الكشف عن أداة تعدين تخفي تعليمات برمجية متطورة مع قدرات على التجسس
كشف خبراء أمن المعلومات نوعًا جديدًا من البرامج الخبيثة، وهو "سترايبدفلاي" StripedFly الذي يمتاز بشدة التعقيد والمنتشر عالميًّا، ليؤثر في أكثر من مليون ضحية على الأقل منذ عام 2017. وكان البرنامج في البداية يعمل في مجال تعدين العملات المشفرة، ليتبيّن لاحقًا أنه برنامج خبيث ومعقد، وقابل للتحول إلى عمل الديدان متعددة الوظائف.
تسلسلات التعليمات البرمجية
وتمكن فريق البحث والتحليل العالمي من العثور على اكتشافين غير متوقعين ضمن عملية WININIT.EXE في العام 2022، وتم تشغيلهما بواسطة تسلسلات التعليمات البرمجية التي تمت ملاحظتها مسبقًا في البرنامج الخبيث المعروف باسم "إكويجن" Equation.
ولوحظ استمرار هذا النشاط منذ عام 2017 على الأقل لكنه تمكن من التهرب بطرق فعالة من التحليل المسبق، الأمر الذي دفع الخبراء إلى تصنيفه في فترات سابقة بشكل خاطئ على أنه عامل تعدين للعملات المشفرة.
لكن بعد إخضاعه لفحص شامل، خرج الباحثون بنتيجة مفادها أن أداة تعدين العملة المشفرة كانت مجرد أحد المكونات من أداة أكبر بكثير، وعلى وجه التحديد إطار عمل خبيث معقد ومتعدد المنصات والمكونات الإضافية.
وتشمل حمولة البرامج الخبيثة على وحدات متعددة، الأمر الذي يتيح للجهة الفاعلة من العمل كمصدر للتهديدات المتقدمة المستمرة، وكعامل تعدين للعملات المشفرة، وحتى كمجموعة من برامج الفدية، ليوسع دوافعه من التجسس ليشمل تحقيق مكاسب مالية.
الجدير بالذكر في هذا الصدد أن عملة "مونيرو" Monero المشفرة التي تم تعدينها بالاعتماد على هذه الوحدة، قد وصلت إلى قيمتها القصوى عند مستوى 542.33 دولار أمريكي في 9 يناير 2018، مقارنة بقيمتها التي بلغت 10 دولارات تقريبًا في عام 2017.
واعتبارًا من العام 2023، حافظت على قيمة تبلغ زهاء 150 دولارًا حيث يؤكد الخبراء أن وحدة التعدين تعتبر العامل الأساسي الذي يضمن للبرامج الخبيثة التخفّي وتجنب اكتشافها لفترة طويلة.
واكتسبت الجهة المهاجمة التي تقف وراء هذه العملية قدرات واسعة النطاق للتجسس سرًا على الضحايا.
وتقوم البرمجيات الخبيثة بجمع بيانات الاعتماد كل ساعتين، لسرقة البيانات الحساسة، مثل بيانات اعتماد تسجيل الدخول إلى المواقع وشبكة "واي فاي"، وأخرى تتعلق بتحديد تفاصيل الضحية، بما في ذلك المسمّى الوظيفي.
ويمكن للبرامج الخبيثة أيضًا تصوير لقطات لشاشة جهاز الضحية من دون أن يتمكن من اكتشاف هذا السلوك، والقدرة على التحكم بالجهاز، وقد يصل الأمر إلى حدّ تسجيل مدخلات الميكروفون.
ومع أن ناقل العدوى الأولي بقي غير معروف، إلا أن التحقيقات التي أجرتها كاسبرسكي تمكنت من الكشف عن استخدام الثغرة المعروفة باسم "إيتيرنال بلو" EternalBlue أو (SMBv1) المصممة خصيصًا للتسلل إلى أنظمة الضحية. ومع أن الكشف عن هذه الثغرة تم في عام 2017، ومن ثم قيام "مايكروسوفت" بإصدار تصحيح لاحق حمل اسم (MS17-010)، لا يزال التهديد الذي تمثله كبيرًا بسبب عدم قيام العديد من المستخدمين بتحديث أنظمتهم.
ولاحظ الخبراء أوجه التشابه مع البرنامج الخبيث "إيكويجن" في أثناء التحليل الفني للحملة، ومن بين هذه المؤشرات الفنية، التوقيعات المرتبطة ببرنامج "إيكويجن"، إضافة إلى التشابه في أسلوب وممارسات الترميز مع نظيراتها في البرنامج الخبيث StraitBizzare (SBZ).
واستنادًا إلى عدادات التحميل الظاهرة في مستودع استضافة البرامج الخبيثة، فقد وصل العدد التقديري للأهداف "سترايبدفلاي" StripedFly إلى أكثر من مليون ضحية حول العالم.
قدرة مجرمو الإنترنت على التكيف
وقال سيرجي لوزكين، باحث أمني رئيسي في فريق البحث والتحليل العالمي (GReAT) لدى كاسبرسكي: "يعتبر حجم الجهد المبذول في إنشاء هذا الإطار مهمًا، في حين كان الكشف عنه مذهلًا. وتمثل القدرة التي يتمتع بها مجرمو الإنترنت على التكيف والتطور تحديًا مستمرًّا، وهو الأمر الذي يدفعنا كباحثين إلى مواصلة تكريس جهودنا للكشف عن التهديدات الإلكترونية المعقدة، في حين يتعيّن على العملاء عدم إغفال الحماية الشاملة من الجرائم الإلكترونية".
ونقدم لكم من خلال موقع (فيتو)، تغطية ورصدًا مستمرًّا على مدار الـ 24 ساعة لـ أسعار الذهب، أسعار اللحوم ، أسعار الدولار ، أسعار اليورو ، أسعار العملات ، أخبار الرياضة ، أخبار مصر، أخبار اقتصاد ، أخبار المحافظات ، أخبار السياسة، أخبار الحوادث ، ويقوم فريقنا بمتابعة حصرية لجميع الدوريات العالمية مثل الدوري الإنجليزي ، الدوري الإيطالي ، الدوري المصري، دوري أبطال أوروبا ، دوري أبطال أفريقيا ، دوري أبطال آسيا ، والأحداث الهامة و السياسة الخارجية والداخلية بالإضافة للنقل الحصري لـ أخبار الفن والعديد من الأنشطة الثقافية والأدبية.