رئيس التحرير
عصام كامل

عصابات التهديدات المتقدمة تنشط في استهداف أنظمة "لينكس"

هاكر
هاكر

تختار العديد من الشركات النظام "لينكس" Linux للخوادم والأنظمة ذات الأهمية الاستراتيجية، لأسباب يأتي في مقدمتها أن نظام التشغيل هذا يُعتبر أكثر أمنًا وأقل عُرضة للتهديدات الرقمية من نظيره الأكثر شيوعًا "ويندوز" Windows، وربما يصحّ هذا الاعتبار في حالة الهجمات الجماعية بالبرمجيات الخبيثة، لكنه ليس كذلك تمامًا عندما يتعلق بالتهديدات المتقدمة المستمرة (APTs).

 

واستطاع باحثو كاسبرسكي أن يحددوا توجّه المزيد من الجهات التخريبية نحو تنفيذ هجمات موجّهة ضد الأجهزة العاملة بأنظمة Linux، مع حرص تلك الجهات على تطوير المزيد من الأدوات التي تساعدها في الوصول إلى غايتها هذه.

ولوحظ أن أكثر من اثنتي عشرة جهة تخريبية من الجهات التي تقف وراء التهديدات المتقدمة المستمرة، ظلّت على مدار السنوات الثماني الماضية تستخدم برمجيات خبيثة أو بعض الوحدات المستندة إلى النظام Linux في استهداف الأجهزة العاملة بهذا النظام.

 

وتشمل تلك الجهات بعض العصابات سيئة السمعة مثل Barium وSofacy وLamberts وEquation، بجانب حملات تخريبية أحدث مثل LightSpy التي نظمتها TwoSail Junk وWellMess.

 

وتلجأ هذه الجهات إلى تعزيز ترساناتها بأدوات Linux للتمكّن من إجراء عملياتها التخريبية بفاعلية أكبر وعلى مدى أوسع.

وثمّة توجّه متنامٍ في الشركات الكبيرة والجهات الحكومية في العديد من البلدان نحو استخدام Linux في الأجهزة المكتبية، ما دفع بالجهات التخريبية إلى مواكبة هذا التوجّه بتطوير برمجيات خبيثة تستهدف هذا النظام، لكن استبعاد البعض لاحتمالات استهداف النظام Linux ببرمجيات خبيثة، باعتباره أقل شيوعًا، يستجلب مخاطر أمنية إضافية للمنشآت. ففي حين ما زالت الهجمات الموجّهة إلى الأنظمة المستندة على Linux غير شائعة، فهناك برمجيات خبيثة مصممة لها، بينها شيفرات ويب للتحكم عن بُعد (webshells) ومنافذ خلفية وأطقم أدوات وحتى أدوات استغلال معدلة.

وعلاوة على ذلك، لا تعني قلّة الهجمات انخفاض مستويات الخطر، فالاختراق الناجح لخادم يعمل بنظام Linux غالبًا ما يؤدي إلى عواقب وخيمة، تتضمن قدرة المهاجمين على الوصول إلى الجهاز المصاب وحتى إلى الأجهزة الطرفية التي تعمل بأنظمة أخرى مثل Windows أو macOS، ما يعني هجومًا أوسع مدى قد يمرّ دون أن يلاحظه أحد.

وكانت، على سبيل المثال، عصابة Turla النشطة والناطقة بالروسية والتي تشتهر بتكتيكات التسلل السرية، قد أجرت تغييرات جذرية في مجموعة أدواتها التخريبية على مر السنين، شملت استخدام المنافذ الخلفية لاختراق أنظمة Linux. وجرى الإبلاغ عن أحدث تلك التغييرات، والتي أجريت على المنفذ الخلفي Penguin_x64 Linux، في وقت سابق من العام 2020.

 

ووفقًا لبيانات كاسبرسكي المجمعة عن بُعد، فإن هذا المنفذ المعدل تمكّن من إصابة عشرات الخوادم في أوروبا والولايات المتحدة في شهر يوليو الماضي وحده.

وتُعتبر Lazarus، عصابة التهديدات المتقدمة الناطقة بالكورية، مثالًا آخر على ذلك، إذ تواصل تنويع مجموعة أدواتها وتطوير برمجيات خبيثة تستهدف أنظمة غير Windows. فقد أبلغت Kaspersky كاسبرسكي حديثًا عن نظام متعدد المنصات يُسمى MATA، وفي يونيو الماضي، حلّل باحثون عينات جديدة مرتبطة بحملتي Operation AppleJeus وTangoDaiwbo اللتين تستخدمهما Lazarus في شنّ هجمات مالية وتجسسية. وقد تضمنت العينات التي خضعت للتحليل برمجيات خبيثة مصممة للنظام Linux.

وقال يوري ناميستنيكوف رئيس فريق البحث والتحليل العالمي في روسيا لدى كاسبرسكي، إن خبراء الشركة تمكنوا عدة مرات في الماضي من تحديد التوجهات المتمثلة بتحسين مجموعات الأدوات المخصصة لحملات APT، مشيرًا إلى أن هذا الأمر لم يستثنِ الأدوات التي تركّز على Linux، وأضاف: "تتجه أقسام تقنية المعلومات والأمن الرقمي نحو Linux أكثر من ذي قبل بهدف تأمين أنظمتها، لكن جهات التهديد تحرص على مواكبة هذا الأمر بإنشاء أدوات متطورة قادرة على اختراق الأنظمة المحكمة. ولهذا فإننا ننصح خبراء الأمن الرقمي بأخذ هذه التوجهات في الاعتبار وتنفيذ تدابير إضافية لحماية الخوادم والأجهزة في شركاتهم".


الجريدة الرسمية