كشف باحثون في كاسبرسكي عن سلسلة من الهجمات التي تستخدم منظومة برمجيات خبيثة متقدمة تُدعى MATA، شُنّت لاستهداف أجهزة عاملة بأنظمة التشغيل Windows وLinux وmacOS. وارتبطت هذه الهجمات، التي بدأت منذ ربيع 2018، بالمجموعة التخريبية الكورية الشمالية الشهيرة Lazarus، التي تنشط في مجال التهديدات المستمرة المتقدّمة.
وتُعدّ مجموعات الأدوات البرمجية الخبيثة المستخدمة لاستهداف أنظمة متعددة سُلالة نادرة، إذ تتطلب استثمارات كبيرة من المطورين، الذين غالبًا ما يوظفونها للاستخدام على المدى الطويل من أجل زيادة الأرباح بمرور الوقت عبر العديد من الهجمات الموسعة. وتمكّنت منظومة MATA، في الهجمات التي اكتشفها كاسبرسكي، من استهداف ثلاثة أنظمة؛ Windows وLinux وmacOS، ما يشير إلى أن المهاجمين خطّطوا لاستخدامها لأغراض متعددة. وتتألف المنظومة من العديد من المكونات، مثل أداة التحميل وأداة التنسيق، التي تدير وتنسق العمليات بمجرد إصابة الجهاز، فضلًا عن البرمجيات الإضافية التوسيعية.
ووجد باحثو كاسبرسكي أن أول أثر يتعلّق بهذه المنظومة استخدم في إبريل 2018 أو نحوه. وجرى منذ ذلك الحين استخدامه في شنّ عدد من الهجمات التي تهدف إلى سرقة قواعد بيانات العملاء وتوزيع برمجيات طلب الفدية، المصممة لمنع الوصول إلى نظام الحاسوب حتى يتم دفع مبلغ من المال.
وأظهرت قياسات كاسبرسكي الواردة عن بُعد أن ضحايا منظومة MATA تركّزوا في بولندا وألمانيا وتركيا وكوريا واليابان والهند، ما يشير إلى أن اتساع نطاق التهديدات لدى الجهة القائمة وراءها. وعلاوة على ذلك، اخترقت Lazarus أنظمة لدى شركات عاملة في مختلف القطاعات، بينها شركة لتطوير البرمجيات وأخرى للتجارة الإلكترونية وإحدى الشركات العاملة في تقديم خدمات الإنترنت.
وتمكن باحثو كاسبرسكي من ربط MATA بمجموعة Lazarus، المعروفة بعملياتها المعقدة وعلاقاتها مع نظام كوريا الشمالية، وكذلك بسبب التجسّس الإلكتروني والهجمات ذات الدوافع المالية. وكان باحثون في السابق، بينهم باحثون من كاسبرسكي، أفادوا باستهداف هذه المجموعة بنوكًا ومؤسسات مالية كبرى بهجمات بينها هجوم ATMDtrack وحملات AppleJeus. وتشير السلسلة الأحدث من الهجمات المكتشفة إلى أن هذه الجهة التخريبية ما زالت تواصل هذا النوع من النشاط.
وتشير سلسلة الهجمات هذه إلى أن Lazarus كانت على استعداد لاستثمار موارد كبيرة في تطوير مجموعة أدواتها وتوسيع نطاق الجهات المستهدفة، لا سيما في البحث عن المال والبيانات، بحسب سيونجسو بارك الباحث الأمني الأول لدى كاسبرسكي، الذي أكّد أن وضع البرمجيات الخبيثة التي تستهدف أنظمة Linux وmacOS غالبًا ما تشير إلى أن المهاجم يشعر بأن لديه “أكثر مما يلزم من أدوات للنظام Windows” الذي يشغّل الغالبية العظمى من الأجهزة. وأضاف: “عادة ما نجد هذا النهج متبعًا بين المجموعات الخبيرة التي تقف وراء التهديدات المتقدمة المستمرة، ونتوقع أن تشهد منظومة MATA المزيد من التطوّر، لذلك ننصح الشركات بإيلاء أمن بياناتها اهتمامًا أكبر نظرًا لكونه أحد أهم الموارد التي يمكن أن تتأثر، وأكثرها قيمة”.
يمكن الاطلاع على مزيد من التفاصيل حول منظومة MATA على صفحة Securelist.com.
ويوصي باحثو كاسبرسكي بتنفيذ الإجراءات التالية لتجنب الوقوع ضحية للبرمجيات الخبيثة متعددة الأنظمة:
• تثبيت حلّ أمن رقمي متخصص، مثل Kaspersky Endpoint Security for Business، على جميع النقاط الطرفية للأجهزة العاملة بالأنظمة Windows وLinux وMacOS، ما سيؤدي إلى تمكين الحماية من التهديدات الرقمية الحالية والجديدة، وإتاحة مجموعة من ضوابط الأمن لكل نظام تشغيل.
• تزويد فريق مركز العمليات الأمنية الرقمية بإمكانية الوصول إلى أحدث المعلومات حول التهديدات، لمساعدته على البقاء على اطلاع على الأدوات والأساليب والتكتيكات الجديدة والناشئة التي تلجأ إليها الجهات التخريبية.
• الحرص على التحديث المنتظم للنسخ الاحتياطية من بيانات العمل وجعلها في متناول اليد بسرعة ليمكن استرداد البيانات التي قد تُفقد أو تُحجز بسبب برمجيات الفدية.