نشر خبراء شركة quot;كاسبرسكي لابquot; تحليلا لمجموعة من الحوادث الأمنية التي تورط فيها برنامج PDF، والبرنامج الخبيث الذي خضع لتعديلات كبيرة يعرف باسم MiniDuke. وقد استخدم لشن الهجمات على مؤسسات ومنظمات حكومية عديدة في مختلف أنحاء العالم خلال الأسبوع الماضي.
موسكو: أعلن الخبراء في شركة laquo;كاسبرسكي لابraquo;، اكتشاف برنامج خبيث متطور جداً أطلقوا عليه اسم laquo;ميني ديوكraquo;، يستغل ثغرة أمنية في ملفات laquo;بي دي إفraquo; للدخول إلى جهاز المستخدم وتوفير مدخل للمخترقين للوصول إلى ملفات الضحية ونقلها أو إزالتها.
وكانت مختبرات laquo;فاير آيraquo;، المختصة بأمن المعلومات، أعلنت في منتصف فبراير الماضي اكتشاف ثغرة أمنية خطيرة في برنامج laquo;أدوبي ريدرraquo;، المخصص لقراءة مستندات من نوع laquo;بي دي إفraquo;، تم استغلالها لزراعة برنامج خبيث متطور لم يتم الكشف عنه سابقاً، أطلق عليه الخبراء في مختبرات laquo;كاسبرسكيraquo; اسم laquo;إتاديوكraquo;.
وقال الفريق العالمي للأبحاث والتحليل في مختبرات laquo;كاسبرسكيraquo; إنهم، ومنذ الإعلان عن هذه الثغرة الخطيرة، رصدوا هجمات متعددة جديدة تستخدم الثغرة ذاتها لزرع برنامج خبيث، وفي تلك الأثناء رصد الفريق أيضاً حادثتين مثيرتين للريبة دفعتاه لإجراء دراسة معمقة.
وتعاون فريق مختبرات laquo;كاسبرسكيraquo; ، بحسب quot;الإمارات اليومquot;، مع مختبر laquo;كرايسيسraquo; من أجل إجراء دراسة معمقة وتحليل دقيق للحادثتين اللتين أثارتا الكثير من الشكوك، وتوصل الباحثون إلى وجود برنامج خبيث آخر، جديد من نوعه، لم يتم التعرف إليه سابقاً، أطلقت laquo;كاسبرسكيraquo; عليه اسم laquo;ميني ديوكraquo;.
وذكر خبراء laquo;كاسبرسكيraquo; في التقرير الأمني الصادر في الأسبوع المنصرم، والذي يحلل جميع جوانب البرنامج الخبيث laquo;ميني ديوكraquo;، إنه تم استخدامه لشن هجمات على مؤسسات ومنظمات حكومية عدة في مختلف أنحاء العالم خلال النصف الثاني من فبراير الماضي، مشيراً إلى أن عدداً كبيراً من الأهداف ذات الأهمية البالغة سبق أن تعرضت لهجمات بواسطة البرنامج الخبيث laquo;ميني ديوكraquo;، بما فيها المؤسسات الحكومية في أوكرانيا وبلجيكا والبرتغال ورومانيا والتشيك وايرلندا، هذا إضافة إلى مؤسسة بحثية في هنغاريا، ومؤسسة بحثية ومركزين للعلوم وموفر خدمات صحية في الولايات المتحدة.
وقال المدير العام ومؤسس laquo;كاسبرسكي لابraquo;، يوجين كاسبرسكي: laquo;إنها هجمة إلكترونية غير مألوفة أبداً، وهذا النمط من برمجة البرامج الخبيثة انتشر منذ أواخر التسعينات وبداية الألفية الجديدة، ثم اختفى، والآن يعود بعد سبات أكثر من عقد لينضم إلى فريق المجرمين الإلكترونيين الناشطين على الساحة الإلكترونية حالياraquo;، لافتاً إلى أن laquo;هذه النخبة من مبتكري البرمجيات الخبيثة كانت فاعلة للغاية في الماضي، وقد ابتكرت فيروسات معقدة جداً، والآن تستغل مهاراتها في تعديل البرامج الخبيثة المطورة حديثاً واستخدامها لمهاجمة المؤسسات الحكومية أو المراكز البحثية في مختلف البلدانraquo;. وأضاف كاسبرسكي: laquo;تمت كتابة البرنامج الخبيث (ميني ديوك)، المعدل بشكل كبير بواسطة لغة معروفة تدعى (أسيمبلار)، ليكون حجمه صغيراً جداً لا يزيد على 20 كيلوبايت، إن البرامج الخبيثة التي ابتكرها هؤلاء النخبة من مطوري البرمجيات الخبيثة تعد خطيرة للغاية، لاسيما مع استخدامها البرمجيات الخبيثة الحديثة واستغلالها أدوات الهندسة الاجتماعيةraquo;.
وتوصل خبراء laquo;كاسبرسكي لابraquo; إلى نتائج أولية من البحث الذي أجروه لتحديد معالم هذا التهديد الأمني الخطير، أبرزها أن الجهات التي تقف وراء laquo;ميني ديوكraquo; نشطة في الوقت الراهن، وأنها ابتكرت أخيراً برامج خبيثة بداية من يوم 20 فبراير 2013، استخدمت فيها أساليب فاعلة للغاية، شملت إرسال مستندات من نوع laquo;بي دي إفraquo; خبيثة إلى ضحاياها تتمتع بمظهر لائق، وتشمل معلومات ملفقة حول ندوة تتعلق بحقوق الإنسان، وخطط السياسة الخارجية لأوكرانيا، والعضوية في الناتو، لكن هذه المستندات كانت مرفقة بالبرامج الخبيثة التي تستهدف برنامج laquo;أدوبي ريدرraquo; بإصداراته 9، 10 و11، وتتفادى تقنية laquo;ساندبوكسraquo;، التي تحدد كيفية استخدام البرمجيات غير الموثوقة، أما الأدوات التي استخدمت في إعدادها، فيبدو أنها ذاتها التي استخدمت في الهجمة الأخيرة التي رصدتها مختبرات laquo;فاير آيraquo;، إلا أن البرامج الخبيثة التي استخدمت في هجمات laquo;ميني ديوكraquo; كانت لأغراض أخرى ولها برنامجها الخبيث المعدل الخاص بها.
ولاحظت نتائج البحث أنه في حال إصابة الجهاز، يتم زرع البرنامج الخبيث الصغير الحجم في القرص الصلب للجهاز المستهدف، وبعدها يستخدم البرنامج مجموعة من الحسابات الرياضية لتحديد البصمة الخاصة بالحاسوب، ليستخدم فيما بعد هذه البيانات لتشفير اتصالاته.
كما أنه مبرمج لتفادي تحليله ورصده من قبل مجموعة من الأدوات الخاصة، وفي حال وجد أياً من هذه المؤشرات، فإنه يصبح ساكناً في هذه البيئة بدلاً من الانتقال إلى المرحلة الأخرى، وهذا يدل على أن مبتكري البرمجيات الخبيثة يدركون تماماً ما يقوم به مكافح الفيروسات وخبراء أمن تقنية المعلومات لدى تحليل البرنامج الخبيث وكشفه.
وفي حال كانت بيئة العمل ملائمة له، يبدأ laquo;ميني ديوكraquo; الاتصال بموقع laquo;تويترraquo; للبحث عن تغريدات في حسابات خاصة معدة مسبقاً، وتحتوي هذه التغريدات على أوسمة laquo;هاشتاغraquo; وروابط إنترنت مشفرة تسمح بفتح أبواب خلفية في جهاز الضحية، يمكن من خلالها إرسال أوامر وفتح مزيد من الأبواب الخلفية عبر ملفات صور من نوع laquo;جيفraquo;، ما يمكن المخترقين من الوصول إلى الملفات ونقلها أو إزالتها.
وتوصلت النتائج الأولية من البحث إلى أن هذا البرنامج الخبيث يتصل بخادمين، أحدهما موجود في باناما، والآخر في تركيا، لتسلم توجيهات من المهاجمين.
يشار إلى أن نظام الحماية الخاص بمختبرات laquo;كاسبرسكيraquo; قادر حالياً على اكتشاف وتعطيل مفعول laquo;ميني دوكraquo;.
التعليقات