البرنامج الخبيث “Plead” يستغل الاَن أجهزة الراوتر المخترقة لشن هجمات (man-in-the-middle) ضد برنامج “ASUS Webstorage”
اكتشف باحثون في شركة «إسيت»ESET مؤخرًا أن المهاجمين وراء البرامج الضارة لـ Plead قاموا بتوزيعه باستخدام أجهزة راوتر مخترقة وقاموا بهجمات man-in-the-the-middle (MitM) ضد برنامج ASUS WebStorage الشرعي. وتم اكتشاف النشاط الجديد من قِبل «إسيت» في تايوان، حيث يتم نشر البرنامج الخبيثPlead بتوسع. وتم الإبلاغ سابقًا عن أن مجموعة BlackTech تستخدم البرنامج الخبيثPlead في الهجمات المستهدفة، خاصة تلك التي تركز على التجسس الإلكتروني في آسيا.
في أواخر أبريل 2019، لاحظ باحثو «إسيت» الذين يستخدمون “القياس عن بُعد من إسيت”، محاولات متعددة لنشر هذه البرامج الضارة بطريقة غير عادية. وعلى وجه التحديد، تم إنشاء وتنفيذ الباب الخلفي Plead بواسطة عملية شرعية باسم AsusWSPanel.exe. تنتمي هذه العملية إلى عميل لخدمة التخزين السحابية تسمى ASUS WebStorage. تم توقيع الملف القابل للتنفيذ رقميًا بواسطة “شركة أسوس السحابية”.
تشتبه «إسيت» في أن هناك سيناريو لهجمات man-in-the-middle، وكما يوضح مؤلف هذا البحث من شركة «إسيت»، “أنتون تشيريبانوف”:”برنامج ASUS WebStorage عرضة لهذا النوع من الهجوم. وأي تحديث أو نقل للبرنامج يتطلب استخدام HTTP؛ وبمجرد نزول التحديث وجاهزيته للتنفيذ، لا يقوم البرنامج بالتحقق الصحيح. وبالتالي، إذا اعترض المهاجمون عملية التحديث فسيتمكنون من دفع تحديث خبيث”.
وفقًا للبحث الذي تم الإبلاغ عنه مسبقًا حول هذا الموضوع، تؤدي البرامج الخبيثة Plead أيضًا إلى إضعاف أجهزة الراوتر السهلة الاختراق وحتى استخدامها كخوادم C&C للبرامج الضارة. و أضاف “أنتون تشيريبانوف”، وقال:”كشف تحقيقنا أن معظم الشركات المتأثرة لديها أجهزة راوتر من نفس المُصنع؛ بالاضافة إلى أنه يمكن الوصول إلى لوحات مسؤول أجهزة الراوتر عبر الإنترنت. وبالتالي، نعتقد أن هجوم MitM على مستوى جهاز الروتر هو السيناريو الأكثر احتمالا “. وقدم “تشيريبانوف” نصيحة: “من المهم جدًا لمطوري البرامج ألا يراقبوا فقط بيئتهم بحثًا عن أي تدخلات محتملة، ولكن أيضًا لتنفيذ آليات التحديث المناسبة في منتجاتهم المقاومة لهجمات MitM.”
والسيناريو الثاني المحتمل هو نوع من “سلسلة الإمداد للهجوم”. تفتح الهجمات عبر سلسلة الإمداد فرصًا غير محدودة للمهاجمين للتسلل خلسة وسط عدد كبير من الأهداف في نفس الوقت. وكما يوضح منشور مدونة «إسيت» للأبحاث، أنه رغم صعوبة إحتمالية حدوث ذلك إلا أنه لا يمكن استبعاده تماما.
MitM إنفوجراف لسيناريو هجوم
يظهر الرسم التوضيحي السيناريو الأكثر استخدامًا لتسليم الحمولات الخبيثة إلى الأهداف من خلال أجهزة الراوتر المعرضة للخطر.