المصدر -
كشف باحثو كاسبرسكي النقاب عن سلسلة من الهجمات الموجهة بدقة نحو مجموعة شركات صناعية كبيرة، والتي يعود تاريخها إلى العام 2018، وتُعد شديدة الندرة في عالم الجهات التخريبية القائمة خلف التهديدات المتقدمة المستمرة، مقارنة بالحملات المماثلة التي تُشنّ ضد جهات دبلوماسية وسياسية بارزة. ولقّبت كاسبرسكي مجموعة الأدوات الخبيثة بـ MontysThree، في حين أن واضعيها اسموها MT3. وتستخدم هذه الأدوات أساليب متطورة لتجنب الاكتشاف، بينها وضع اتصالاتها مع خادم التحكم والسيطرة على خدمات سحابية عامة، وإخفاء الوحدة الخبيثة الرئيسة باستخدام أسلوب مواراة المعلومات ضمن الملفات.
ويميل المخربون إلى استهداف الجهات الحكومية والدبلوماسيين وشركات الاتصالات بتهديداتهم المتقدمة المستمرة، نظرًا لأن هؤلاء الأفراد والمؤسسات يمتلكون ثروات من المعلومات شديدة السرية والحساسية السياسية. ومن النادر جدًا في المقابل أن تستهدف حملات التجسس منشآت صناعية، ولكنها يمكن إن فعلت أن تخلّف عواقب وخيمة على تلك المنشآت. ولهذا السبب، سارع باحثو كاسبرسكي إلى تدوين الملاحظات عندما رصدوا نشاط MontysThree.
وتنشر أدوات MontysThree بهدف التجسس برمجية خبيثة تتكون من أربع وحدات؛ الأولى أداة تحميل تُنشر مبدئيًا باستخدام ملفات RAR SFX (ملفات أرشيفية ذاتية الاستخراج) تحتوي على أسماء مرتبطة بقوائم جهات الاتصال بالموظفين، ووثائق فنية، ونتائج تحاليل طبية، لخداع الموظفين ودفعهم إلى تنزيل الملفات، في أسلوب شائع للتصيّد. وتُعدّ أداة التحميل المسؤولة في الأساس عن ضمان تجنّب اكتشاف البرمجيات الخبيثة على النظام؛ إذ تنشر تقنية تُعرف باسم "ستيغانوغرافي" steganography التي تعني مواراة المعلومات أو إخفاءها.
وتلجأ الجهات التخريبية إلى هذا الأسلوب لإخفاء حقيقة تبادل البيانات. ويجري إخفاء الحمولة الخبيثة الرئيسة، في حالة MontysThree، ضمن ملف صورة نقطية bitmap (أحد تنسيقات تخزين الصور الرقمية). وعندما يُدخل "الأمر" المناسب، تستخدم أداة التحميل خوارزمية مخصصة لفك تشفير المحتوى من مصفوفة النقاط الصورية (البيكسل) وتشغّل الحمولة الخبيثة، التي تستخدم عدة أساليب تشفير لتفادي الاكتشاف، تشمل استخدام خوارزمية RSA لتشفير الاتصالات مع خادم التحكم، وفك تشفير "المهام" الرئيسة التي تحددها البرمجية الخبيثة. ويتضمن ذلك البحث عن أنواع محددة من المستندات وفي أدلّة تصنيفية معينة داخل أنظمة الشركة. وقد صمّمت MontysThree لاستهداف مستندات Microsoft وAdobe Acrobat على وجه التحديد؛ كما يمكنها التقاط لقطات للشاشات وجمع معلومات حول إعدادات الشبكة المستهدفة واسم المضيف وما إلى ذلك، بهدف معرفة ما إذا كانت تهمّ المهاجمين.
وتوضع المعلومات المجمّعة والاتصالات الأخرى مع خادم التحكم على خدمات سحابية عامة مثل Google وMicrosoft وDropbox، ما يصعّب على أنظمة الأمن إدراك أن حركة الاتصالات والبيانات خبيثة. ويتواصل العمل التخريبي لخادم التحكم دون انقطاع نظرًا لعدم قدرة البرمجيات المضادة للفيروسات على إيقاف هذه الأنشطة.
وتستخدم MontysThree أيضًا طريقة بسيطة لاكتساب الثبات والاستمرارية على النظام المصاب، تتمثل في أداة تعديل لشريط أدوات التشغيل السريع في ويندوز Windows Quick Launch. ويشغّل المستخدمون بأنفسهم، عن غير قصد، الوحدة الأولية للبرمجية الخبيثة في كل مرة يشغلون فيها أية تطبيقات رسمية، مثل متصف الويب، عند استخدام شريط أدوات التشغيل السريع.
هذا ولم تتمكن كاسبرسكي من العثور على وجه شبه في الشيفرة البرمجية الخبيثة أو بنيتها التحتية مع أي من جهات التهديدات الرقمية المعروفة.
واعتبر دنيس ليغيزو الباحث الأمني الأول في فريق البحث والتحليل العالمي لدى كاسبرسكي، أن MontysThree مجموعة أدوات "مثيرة للاهتمام"، لا لأنها تستهدف الشركات الصناعية فقط، ولكن بسبب مزيج من التكتيكات والأساليب والإجراءات المتطورة والبسيطة في الوقت نفسه، موضحًا أن مستوى التطور يختلف من وحدة برمجية إلى أخرى، ولكن لا يمكن مقارنته بالمستوى المتقدم المتبع لدى الجهات الأخرى التي تقف وراء التهديدات المتقدمة المستمرة، وقال: "يستخدم المخربون في مجموعة الأدوات MontysThree معايير تشفير قوية، وثمّة قرارات مرموقة تقنيًا اتخذت في هذا الصدد، بينها مواراة المعلومات. ولعل الأهم بذل المهاجمين جهدًا كبيرًا في تطوير مجموعة الأدوات هذه، ما يشير إلى أنهم مصممون على الوصول إلى أهدافهم، ما يعني أن حملتهم لن تكون قصيرة الأجل".
يمكن التعرف إلى المزيد عن MontysThree على Securelist. ويمكن الوصول إلى معلومات تفصيلية حول مؤشرات الاختراق المتعلقة بهذه العصابة، بما يتضمّن تجزئات الملفات وخوادم القيادة والسيطرة، عبر بوابة Kaspersky Threat Intelligence Portal.
ويمكن التسجيل في SAS@Home لمشاهدة العرض التعريفي حول MontysThree والتعرف على المزيد حول التهديدات المتقدمة المستمرة وأهمّ اكتشافات الأمن الرقمي عبر الرابط.
وتوصي كاسبرسكي الشركات باتخاذ الإجراءات الأمنية التالية للبقاء في مأمن من تهديدات مثل MontysThree:
• تزويد الموظفين بالتدريب على أساسيات الأمن الرقمي، نظرًا لأن العديد من الهجمات الموجّهة تبدأ بالتصيّد وتعتمد على تقنيات الهندسة الاجتماعية الأخرى. ويمكن تنفيذ عملية محاكاة لهجوم تصيد للتأكّد من قدرة الموظفين على تمييز رسائل البريد الإلكتروني المخادعة.
• منح فريق مركز العمليات الأمنية إمكانية الوصول إلى أحدث معلومات التهديدات. وتُعدّ بوابة Kaspersky Threat Intelligence Portal منصة واحدة يمكن للمؤسسات عبرها الوصول إلى أحدث المعلومات الخاصة بالتهديدات، حيث تتاح البيانات المتعلقة بالهجمات الإلكترونية والرؤى التي جمعتها كاسبرسكي بشأنها على مدار أكثر من 20 عامًا.
• الحرص على توظيف حلول مثل Kaspersky Endpoint Detection and Response، الذي يتيح اكتشاف التهديدات عند مستوى النقاط الطرفية والتحقيق فيها والاستجابة لها في الوقت المناسب.
• توظيف حل أمني على المستوى المؤسسي، مثل Kaspersky Anti Targeted Attack Platform، القادر على اكتشاف التهديدات المتقدمة على مستوى الشبكة في مرحلة مبكرة من حصولها.
• التأكد من حماية النقاط الطرفية في النظم الصناعية، علاوة على النقاط الطرفية المؤسسية. ويتضمن حل Kaspersky Industrial CyberSecurity حماية مخصصة للنقاط الطرفية الصناعية ومراقبة للشبكات للكشف عن أي نشاط مشبوه ومحتمل أن يكون ضارًا في الشبكة الصناعية.
ويميل المخربون إلى استهداف الجهات الحكومية والدبلوماسيين وشركات الاتصالات بتهديداتهم المتقدمة المستمرة، نظرًا لأن هؤلاء الأفراد والمؤسسات يمتلكون ثروات من المعلومات شديدة السرية والحساسية السياسية. ومن النادر جدًا في المقابل أن تستهدف حملات التجسس منشآت صناعية، ولكنها يمكن إن فعلت أن تخلّف عواقب وخيمة على تلك المنشآت. ولهذا السبب، سارع باحثو كاسبرسكي إلى تدوين الملاحظات عندما رصدوا نشاط MontysThree.
وتنشر أدوات MontysThree بهدف التجسس برمجية خبيثة تتكون من أربع وحدات؛ الأولى أداة تحميل تُنشر مبدئيًا باستخدام ملفات RAR SFX (ملفات أرشيفية ذاتية الاستخراج) تحتوي على أسماء مرتبطة بقوائم جهات الاتصال بالموظفين، ووثائق فنية، ونتائج تحاليل طبية، لخداع الموظفين ودفعهم إلى تنزيل الملفات، في أسلوب شائع للتصيّد. وتُعدّ أداة التحميل المسؤولة في الأساس عن ضمان تجنّب اكتشاف البرمجيات الخبيثة على النظام؛ إذ تنشر تقنية تُعرف باسم "ستيغانوغرافي" steganography التي تعني مواراة المعلومات أو إخفاءها.
وتلجأ الجهات التخريبية إلى هذا الأسلوب لإخفاء حقيقة تبادل البيانات. ويجري إخفاء الحمولة الخبيثة الرئيسة، في حالة MontysThree، ضمن ملف صورة نقطية bitmap (أحد تنسيقات تخزين الصور الرقمية). وعندما يُدخل "الأمر" المناسب، تستخدم أداة التحميل خوارزمية مخصصة لفك تشفير المحتوى من مصفوفة النقاط الصورية (البيكسل) وتشغّل الحمولة الخبيثة، التي تستخدم عدة أساليب تشفير لتفادي الاكتشاف، تشمل استخدام خوارزمية RSA لتشفير الاتصالات مع خادم التحكم، وفك تشفير "المهام" الرئيسة التي تحددها البرمجية الخبيثة. ويتضمن ذلك البحث عن أنواع محددة من المستندات وفي أدلّة تصنيفية معينة داخل أنظمة الشركة. وقد صمّمت MontysThree لاستهداف مستندات Microsoft وAdobe Acrobat على وجه التحديد؛ كما يمكنها التقاط لقطات للشاشات وجمع معلومات حول إعدادات الشبكة المستهدفة واسم المضيف وما إلى ذلك، بهدف معرفة ما إذا كانت تهمّ المهاجمين.
وتوضع المعلومات المجمّعة والاتصالات الأخرى مع خادم التحكم على خدمات سحابية عامة مثل Google وMicrosoft وDropbox، ما يصعّب على أنظمة الأمن إدراك أن حركة الاتصالات والبيانات خبيثة. ويتواصل العمل التخريبي لخادم التحكم دون انقطاع نظرًا لعدم قدرة البرمجيات المضادة للفيروسات على إيقاف هذه الأنشطة.
وتستخدم MontysThree أيضًا طريقة بسيطة لاكتساب الثبات والاستمرارية على النظام المصاب، تتمثل في أداة تعديل لشريط أدوات التشغيل السريع في ويندوز Windows Quick Launch. ويشغّل المستخدمون بأنفسهم، عن غير قصد، الوحدة الأولية للبرمجية الخبيثة في كل مرة يشغلون فيها أية تطبيقات رسمية، مثل متصف الويب، عند استخدام شريط أدوات التشغيل السريع.
هذا ولم تتمكن كاسبرسكي من العثور على وجه شبه في الشيفرة البرمجية الخبيثة أو بنيتها التحتية مع أي من جهات التهديدات الرقمية المعروفة.
واعتبر دنيس ليغيزو الباحث الأمني الأول في فريق البحث والتحليل العالمي لدى كاسبرسكي، أن MontysThree مجموعة أدوات "مثيرة للاهتمام"، لا لأنها تستهدف الشركات الصناعية فقط، ولكن بسبب مزيج من التكتيكات والأساليب والإجراءات المتطورة والبسيطة في الوقت نفسه، موضحًا أن مستوى التطور يختلف من وحدة برمجية إلى أخرى، ولكن لا يمكن مقارنته بالمستوى المتقدم المتبع لدى الجهات الأخرى التي تقف وراء التهديدات المتقدمة المستمرة، وقال: "يستخدم المخربون في مجموعة الأدوات MontysThree معايير تشفير قوية، وثمّة قرارات مرموقة تقنيًا اتخذت في هذا الصدد، بينها مواراة المعلومات. ولعل الأهم بذل المهاجمين جهدًا كبيرًا في تطوير مجموعة الأدوات هذه، ما يشير إلى أنهم مصممون على الوصول إلى أهدافهم، ما يعني أن حملتهم لن تكون قصيرة الأجل".
يمكن التعرف إلى المزيد عن MontysThree على Securelist. ويمكن الوصول إلى معلومات تفصيلية حول مؤشرات الاختراق المتعلقة بهذه العصابة، بما يتضمّن تجزئات الملفات وخوادم القيادة والسيطرة، عبر بوابة Kaspersky Threat Intelligence Portal.
ويمكن التسجيل في SAS@Home لمشاهدة العرض التعريفي حول MontysThree والتعرف على المزيد حول التهديدات المتقدمة المستمرة وأهمّ اكتشافات الأمن الرقمي عبر الرابط.
وتوصي كاسبرسكي الشركات باتخاذ الإجراءات الأمنية التالية للبقاء في مأمن من تهديدات مثل MontysThree:
• تزويد الموظفين بالتدريب على أساسيات الأمن الرقمي، نظرًا لأن العديد من الهجمات الموجّهة تبدأ بالتصيّد وتعتمد على تقنيات الهندسة الاجتماعية الأخرى. ويمكن تنفيذ عملية محاكاة لهجوم تصيد للتأكّد من قدرة الموظفين على تمييز رسائل البريد الإلكتروني المخادعة.
• منح فريق مركز العمليات الأمنية إمكانية الوصول إلى أحدث معلومات التهديدات. وتُعدّ بوابة Kaspersky Threat Intelligence Portal منصة واحدة يمكن للمؤسسات عبرها الوصول إلى أحدث المعلومات الخاصة بالتهديدات، حيث تتاح البيانات المتعلقة بالهجمات الإلكترونية والرؤى التي جمعتها كاسبرسكي بشأنها على مدار أكثر من 20 عامًا.
• الحرص على توظيف حلول مثل Kaspersky Endpoint Detection and Response، الذي يتيح اكتشاف التهديدات عند مستوى النقاط الطرفية والتحقيق فيها والاستجابة لها في الوقت المناسب.
• توظيف حل أمني على المستوى المؤسسي، مثل Kaspersky Anti Targeted Attack Platform، القادر على اكتشاف التهديدات المتقدمة على مستوى الشبكة في مرحلة مبكرة من حصولها.
• التأكد من حماية النقاط الطرفية في النظم الصناعية، علاوة على النقاط الطرفية المؤسسية. ويتضمن حل Kaspersky Industrial CyberSecurity حماية مخصصة للنقاط الطرفية الصناعية ومراقبة للشبكات للكشف عن أي نشاط مشبوه ومحتمل أن يكون ضارًا في الشبكة الصناعية.