المصدر -
كشف خبراء فريق البحث والتحليل العالمي لدى كاسبرسكي عن حملة رقمية تخريبية موجهة لتوزيع التروجان Milum الذي يمنح الجهة الواقفة وراءه القدرة على التحكّم عن بُعد في الأجهزة لدى الشركات والمؤسسات المستهدفة، بما فيها الشركات الصناعية. ولا تزال هذه الحملة نشطة وفق الخبراء الذين أطلقوا عليها الاسم WildPressure.
وعادة ما ترتبط التهديدات المتقدّمة المستمرة بأشدّ أنواع الهجمات الإلكترونية تعقيدًا، بحيث تحصل الجهة المهاجمة الواقفة وراءها، في كثير من الأحيان، على إمكانية الوصول الموسع خِلسة إلى الأنظمة المستهدفة من أجل سرقة المعلومات أو تعطيلها. وعادة ما تُنشأ هذه الهجمات وتُوظّف من جهات تتمتع بموارد مالية ومهنية كبيرة، الأمر الذي سُرعان ما لفت انتباه باحثي كاسبرسكي إلى حملة WildPressure.
وتمكن فريق الباحثين حتى الآن من العثور على عدّة عيّنات متطابقة تقريبًا من التروجان Milum والتي لا تتشابه في الشيفرة البرمجية مع أية حملات رقمية تخريبية معروفة. وتتمتع جميع هذه العيّنات بإمكانيات قوية لإدارة الأجهزة عن بُعد من أي مكان، بمجرد أن يُصاب النظام. ويمكن للتروجان تحديدًا فعل التالي:
• تنزيل الأوامر من مشغّله وتنفيذها.
• جمع معلومات مختلفة من الجهاز المصاب وأرسلها إلى خادم القيادة والسيطرة
• ترقية نفسه إلى إصدار أحدث
وكان فريق كاسبرسكي شهد انتشار التروجان Milum لأول مرة في أغسطس 2019، وقد أظهر تحليل شيفرة البرمجية الخبيثة أن العيّنات الثلاث الأولى بُنيت في مارس من العام نفسه. وأظهرت أدوات القياس عن بُعد المتاحة لدى الباحثين أن معظم أهداف هذه الحملة تقع في الشرق الأوسط، وأن الحملة نفسها ما زالت مستمرة، ولكن الكثير ما زال غير واضح بشأنها، مثل الآلية الدقيقة انتشار Milum.
وقال دنيس لغيزو الباحث الأمني الأول لدى كاسبرسكي، إن استهداف القطاع الصناعي بمثل هذه الحملات أمر مثير للقلق، مشيرًا إلى أن عواقبها "قد تكون مدمِّرة"، وأضاف: "لم نرَ حتى الآن أية أدلة على أن المهاجمين الكامنين وراء WildPressure لديهم نوايا تتجاوز جمع المعلومات من الشبَكات المستهدفة، لكن الحملة ما زالت تتطور بنشاط؛ فقد اكتشفنا عيّنات خبيثة جديدة بخلاف الثلاث التي اكتشفناها في الأصل. ولا نعرف في هذه المرحلة ما سيحدث مع استمرار تطور WildPressure، ولكننا مستمرون في مراقبة تقدمها".
هذا ويمكن قراءة المزيد عن حملة WildPressure على صفحة Securelist.
ويوصي خبراء كاسبرسكي الشركات بضرورة اتباع التدابير التالية لتجنُّب الوقوع ضحية لهجوم موجّه:
• التأكّد من تحديث جميع البرمجيات المستخدمة في الشركة بانتظام، لا سيما عند إصدار التصحيحات الأمنية. وقد تساعد منتجات الأمن التي تتمتع بالقدرة على تقييم الثغرات وإدارة التصحيحات، في أتمتة هذه الإجراءات.
• اختيار حل أمني معروف مثل Kaspersky Endpoint Security، مزود بقدرات للكشف عن السلوك لضمان الحماية الفعالة من التهديدات المعروفة وغير المعروفة، مثل عمليات الاستغلال.
• بجانب اعتماد الحماية الأساسية للنقاط الطرفية، تنفيذ حلّ أمني على المستوى المؤسسي قادر على اكتشاف التهديدات المتقدمة المحدقة بالشبكات في مرحلة مبكرة، مثل Kaspersky Anti Targeted Attack Platform.
• التأكُّد من حصول الموظفين على التدريب الأساسي في السلامة الأمنية الرقمية، نظرًا لأن العديد من الهجمات الموجّهة تبدأ باللجوء إلى محاولات التصيّد وتقنيات الهندسة الاجتماعية الأخرى.
• التأكد من أن فريق الأمن يحظى بإمكانية الوصول إلى أحدث المعلومات في شأن التهديدات الرقمية. وتتاح لعملاء خدمة Kaspersky APT Intelligence Reporting تقارير خاصة عن أحدث المستجدات في مشهد التهديدات الرقمية.
وعادة ما ترتبط التهديدات المتقدّمة المستمرة بأشدّ أنواع الهجمات الإلكترونية تعقيدًا، بحيث تحصل الجهة المهاجمة الواقفة وراءها، في كثير من الأحيان، على إمكانية الوصول الموسع خِلسة إلى الأنظمة المستهدفة من أجل سرقة المعلومات أو تعطيلها. وعادة ما تُنشأ هذه الهجمات وتُوظّف من جهات تتمتع بموارد مالية ومهنية كبيرة، الأمر الذي سُرعان ما لفت انتباه باحثي كاسبرسكي إلى حملة WildPressure.
وتمكن فريق الباحثين حتى الآن من العثور على عدّة عيّنات متطابقة تقريبًا من التروجان Milum والتي لا تتشابه في الشيفرة البرمجية مع أية حملات رقمية تخريبية معروفة. وتتمتع جميع هذه العيّنات بإمكانيات قوية لإدارة الأجهزة عن بُعد من أي مكان، بمجرد أن يُصاب النظام. ويمكن للتروجان تحديدًا فعل التالي:
• تنزيل الأوامر من مشغّله وتنفيذها.
• جمع معلومات مختلفة من الجهاز المصاب وأرسلها إلى خادم القيادة والسيطرة
• ترقية نفسه إلى إصدار أحدث
وكان فريق كاسبرسكي شهد انتشار التروجان Milum لأول مرة في أغسطس 2019، وقد أظهر تحليل شيفرة البرمجية الخبيثة أن العيّنات الثلاث الأولى بُنيت في مارس من العام نفسه. وأظهرت أدوات القياس عن بُعد المتاحة لدى الباحثين أن معظم أهداف هذه الحملة تقع في الشرق الأوسط، وأن الحملة نفسها ما زالت مستمرة، ولكن الكثير ما زال غير واضح بشأنها، مثل الآلية الدقيقة انتشار Milum.
وقال دنيس لغيزو الباحث الأمني الأول لدى كاسبرسكي، إن استهداف القطاع الصناعي بمثل هذه الحملات أمر مثير للقلق، مشيرًا إلى أن عواقبها "قد تكون مدمِّرة"، وأضاف: "لم نرَ حتى الآن أية أدلة على أن المهاجمين الكامنين وراء WildPressure لديهم نوايا تتجاوز جمع المعلومات من الشبَكات المستهدفة، لكن الحملة ما زالت تتطور بنشاط؛ فقد اكتشفنا عيّنات خبيثة جديدة بخلاف الثلاث التي اكتشفناها في الأصل. ولا نعرف في هذه المرحلة ما سيحدث مع استمرار تطور WildPressure، ولكننا مستمرون في مراقبة تقدمها".
هذا ويمكن قراءة المزيد عن حملة WildPressure على صفحة Securelist.
ويوصي خبراء كاسبرسكي الشركات بضرورة اتباع التدابير التالية لتجنُّب الوقوع ضحية لهجوم موجّه:
• التأكّد من تحديث جميع البرمجيات المستخدمة في الشركة بانتظام، لا سيما عند إصدار التصحيحات الأمنية. وقد تساعد منتجات الأمن التي تتمتع بالقدرة على تقييم الثغرات وإدارة التصحيحات، في أتمتة هذه الإجراءات.
• اختيار حل أمني معروف مثل Kaspersky Endpoint Security، مزود بقدرات للكشف عن السلوك لضمان الحماية الفعالة من التهديدات المعروفة وغير المعروفة، مثل عمليات الاستغلال.
• بجانب اعتماد الحماية الأساسية للنقاط الطرفية، تنفيذ حلّ أمني على المستوى المؤسسي قادر على اكتشاف التهديدات المتقدمة المحدقة بالشبكات في مرحلة مبكرة، مثل Kaspersky Anti Targeted Attack Platform.
• التأكُّد من حصول الموظفين على التدريب الأساسي في السلامة الأمنية الرقمية، نظرًا لأن العديد من الهجمات الموجّهة تبدأ باللجوء إلى محاولات التصيّد وتقنيات الهندسة الاجتماعية الأخرى.
• التأكد من أن فريق الأمن يحظى بإمكانية الوصول إلى أحدث المعلومات في شأن التهديدات الرقمية. وتتاح لعملاء خدمة Kaspersky APT Intelligence Reporting تقارير خاصة عن أحدث المستجدات في مشهد التهديدات الرقمية.