تمكنت شركة فاير آي الرائدة في منع الهجمات الإلكترونية المتطورة المعاصرة، مؤخراً من تحديد الجهات المنفذة للهجمات الإلكترونية التي تستخدم النصوص البرمجية المتطورة لمراقبة أنشطة مستخدمي شبكة الإنترنت دون علمهم.
حيث يجري المهاجمون بعض التغييرات على مواقع إلكترونية محددة بهدف توجيه الزوار نحو نص برمجي تجسسي يدعى “ويتشكوفن”، حيث يقوم هذا البرنامج بجمع معلومات مفصلة حول حاسوب المستخدم الشخصي وتثبيت أداة تتبع مستمرة تسمى “سوبركوكي”، والتي تصبح جزءاً من “بصمة متصفح إلكتروني” فريدة يمكنها معرفة أنشطة حاسوب المستخدم فيما بعد. وعلى الرغم من عدم تصنيف برنامج “ويتشكوفن” من ضمن البرامج الخبيثة لحد الآن، إلا أنه من المعتقد بأن المقصد الحقيقي من وراء نشر برنامج “ويتشكوفن” يكمن في تمكين الجهات التي تقوم بالهجمات الإلكترونية من تحديد الأهداف وتصميم الهجمات وفقاً لمواطن الضعف في تلك الأجهزة. وتملك هذه الجهات إمكانية الوصول إلى المعلومات الحسّاسة مثل عناوين بروتوكول الإنترنت (IP) الخاص بالمستخدم ونوع المتصفح ولغته.
كما تمكن المعلومات المكتسبة باستخدام برنامج “ويتشكوفن” المهاجمين من بناء تصور عن أنشطة الضحايا المحتملين، ويمكنهم الاستفادة من نفس البيانات لإجراء تحليلات الشبكة، وهو نفس النوع الذي تستخدمه الشركات المرخصة، من أجل بناء تصور عن المستخدمين ذوي الأنشطة الإلكترونية الضارة.
وخير مثال على هذا التكتيك عملية (Operation Clandestine Wolf)، حيث قامت مجموعة التهديدات المستمرة المتطورة 3 (APT3) (وهي عناصر تهديد صينية عبر الإنترنت) باستخدام نص برمجي تجسسي قبل قيامهم بالهجوم الفوري فور اكتشافهم للثغرة الإلكترونية. وحتى الآن، اكتشف المختصون ما يزيد على مائة موقع مخترق يقوم بتوجيه الزوار إلى النص البرمجي “ويتشكوفن”.
وتشير قائمة المواقع المخترقة هذه إلى أن منفذي التهديدات عبر الإنترنت يهتمون بجمع المعلومات حول المدراء التنفيذيين والدبلوماسيين والمسؤولين الحكوميين والعسكريين لا سيما في الولايات المتحدة وأوروبا، وقد أصدرت قطاعات مختلفة تقارير ببرنامج التجسس هذا مثل قطاعات التعليم والحكومة والخدمات المالية والطاقة.
وفي الآونة الأخيرة، أبدى منفذو هجمات “التهديد المتطور المستمر” بعض الاهتمام في جمع كميات كبيرة من البيانات الشخصية. ولو أخذنا جميع الاحتمالات بعين الاعتبار، فإن الغرض من ذلك يكمن في إنشاء قواعد بيانات تهدف لتتبع الأهداف الحالية والمستقبلية التي تحظى بقدر من الاهتمام. ويشير عدم تصنيف هذه البرامج على أنها برمجيات خبيئة إلى الآن إلى أنها عملية طويلة المدى تهدف للقيام بمهام استطلاعية محددة.
تتمثل الطريقة المثلى لمكافحة هذا التكتيك بعرقلة تنفيذ النص البرمجي أو استخدام “ملفات تعريف ارتباط” من أطراف خارجية، مما يعزز الخصوصية أثناء التصفح. ومع ذلك، قد تؤدي هذه التدابير أيضاً لمنع محتويات المواقع المشروعة من الظهور. وقد تكون المؤسسات أفضل حالاً لو ركزت على كشف الهجمات المتتابعة ومنعها من خلال تطبيق أفضل الممارسات ذات الصلة بما في ذلك تعطيل الإضافات غير الضرورية وضمان تصحيح النظم والتطبيقات ومراقبة المواقع المضيفة والحركات الإلكترونية المشبوهة.