تقرير حديث يكشف زيادة الهجمات الرقمية ضد نظام Microsoft Exchange Server
كشف تقرير حديث لأمن المعلومات أن مشهد التهديدات والهجمات الرقمية شهد زيادة في الهجمات التي استهدفت النظام Microsoft Exchange Server في الربع الثاني من العام 2021 وكشف التقرير الحديث المعنون بـ "التهديدات الرقمية المتقدمة المستمرة 2021"، عن تفاصيل عملية فريدة طويلة الأمد من الهجمات الرقمية تقف وراءها عصابة GhostEmperor، استغلّت ثغرات في نظام خادم البريد الإلكتروني من شركة مايكروسوفت في استهداف جهات بارزة بمجموعة أدوات متقدمة لا تتشابه مع الأدوات المستخدمة من قبل أية جهة من جهات الهجمات الرقمية المعروفة.
عصابه GhostEmperor
وتُعدّ العصابة GhostEmperor جهة تهديد ناطقة باللغة الصينية والتي تقوم بالهجمات الرقمية واكتشفها الباحثون وينصبّ تركيزها في الغالب على أهداف في جنوب شرق آسيا، بينها العديد من الجهات الحكومية وشركات الاتصالات وتتسم هذه العصابة باستخدام برمجية من نوع "روتكيت" Rootkit تستهدف وضعية النواة kernel-mode في نظام التشغيل ويندوز، وهذه البرمجية لم تكن معروفة في السابق. وتتيح برمجيات "روتكيت"، التي يعني اسمها حرفيًا "أطقم التجذير"، القدرة على التحكم عن بُعد بالخوادم التي تستهدفها، وهي قادرة بطبيعتها على التخفي عن أعين المحققين وحلول الأمن الرقمي.
واستخدمت عصابة GhostEmperor مخطط تحميل يتضمن مكونًا سليمًا مفتوح المصدر يسمى Cheat Engine للتمكّن من تجاوز آلية Windows Driver Signature Enforcement الخاصة بالتحقق من سلامة البرمجيات في ويندوز.
ووجد الباحثون أن مجموعة الأدوات المتقدمة هذه فريدة من نوعها، في حين لم يروا أي تقارب أو تشابه بينها وبين أية أدوات مستخدمة من الجهات التخريبية المعروفة في مجال التهديدات الرقمية وتوقع الخبراء أن تكون مجموعة الأدوات هذه مستخدمة منذ يوليو 2020 على أقل تقدير.
وقال ديفيد إم خبير الأمن لدى كاسبرسكي، إنه كلما تطورت تقنيات الكشف عن التهديدات الرقمية والحماية منها، تطورت الجهات التخريبية ورفعت قدراتها، مشيرًا إلى أنها تحرص في العادة من أجل تحقيق هذا الأمر على تحديث مجموعة أدواتها. وأضاف: "تُعدّ عصابة GhostEmperor مثالًا واضحًا على مساعي مجرمي الإنترنت للحصول على تقنيات جديدة يلجأون إليها وثغرات جديدة يستغلونها. واستطاعت هذه العصابة باستخدام برمجية "روتكيت" كانت مجهولة في السابق، أن تضيف مزيدًا من المشاكل إلى مشهد التهديدات القوي والزاخر أصلًا بالهجمات ضد خوادم Microsoft Exchange".