«FinFisher» برمجية تجسس بأربعة مستويات تخريبية

تستهدف أنظمة التشغيل وأدوات تثبيتها

«FinFisher» برمجية تجسس بأربعة مستويات تخريبية

الثلاثاء ١٩ / ١٠ / ٢٠٢١
أشارت نتائج تحقيق شامل في جميع التحديثات الأخيرة التي أدخلت على برمجية التجسس FinSpy، والتي تستهدف أنظمة التشغيل «ويندوز»، و«ماك أو أس»، و«لينيكس»، وأدوات تثبيتها، إلى تشويش مؤلف من أربعة مستويات أو طبقات، وإجراءات متقدمة لمكافحة التحليل يستخدمها مطورو برمجيات التجسس، بجانب استخدام حزمة UEFI لإصابة الضحايا، مؤكدة التركيز الكبير على التهرّب من القدرات الدفاعية، ما يجعل FinFisher إحدى أصعب برمجيات التجسس في الكشف عنها حتى الآن.

ويُعدّ FinFisher، المعروف أيضًا بالاسمين FinSpy أو Wingbird، أداة مراقبة بدأت كاسبرسكي التي أجرت التحقيق لمده ثمانية أشهر، في تتبعها منذ العام 2011، وتتسم بالقدرة على جمع بيانات اعتماد الدخول إلى الحسابات، وقوائم الملفات، والملفات المحذوفة، بالإضافة إلى مختلف أنواع المستندات، وتسجيل البث المباشر والوصول إلى كاميرا ويب والميكروفون.


أدوات مشبوهة

وكان قد كُشف عن نسخها التي تُزرع في النظام ويندوز وبُحث فيها عدّة مرات حتى العام 2018 عندما بدا أن البرمجية قد اختفت عن المشهد.

بعد ذلك، اكتشفت حلول كاسبرسكي أدوات تثبيت مشبوهة لتطبيقات رسمية مثل «تيم فيور»، و«ميديا بلاير»، احتوت على شفرات برمجية خبيثة لم يكن بالإمكان ربطها بأية برمجية خبيثة معروفة، حتى جاء يوم اكتشف فيه خبراء كاسبرسكي موقع ويب باللغة البورمية يحتوي على أدوات التثبيت المصابة وعينات من FinFisher خاصة بالنظام أندرويد، ما ساعد على تحديد أنها كانت تروجانات تحمل برمجية التجسس نفسها. وقد دفع هذا الاكتشاف باحثي كاسبرسكي إلى مزيد من البحث في هذه البرمجية.

فحوصات متعددةوبعكس الإصدارات السابقة من برمجية التجسس، والتي كانت تحتوي على تروجان مثبت مباشرة في التطبيق المصاب، فقد جرت حماية العينات الجديدة بمكونين؛ أداة تدقيق مسبق غير مستمرة non-persistent Pre-Validator وأداة تدقيق لاحق Post-Validator.

ويُجري المكون الأول فحوصات أمنية متعدّدة للتأكد من أن صاحب الجهاز الذي يصيبه ليس باحثًا أمنيًا، وعندما تُجتاز عمليات التدقيق والتحقق، يزوِّد الخادم البرمجية بأداة التدقيق اللاحق، التي تضمن كون الضحية المصابة هي المقصودة، وعندها فقط يصدر الخادم أمره بتوظيف منصة التروجان الكاملة.

ويخضع FinFisher للحماية بالتشويش المكثف باستخدام أربع أدوات تشويش معقدة، تهدف إلى إبطاء تحليل برمجية التجسس.

وعلاوة على ذلك، يلجأ التروجان إلى طرق غريبة لجمع المعلومات؛ فيستخدم، مثلًا، نمط المطورين في متصفحات الويب لاعتراض حركة مرور البيانات، حتى تلك المحمية ببروتوكول HTTPS.

برمجية مراوغةواكتشف الباحثون أيضًا عينة من FinFisher حلّت محلّ أداة تحميل البرمجية الثانية للنظام ويندوز، وهي UEFI، التي يمكن تعريفها بأنها مكون يشغّل نظام التشغيل بعد إطلاق البرمجية الخبيثة بالتزامن مع البرمجية الثابتة للنظام.

وسمحت طريقة الإصابة هذه للمهاجمين بتثبيت bootkit دون الحاجة إلى تجاوز فحوصات أمن البرمجيات الثابتة.

وتُعدّ إصابات UEFI نادرة جدًا لكونها صعبة التنفيذ، وتُميِّزها المراوغة والمثابرة.

ولم يُصِب المهاجمون في هذه الحالة برمجية UEFI الثابتة نفسها، ولكن مرحلة التشغيل التمهيدي التالية الخاصة بها، حيث جاء الهجوم متخفيًا بعد أن ثُبّتت الوحدة الخبيثة على قسم منفصل وأمكنها التحكّم في التشغيل التمهيدي للجهاز المصاب.

تهديدات معقدةوقال الباحث الأمني الأول في فريق البحث والتحليل العالمي لدى كاسبرسكي، إيجور كوزنِتسوف، إن نتيجة جهود المطورين المبذولة في إجراءات التشويش ومكافحة التحليل جعلت من الصعب تتبع برمجية التجسس هذه واكتشافها، مشيرًا إلى أن توظيفها الدقيق واستحالة تحليلها يدلّان على أن ضحاياها «معرضون لخطر كبير».

وأضاف: يواجه الباحثون تحديًا خاصًا يتمثل في الاضطرار إلى استثمار قدرٍ هائل من الموارد لفكّ التشابكات الخاصة بكل عينة، وأرى أن مثل هذه التهديدات المعقدة تثبت أهمية تعاون الباحثين في مجال الأمن وتبادل المعرفة فيما بينهم، والاستثمار في أنواع مبتكرة من الحلول الأمنية التي يمكنها مكافحة مثل هذه التهديدات.

تدابير حمايةوأوصت كاسبرسكي المستخدمين الأفراد باتباع عدد من التدابير للحماية من تهديدات مثل FinFisher، تضمنت عدم تنزيل التطبيقات والبرمجيات إلا من مواقع موثوق بها، والحرص على تحديث نظام التشغيل وجميع البرمجيات بانتظام، وعدم الوثوق في مرفقات البريد الإلكتروني، وقبل فتح أحدها مرّر مؤشر الماوس فوق الروابط والمرفقات (من دون النقر عليها) لمعرفة أسمائها أو إلى أين تؤدي.

كما أوصت بتجنب تثبيت البرمجيات من مصادر غير معروفة، فقد تحتوي في كثير من الأحيان على ملفات خبيثة، واستخدام حل أمني قوي على جميع أجهزة الحاسوب والأجهزة المحمولة.

أما للشركات فأوصت بإعداد سياسة تقيّد استخدام البرمجيات غير المؤسسية، وتوعية الموظفين بشأن مخاطر تنزيل التطبيقات غير المصرح بها من مصادر غير موثوق بها، وتزويد الموظفين بالتدريب الأساسي على الأمن الرقمي، حيث تبدأ العديد من الهجمات الموجهة بمحاولات تصيد بالاعتماد على أساليب الهندسة الاجتماعية، كذلك بتثبيت حلول مكافحة التهديدات المتقدمة المستمرة وحلول EDR للكشف عن التهديدات عند النقاط الطرفية والاستجابة لها في الوقت المناسب، وتزويد فريق مركز العمليات الأمنية بإمكانية الوصول إلى أحدث معلومات التهديدات وإكسابه المهارات بانتظام من خلال التدريب المهني.
المزيد من المقالات