نظرة تفصيلية: عصابة DeathStalker للتهديدات الرقمية المتقدمة تتجسس على الشركات الصغيرة والمتوسطة

نشر باحثو كاسبرسكي نظرة عامة تفصيلية لعصابة DeathStalker، وهي مجموعة رقمية “مرتزقة” تُعدّ مصدرًا للتهديدات المتقدمة المستمرة (APT)، حققت منافع من هجمات تجسس إلكتروني شنتها على شركات صغيرة ومتوسطة عاملة في القطاع المالي منذ العام 2012 أو قبله. وتوضح اكتشافات أخيرة أن العصابة تستهدف الشركات في أنحاء العالم؛ من أوروبا إلى أمريكا اللاتينية، ما يُبرز أهمية اعتبار الأمن الرقمي ضرورة بالغة للشركات الصغيرة والمتوسطة.

وتواجه الشركات اليوم مجموعة كاملة من التهديدات الفورية، بالرغم من أن نشاط الجهات القائمة وراء التهديدات الرقمية والتي تحظى برعاية الحكومات وتشنّ هجمات متطورة، غالبًا ما يظلّ مكشوفًا.  وتتراوح تلك التهديدات بين هجمات طلب الفدية وتسريبات البيانات والتجسس التجاري، وتؤدي إلى أضرار تمسّ عمليات الشركات وسمعتها.

وعادة ما تُشنّ هذه الهجمات من قبل منسقين متوسطي المستوى للبرمجيات الخبيثة، في حين يلجأ القائمون وراءها في بعض الأحيان إلى الاستعانة بمجموعات تخريبية متاحة للاستئجار (مرتزقة)، مثل DeathStalker، التي تتعقبها كاسبرسكي منذ العام 2018.

وتتسم DeathStalker بأسلوب العمل غير المألوف، إذ تركّز على التجسس الإلكتروني على شركات المحاماة ومؤسسات تعمل في القطاع المالي، وهي جهة تهديدات شديدة التكيّف تتبع نهجًا تكراريًا سريعًا في تصميم البرمجيات الخبيثة، ما يجعلها قادرة على تنفيذ حملات فعالة.

وقد مكّن بحث أجرته كاسبرسكي حديثًا من ربط نشاط DeathStalker بثلاث عائلات من البرمجيات الخبيثة؛ Powersing وEvilnum وJanicab، ما يوضح اتساع نطاق نشاط هذه العصابة منذ العام 2012. واستطاعت كاسبرسكي تتبّع عائلة Powersing منذ العام 2018، في حين أبلغت شركات أخرى عاملة في مجال الأمن الرقمي عن نشاط العائلتين الأخريين من البرمجيات الخبيثة. وتمكّن الباحثون، بعد تحليل أوجه التشابه في الشيفرات البرمجية ودراسة الحالات التي وقعت ضحايا لتلك العائلات البرمجية الخبيثة، من ربط بعضها بالبعض الآخر بمستوى متوسط من الثقة.

ظلت التكتيكات والأساليب والإجراءات المتبعة لدى هذه الجهة التخريبية دون تغيير على مر السنين؛ فهي تعتمد على رسائل بريد إلكتروني للتصيّد الموجّه مهمتها إيصال ملفات أرشيفية تتضمّن ملفات خبيثة، تُنفّذ البرمجية التي تشتمل عليها ويجري تنزيل مكونات أخرى من الإنترنت، وذلك بمجرّد أن ينقر المستخدم على رابط الاختصار، ما يسمح للمهاجمين بالتحكّم في الجهاز الضحية.

أحد الأمثلة على ذلك هو استخدام عائلة برمجيات Powersing، التي تُعتبر غرسة برمجية تعتمد على Power-Shell، وكانت أول برمجية خبيثة تُكتشف لدى جهة التهديد هذه. وتصبح البرمجية، بمجرد إصابة الجهاز، قادرة على التقاط محتوى الشاشة بلقطات دورية، وتنفيذ نصوص Powershell النصية للتحكّم بالجهاز. ويمكن للبرمجية الخبيثة تجنب اكتشافها من قبل الحلول الأمنية المثبتة على الجهاز، عبر لجوئها إلى طرق بديلة للاستمرار، تختارها اعتمادًا على الحلّ الأمني القائم في النظام، ما يدلّ على قدرة العصابة على التقصّي الأمني للكشف عن الحلول الأمنية قبل كل حملة، وتحديث شيفراتها البرمجية بما يتماشى مع نتائج عمليات التقصي التي تجريها.

كذلك، توظّف DeathStalker في الحملات التي تستخدم Powersing، خدمة عامة معروفة جيدًا لدمج الاتصالات الأولية التي تُجرى عبر المنافذ الخلفية في حركة البيانات الشبكية المشروعة، ما يحدّ من قدرة أنظمة الحماية الأمنية على إعاقة عملياتهم.

وتمكنت العصابة من التهرّب من الرقابة الأمنية وإنهاء الحملة بسرعة، باستخدامها أدوات تجسس تُعرف بالاسم dead-drop resolver، تعمل بصفة حاضنة للمعلومات تشير إلى بنية تحتية إضافية للقيادة والسيطرة، توضع على مجموعة متنوعة من وسائل التواصل الاجتماعي وخدمات التدوين والتراسل الرسمية. وتبدأ العصابة، بمجرد إصابة الضحايا، بالتواصل مع تلك الأدوات التي تعيد توجيه العصابة، وبالتالي تنجح في إخفاء سلسلة الاتصالات.

مثال على استضافة أداة تجسس على إحدى الخدمات العامة الرسمية

واكتُشف نشاط DeathStalker في جميع أنحاء العالم، ما يدلّ على اتساع رقعة عملياتها. وجرى تحديد الأنشطة ذات الصلة بعائلة البرمجيات Powersing في الأرجنتين والصين وقبرص وإسرائيل ولبنان وسويسرا وتايوان وتركيا وبريطانيا ودولة الإمارات. كما حدّدت كاسبرسكي مواقع ضحايا عائلة Evilnum في قبرص والهند ولبنان وروسيا ودولة الإمارات. هذا ويمكن الوصول إلى المعلومات التفصيلية حول مؤشرات الاختراق المتعلقة بهذه المجموعة، بما يتضمّن تجزئات الملفات وخوادم القيادة والسيطرة، عبر بوابة Kaspersky Threat Intelligence Portal.

وقال إيفان كوياتكوفسكي كبير الباحثين الأمنيين في فريق البحث والتحليل العالمي لدى كاسبرسكي، إن عصابة DeathStalker “مثال واضح” على جهات التهديد التي ينبغي للشركات الخاصة الحرص على درء خطرها عنها، لا سيما الشركات الأقلّ وعيًا من الناحية الأمنية. وتوقّع أن تظلّ DeathStalker، بناءً على نشاطها المستمر، تهديدًا قائمًا باستخدام الأدوات الجديدة المستخدمة لضرب الشركات، مشيرًا إلى أن جهة التهديد هذه “دليل على وجود حاجة ملحّة لدى الشركات الصغيرة والمتوسطة للاستثمار في الأمن الرقمي والتدريب على الوعي الأمني”، وأضاف: “نوصي الشركات بتعطيل القدرة على استخدام لغات البرمجة النصية، مثل Powershell.exe وcscript.exe، ما أمكن، للحفاظ على نفسها من مخاطر DeathStalker، كما نوصي بأن تتضمن برامج التدريب المستقبلية للتوعية وإجراءات تقييم المنتجات الأمنية، سلاسل الإصابة التي تقوم على ملفات LNK، المعروفة بروابط الاختصار”.

ويوصي باحثو كاسبرسكي بتنفيذ الإجراءات التالية لتجنب الوقوع ضحية لهجوم موجّه من جهة تهديد معروفة أو مجهولة:

• تزويد فريق مركز العمليات الأمنية بإمكانية الوصول إلى أحدث معلومات التهديدات. وتُعدّ بوابة Kaspersky Threat Intelligence Portal منصة واحدة يمكن للمؤسسات عبرها الوصول إلى أحدث المعلومات الخاصة بالتهديدات، حيث تتاح البيانات المتعلقة بالهجمات الإلكترونية والرؤى التي جمعتها كاسبرسكي بشأنها على مدار أكثر من 20 عامًا.
• الحرص على توظيف حلول مثل Kaspersky Endpoint Detection and Response، الذي يتيح اكتشاف التهديدات عند مستوى النقاط الطرفية والتحقيق فيها والاستجابة لها في الوقت المناسب، ضمانًا للحماية الفعالة من التهديدات المتقدمة والرؤية الفورية للأنشطة التخريبية التي يجري اكتشافها في النقاط الطرفية.
• تزويد الموظفين بالتدريب على أساسيات الأمن الرقمي، نظرًا لأن العديد من الهجمات الموجّهة تبدأ بالتصيّد وتعتمد على تقنيات الهندسة الاجتماعية. ويمكن تنفيذ عملية محاكاة لهجوم تصيد للتأكّد من قدرة الموظفين على تمييز رسائل البريد الإلكتروني المخادعة.

يمكن الاطلاع على التقرير الكامل حول DeathStalker على الصفحة Securelist.

كما يمكن معرفة المزيد عن نشاط مجموعة التهديد هذه في ورشة الويب المقبلة GReAT Ideas، التي سوف تقام يوم 26 أغسطس عند الساعة 2 بعد الظهر بتوقيت غرينتش. ويمكن التسجيل مجانًا عبر الرابط https://kas.pr/v1oj. عنوان الورشة: Powered by SAS: advancing on new fronts – tech, mercenaries and more.