حملة تخريبية «نادرة» تنال من مئات المستخدمين لأجهزة الحاسب

من خلال أقراص التخزين المحمولة المتصلة بمنفذ «USB»

حملة تخريبية «نادرة» تنال من مئات المستخدمين لأجهزة الحاسب

الثلاثاء ٢٧ / ٠٧ / ٢٠٢١
كشف النقاب مؤخرًا عن حملة تهديدات متقدمة مستمرة شُنّت على نطاق واسع ضد مستخدمي أجهزة الحاسب.

اكتُشفت الحملة النادرة لأول مرة في جنوب شرق آسيا، حيث حدّدت كاسبرسكي التي كشفت عن الحملة ما يقرب من 1.500 ضحية أصيبت جرّاء هذه الحملة، بعضها كانوا مستخدمين لدى جهات حكومية.


شديدة التوجيه

وتُحدث الهجمات الإصابات الأولية عبر رسائل البريد الإلكتروني، التي تُستخدم في التصيد الموجّه وتحتوي على مستند «وورد» خبيث. وتستطيع البرمجية الخبيثة بمجرد أن تنزل على نظام واحد أن تنتشر إلى الأجهزة الأخرى عبر أقراص التخزين المحمولة المتصلة بمنفذ USB.

وتتسم حملات التهديدات المتقدمة المستمرة بكونها شديدة التوجيه؛ فلا تستهدف أحيانًا أكثر من بضع عشرات من المستخدمين، الذين يجري انتقاؤهم في الغالب بدقة شديدة. ومع ذلك، فقد كشفت كاسبرسكي النقاب عن حملة تهديدات نادرة وواسعة النطاق، تتبع أسلوبًا قلّما يتكرر في الهجوم. فبمجرد أن تنزل البرمجية الخبيثة على النظام، تحاول إصابة أجهزة أخرى بالانتشار عبر أقراص التخزين المحمولة المتصلة بمنفذ USB. فإذا عثر النظام المصاب على قرص تخزين متصل بمنفذ USB، فإنه يُنشئ عليه مجلدات مخفية ينقل عليها جميع ملفات الضحية والملفات التنفيذية الخبيثة.

ملف متخفٍ

ووُجد أن الحملة المسمّاة «لومينوس موث» تنفّذ هجمات تجسّس إلكتروني ضد جهات حكومية منذ أكتوبر 2020 على الأقل.

وبينما ركز المهاجمون اهتمامهم في البداية على ميانمار، حولوا تركيزهم بعدها إلى الفلبين.

ويسعى المهاجمون للحصول على موطئ قدم أوّلي في النظام من خلال التصيد عبر رسالة بريد إلكتروني باستخدام رابط يقود إلى أداة «دروبوكس»، التي تنزّل أرشيف RAR متخفيًا بهيئة ملف «وورد» يحتوي على الحمولة الخبيثة.

وينسب خبراء كاسبرسكي حملة «لومينوس موث» إلى جماعة «هاني مايت» التخريبية، وهي جهة تهديد ناطقة باللغة الصينية ومعروفة منذ فترة طويلة، وذلك بمستوى ثقة بين المتوسط والمرتفع. وتهتم «هاني مايت» في الأساس بجمع المعلومات الجيوسياسية والاقتصادية في آسيا وأفريقيا.

آراء الخبراء

ورأى مارك ليشتيك الباحث الأمني الأول في فريق البحث والتحليل العالمي لدى كاسبرسكي أن هذه الحملة الجديدة «ربما تشير مرة أخرى إلى توجّه شهدناه على مدار هذا العام، يتمثل في قيام جهات التهديد الناطقة بالصينية بإعادة التسلّح بالأدوات التخريبية وإنتاج برمجيات خبيثة جديدة وغير معروفة».

من جانبها، وصفت الباحثة الأمنية في فريق البحث والتحليل العالمي، أسيل كيال، حجم الهجوم الهائل بـ «النادر»، معتبرة أن من اللافت أن تشهد الفلبين هجمات أكثر بكثير مما شهدته ميانمار. وقالت: «قد يعود هذا إلى استخدام أقراص USB وسيلة لنشر الإصابة، أو ربما يعود إلى وجود ناقل آخر لم ندرك بعد استخدامه في الفلبين».

أما عضو فريق كاسبرسكي للبحث والتحليل العالمي، بول راسكاجنيريس، فأكّد تزايد نشاط الجهات التخريبية الناطقة بالصينية في العام الماضي. ورجّح ألا تكون هذه الحملة الأخيرة، التي تنفذها «لومينوس موث»، وأن تبدأ الجماعة في تعزيز مجموعة أدواتها التخريبية، مؤكدًا أن كاسبرسكي ستراقب التطورات المستقبلية في هذا الصدد.

وصايا الأمان

وأوصى خبراء كاسبرسكي للبقاء في مأمن من حملات التهديد المتقدمة مثل «لومينوس موث»، بتزويد الموظفين بالتدريب الأساسي على الأمن الرقمي، حيث تبدأ العديد من الهجمات الموجهة بمحاولات التصيد أو استغلال مبادئ الهندسة الاجتماعية الأخرى، مع إجراء تدقيق أمني على الشبكات ومعالجة أية ثغرات تُكتشف في محيط الشبكة أو داخلها، مؤكدين أهمية تثبيت حلول مكافحة «التهديدات المتقدمة المستمرة» و«الكشف عن التهديدات عند النقاط الطرفية والاستجابة لها»، ما يتيح إمكانية اكتشاف التهديدات والتحقيق فيها ومعالجتها في الوقت المناسب، إضافة إلى تزويد فريق مركز العمليات الأمنية بإمكانية الوصول إلى أحدث معلومات التهديدات وتزويده بالتدريب المهني المنتظم.
المزيد من المقالات
x