المصدر -
نجح باحثون في كاسبرسكي بتفكيك مجموعة أدوات رقمية تخريبية متطورة بالغة التعقيد، وظّفتها مجموعة تهديدات متقدمة مستمرة تُدعى Cycldek، تستهدف جهات حكومية في منطقة جنوب شرق آسيا منذ العام 2013 على الأقلّ. ووجد الخبراء برمجية خبيثة لم تكن معروفة في السابق، أطلق عليها اسم USBCulprit، وتتسم بالقدرة على التحرّك الأفقية (التنقل عبر الشبكة للحصول على البيانات المستهدفة) لسرقة المعلومات. ولم يقتصر دور هذه البرمجية الخبيثة على إثراء مجموعة الأدوات التخريبية التي تعتمد عليها مجموعة Cycldek في عملها، ولكنها منحتها القدرة على الوصول إلى الأجهزة المعزولة وغير المتصلة اتصالًا مباشرًا بالإنترنت.
وتُعتبر مجموعة Cycldek (المعروفة بأسماء عدّة تشمل Goblin Panda وAPT 27 وConimes) جهة تهديد اكتشفت لأول مرة في العام 2013، وتركز في الأساس على كيانات مرموقة في جنوب شرق آسيا، بينها منظمات كبيرة وجهات حكومية. وتابع باحثو كاسبرسكي عن كثب أحدث نشاط مارسته هذه المجموعة في التجسس الإلكتروني، ويعود إلى العام 2018، ضد منظمات حكومية في عدد من دول جنوب شرق آسيا؛ فيتنام وتايلاند ولاوس، ليكشف الباحثون عن مجموعة من الأدوات التخريبية كانت أوسع بكثير من المتوقع.
وكانت معظم الهجمات التي شُنّت بعد العام 2018 قد بدأت برسائل بريد إلكتروني تصيّدية تحتوي على مستندات RTF بغطاء من موضوع سياسي. وتستغلّ المجموعة التخريبية الثغرات المعروفة في هذه المستندات لإسقاط حمولتها الخبيثة، المؤلفة من برمجية خبيثة تسمى NewCore RAT، تتكوّن من نسختين تتمتعان بإمكانيات متقدمة لسرقة البيانات: BlueCore وRedCore، استُخدمت الأولى ضد أهداف دبلوماسية وحكومية في فيتنام، في حين بدأ استخدام الثانية في فيتنام قبل العثور عليها في لاوس. وتعمل كلتا النسختين على تنزيل البرمجية الخبيثة USBCulprit، التي استخدمت بنشاط منذ العام 2014، وحتى ظهور عينات جديدة منها في وقت متأخر من 2019.
وتحظى هذه البرمجية بقدرات الحركة الأفقية وسرقة البيانات؛ إذ تُجري، بمجرد تثبيتها، مسحًا لمسارات مختلفة على الجهاز المصاب، وتجمع المستندات التي تنتهي ملفاتها بامتدادات معينة وتنقلها إلى قطع التخزين عبر USB متصلة بالنظام، ما يشير إلى أن هذه البرمجيات الخبيثة صُممت للوصول إلى الأجهزة المعزولة، أو غير المتصلة اتصالًا مباشرًا بالإنترنت أو بأي جهاز حاسوب متصل بالإنترنت. وهذا يعني أن الطريقة الوحيدة لنقل البيانات الواردة والصادرة تتمثل في وسائط التخزين المحمولة، مثل قطع التخزين عبر USB.
ومن المحتمل أن تكون الجهة التخريبية اعتمدت على نشر البرمجية الخبيثة باستخدام ناقل بشري، نظرًا لأنها لا تشتغل تلقائيًا عند توصيل قطعة التخزين المصابة بالجهاز عبر USB.
ويمكن لبرمجية USBCulprit استهداف ملفات محددة، بينها الملفات التي خضعت للتعديل في فترة زمنية معينة، كما أنها قادرة على توسعة إمكانياتها. ويمكن للإصدارات اللاحقة من هذه البرمجية الخبيثة تشغيل ملفات بأسماء معينة من قطع USB المتصلة بالأجهزة.
وتشكل هذه البرمجية إضافة معقدة لقائمة متنامية من الأدوات التي تستخدمها مجموعة Cycldek التخريبية. وتتضمن الأنواع الأخرى من الأدوات منفذًا خلفيًا معدّلًا، وأداة لسرقة ملفات تعريف الارتباط، وأخرى لسرقة كلمات المرور من قواعد بيانات المتصفح القائمة على Chromium.
وقال مارك لشتيك الباحث الأمني الأول في فريق البحث والتحليل العالمي لدى كاسبرسكي، إن التحليلات أظهرت أن هذه المجموعة لم تعُد كما كانت في الماضي جهة تهديد صغيرة وغير متقدمة، مؤكّداً أنها أصبحت "تتمتع بحضور واسع في جنوب شرق آسيا، وتستخدم مجموعة أدوات أكثر تعقيدًا بكثير مما أبدته التقارير الأولية في شأنها".
من جانبه، أشار غيامباولو ديدولا ، الباحث الأمني الأول في فريق كاسبرسكي، إلى احتمال استمرار هجمات Cycldek على أهداف بارزة في جنوب شرق آسيا، لافتًا إلى أن هذه المجموعة لم توقف نشاطها منذ العام 2013، بل واصلت تطويره بإضافة برمجيات خبيثة جديدة واستهداف بلدان جديدة. وأكّد الخبير أن فريق البحث والتحليل العالمي لدى كاسبرسكي سوف يواصل مراقبة نشاط Cycldek.
يمكن الاطلاع على مزيد من المعلومات حول Cycldek في الصفحة Securelist.com.
ويوصي خبراء كاسبرسكي باتباع الإجراءات التالية للبقاء في أمان من هجمات Cycldek وجهات التهديدات المتقدمة المستمرة الأخرى:
• تزويد فرق مراكز العمليات الأمنية بإمكانية الوصول إلى أحدث المعلومات المتعلقة بالتهديدات، والبقاء على اطلاع على أحدث الأدوات والتقنيات والأساليب التي تستخدمها جهات التهديد ومجرمو الإنترنت.
• استخدام حلول EDR، مثل الحل Kaspersky Endpoint Detection and Response للكشف عن التهديدات عند مستوى النقاط الطرفية والتحقيق فيها ومعالجتها في الوقت المناسب.
• استخدام حل أمني مؤسسي للكشف عن التهديدات المتقدمة على مستوى الشبكة في مرحلة مبكرة، مثل الحلّ Kaspersky Anti Targeted Attack Platform.
• الحرص على تحديث الأجهزة والبرمجيات والتطبيقات والخدمات بأحدث التصحيحات البرمجية حال إتاحتها.
• تزويد الموظفين بالتدريب الأساسي على "النظافة الأمنية الرقمية"، نظرًا لأن العديد من الهجمات الموجهة تبدأ من خلال استخدام أساليب التصيد وتقنيات الهندسة الاجتماعية. ويمكن للشركة تنفيذ هجوم تصيد وهمي للتأكّد من قدرة الموظفين على تمييز رسائل التصيد وعدم الوقوع فرائس لها.
وتُعتبر مجموعة Cycldek (المعروفة بأسماء عدّة تشمل Goblin Panda وAPT 27 وConimes) جهة تهديد اكتشفت لأول مرة في العام 2013، وتركز في الأساس على كيانات مرموقة في جنوب شرق آسيا، بينها منظمات كبيرة وجهات حكومية. وتابع باحثو كاسبرسكي عن كثب أحدث نشاط مارسته هذه المجموعة في التجسس الإلكتروني، ويعود إلى العام 2018، ضد منظمات حكومية في عدد من دول جنوب شرق آسيا؛ فيتنام وتايلاند ولاوس، ليكشف الباحثون عن مجموعة من الأدوات التخريبية كانت أوسع بكثير من المتوقع.
وكانت معظم الهجمات التي شُنّت بعد العام 2018 قد بدأت برسائل بريد إلكتروني تصيّدية تحتوي على مستندات RTF بغطاء من موضوع سياسي. وتستغلّ المجموعة التخريبية الثغرات المعروفة في هذه المستندات لإسقاط حمولتها الخبيثة، المؤلفة من برمجية خبيثة تسمى NewCore RAT، تتكوّن من نسختين تتمتعان بإمكانيات متقدمة لسرقة البيانات: BlueCore وRedCore، استُخدمت الأولى ضد أهداف دبلوماسية وحكومية في فيتنام، في حين بدأ استخدام الثانية في فيتنام قبل العثور عليها في لاوس. وتعمل كلتا النسختين على تنزيل البرمجية الخبيثة USBCulprit، التي استخدمت بنشاط منذ العام 2014، وحتى ظهور عينات جديدة منها في وقت متأخر من 2019.
وتحظى هذه البرمجية بقدرات الحركة الأفقية وسرقة البيانات؛ إذ تُجري، بمجرد تثبيتها، مسحًا لمسارات مختلفة على الجهاز المصاب، وتجمع المستندات التي تنتهي ملفاتها بامتدادات معينة وتنقلها إلى قطع التخزين عبر USB متصلة بالنظام، ما يشير إلى أن هذه البرمجيات الخبيثة صُممت للوصول إلى الأجهزة المعزولة، أو غير المتصلة اتصالًا مباشرًا بالإنترنت أو بأي جهاز حاسوب متصل بالإنترنت. وهذا يعني أن الطريقة الوحيدة لنقل البيانات الواردة والصادرة تتمثل في وسائط التخزين المحمولة، مثل قطع التخزين عبر USB.
ومن المحتمل أن تكون الجهة التخريبية اعتمدت على نشر البرمجية الخبيثة باستخدام ناقل بشري، نظرًا لأنها لا تشتغل تلقائيًا عند توصيل قطعة التخزين المصابة بالجهاز عبر USB.
ويمكن لبرمجية USBCulprit استهداف ملفات محددة، بينها الملفات التي خضعت للتعديل في فترة زمنية معينة، كما أنها قادرة على توسعة إمكانياتها. ويمكن للإصدارات اللاحقة من هذه البرمجية الخبيثة تشغيل ملفات بأسماء معينة من قطع USB المتصلة بالأجهزة.
وتشكل هذه البرمجية إضافة معقدة لقائمة متنامية من الأدوات التي تستخدمها مجموعة Cycldek التخريبية. وتتضمن الأنواع الأخرى من الأدوات منفذًا خلفيًا معدّلًا، وأداة لسرقة ملفات تعريف الارتباط، وأخرى لسرقة كلمات المرور من قواعد بيانات المتصفح القائمة على Chromium.
وقال مارك لشتيك الباحث الأمني الأول في فريق البحث والتحليل العالمي لدى كاسبرسكي، إن التحليلات أظهرت أن هذه المجموعة لم تعُد كما كانت في الماضي جهة تهديد صغيرة وغير متقدمة، مؤكّداً أنها أصبحت "تتمتع بحضور واسع في جنوب شرق آسيا، وتستخدم مجموعة أدوات أكثر تعقيدًا بكثير مما أبدته التقارير الأولية في شأنها".
من جانبه، أشار غيامباولو ديدولا ، الباحث الأمني الأول في فريق كاسبرسكي، إلى احتمال استمرار هجمات Cycldek على أهداف بارزة في جنوب شرق آسيا، لافتًا إلى أن هذه المجموعة لم توقف نشاطها منذ العام 2013، بل واصلت تطويره بإضافة برمجيات خبيثة جديدة واستهداف بلدان جديدة. وأكّد الخبير أن فريق البحث والتحليل العالمي لدى كاسبرسكي سوف يواصل مراقبة نشاط Cycldek.
يمكن الاطلاع على مزيد من المعلومات حول Cycldek في الصفحة Securelist.com.
ويوصي خبراء كاسبرسكي باتباع الإجراءات التالية للبقاء في أمان من هجمات Cycldek وجهات التهديدات المتقدمة المستمرة الأخرى:
• تزويد فرق مراكز العمليات الأمنية بإمكانية الوصول إلى أحدث المعلومات المتعلقة بالتهديدات، والبقاء على اطلاع على أحدث الأدوات والتقنيات والأساليب التي تستخدمها جهات التهديد ومجرمو الإنترنت.
• استخدام حلول EDR، مثل الحل Kaspersky Endpoint Detection and Response للكشف عن التهديدات عند مستوى النقاط الطرفية والتحقيق فيها ومعالجتها في الوقت المناسب.
• استخدام حل أمني مؤسسي للكشف عن التهديدات المتقدمة على مستوى الشبكة في مرحلة مبكرة، مثل الحلّ Kaspersky Anti Targeted Attack Platform.
• الحرص على تحديث الأجهزة والبرمجيات والتطبيقات والخدمات بأحدث التصحيحات البرمجية حال إتاحتها.
• تزويد الموظفين بالتدريب الأساسي على "النظافة الأمنية الرقمية"، نظرًا لأن العديد من الهجمات الموجهة تبدأ من خلال استخدام أساليب التصيد وتقنيات الهندسة الاجتماعية. ويمكن للشركة تنفيذ هجوم تصيد وهمي للتأكّد من قدرة الموظفين على تمييز رسائل التصيد وعدم الوقوع فرائس لها.