اكتشف فريق البحث والتحليل العالمي التابع لشركة كاسبرسكي لاب حدوث عدة إصابات ناجمة عن تروجان لم يكن معروفاً من قبل، ويرتبط على الأرجح بجهة التهديد LuckyMouse الناطقة باللغة الصينية. ووجد الفريق سمة في غاية الغرابة لهذه البرمجية الخبيثة تكمن في محرّكها الذي تم اختياره بعناية، وجرى توقيعه والمصادقة عليه بشهادة رقمية مشروعة أصدرتها شركة تعمل على تطوير برمجيات متعلقة بأمن المعلومات.
وتشتهر مجموعة LuckyMouse بشنّ هجمات إلكترونية موجّهة على كيانات تجارية وحكومية كبيرة في أنحاء العالم. ويشكل نشاط المجموعة خطراً على مناطق بأكملها تشمل جنوب شرق آسيا ووسطها، حيث يبدو أن هجماتها مرتبطة بأجندات سياسية. ويرى الباحثون في كاسبرسكي لاب أن التروجان المكتشف ربما يكون قد استُخدم في عمليات تجسّس إلكتروني مدعومة من جهات حكومية، بالنظر إلى ملفات الضحايا وناقلات الهجوم التي اعتمدتها المجموعة في السابق.
وأصاب التروجان المكتشف جهاز حاسوب عبر محرّك خاص بنتْه جهة التهديد، ليسمح للمهاجمين بالقيام بجميع المهام الشائعة مثل تنفيذ الأوامر البرمجية، وتنزيل الملفات وتحميلها، واعتراض حركة مرور البيانات عبر الشبكة. وتبيّن أن المحرّك المستخدم في إصابة الجهاز بالتروجان هو الجزء الأكثر إثارة في هذه الحملة؛ إذ يبدو أن المجموعة استولت على شهادة رقمية تتبع مطور برمجيات أمنية واستخدمتها لتوقيع عينات من البرمجيات الخبيثة والمصادقة عليها، كي تجعلها جديرة بالثقة، وذلك في محاولة لتجاوز الحلول الأمنية، إذ إن التوقيع من جهة مشروعة يجعل البرمجيات الخبيثة تبدو وكأنها قانونية.
كذلك وجد الباحثون ما بدا أنه سمة أخرى جديرة بالاهتمام في هذا المحرّك، وهي أنه على الرغم من قدرة LuckyMouse على إنشاء برمجيات خبيثة خاصة بها، فإن البرمجية المستخدمة في الهجوم عبارة عن مزيج من نماذج لشيفرات برمجية متاحة للجمهور في مستودعات عامة وبرمجيات خبيثة معدَّلة لتنفيذ أغراض خاصة. ويؤدي مثل هذا الاستخدام البسيط لشيفرة جاهزة للاستخدام من طرف خارجي، بدلاً من تأليف شيفرة أصلية، إلى توفير وقت المطورين وجعل اكتشاف الجهة التي تقف وراء الهجوم أكثر صعوبة.
وقال دنيس لغيزو، أحد كبار الباحثين الأمنيين لدى كاسبرسكي لاب، إن ظهور حملات لمجموعة LuckyMouse “يتزامن في أغلب الأحيان مع الاستعدادات لانعقاد حدث سياسي كبير”، موضحاً أن توقيت الهجوم عادة ما يتزامن مع انعقاد قمة تجمع زعماء سياسيين دوليين، وأضاف: “لا تأبه الجهة التخريبية كثيراً بشأن إمكانية افتضاح أمرها، نظراً لأنها تعتمد حالياً على نماذج لشيفرات من جهات خارجية في برمجياتها الخبيثة، ولا يتطلب الأمر منها وقتاً طويلاً كي تضيف مستوى آخر من الحماية إلى وحداتها، أو لإحداث تعديلات تطويرية على هذه البرمجيات الخبيثة لتظلّ غير قابلة للتعقّب”.
وكانت كاسبرسكي لاب قد أعدّت تقريراً في وقت سابق عن قيام مجموعة LuckyMouse التخريبية بمهاجمة مركز بيانات وطني كي تتمكن من تنظيم حملة هجمات باستخدام الأسلوب المعروف باسم “حفرة الماء” Waterholing على مستوى بلد كامل.
كيف يمكن للمستخدمين حماية أنفسهم؟
- ينبغي عدم الوثوق تلقائياً بالشيفرات التي تعمل على أنظمة الشركة أو المؤسسة، فالشهادات الرقمية لا تضمن عدم وجود منفذ خلفي يتيح الولوج خِلسة إلى النظام.
- من المهم استخدام حل أمني قوي يكون مجهزاً بتقنيات للكشف عن السلوكيات الخبيثة التي تُمكّن من اكتشاف التهديدات، حتى المجهولة منها.
- إشراك فريق الأمن التقني في الشركات والمؤسسات في خدمة عالية الجودة للإبلاغ عن التهديدات، من أجل الحصول على معلومات مبكرة حول أحدث التطوّرات الحاصلة في التكتيكات والتقنيات والإجراءات الهجومية التي تتبعها الجهات التخريبية الكامنة وراء التهديدات المتطورة.
يمكن الاطلاع على النسخة الكاملة من تقرير كاسبرسكي لاب بشأن مجموعة LuckyMouse عبر المدونة.