نشاط للمجموعة لأول مرة في فبراير 2020 عندما اكتشفوا نُسخة محدّثة من المنفذ الخلفي Bisonal، فلجأوا إلى محرك Kaspersky Threat Attribution Engine بوصفه أداة تحليل للشيفرات البرمجية الخبيثة، من أجل التعرّف على أوجه الشبه بينها وبين برمجيات وظفتها جهات تخريبية معروفة لتحديد المجموعة التي تقف وراء الحملة الهجومية. وأسفرت عمليات التحليل عن ربط هذه العينة بأكثر من 300 عينة أخرى في الواقع.
وظهرت جميع العينات الثلاثمئة بين مارس 2019 وإبريل 2020، بنحو 20 عينة شهريًا، ما يؤكد التطوّر السريع لعصابة CactusPete، التي استمرت في تحسين قدراتها، حيث تمكنت من وضع شيفرة أكثر تعقيدًا، مثل ShadowPad في العام 2020.
وتشير وظيفة المنفذ الخلفي إلى أن المجموعة تسعى وراء معلومات شديدة الحساسية، فبمجرد تثبيته على جهاز الضحية يسمح للمجموعة بتشغيل برمجيات مختلفة بصمت، لتقوم بإنهاء أية عمليات تنزيل، وتنفيذ عمليات تحميل أو تنزيل أو حذف للملفات، فضلًا عن استعادة قائمة وسائط التخزين المتاحة. وبالإضافة إلى ذلك، تنشر الجهة التخريبية، مع تقدّمها بشكل أعمق في النظام المصاب، أداة رصد للوحة المفاتيح تجمع بيانات الدخول وتنزّل برمجيات خبيثة لترقية امتيازات الوصول من أجل الكسب التدريجي للمزيد من القدرة على التحكّم في النظام.
