تمكن باحثون كاسبرسكي، باستخدام محرك Kaspersky Threat Attribution Engine، من ربط أكثر من 300 عينة من برمجية “منفذ خلفي” خبيثة تُدعى Bisonal بحملة نفذتها إحدى جهات التهديدات المتقدمة المستمرة. وركزت الحملة التي نفذتها مجموعة التجسس الإلكتروني CactusPete على أهداف عسكرية ومالية في أوروبا الشرقية، ما يُبرز قدرة هذه المجموعة التخريبية على التطور السريع.
وتُعدّ CactusPete، المعروفة أيضًا بالاسمين Karma Panda وTonto Team، مجموعة تجسّس إلكتروني تنشط منذ العام 2012 على الأقل، وقد نجحت هذه المرة في ترقية برمجية المنفذ الخلفي لاستهداف جهات عسكرية ومالية في أوروبا الشرقية، للوصول على الأرجح إلى معلومات سرية. كذلك، تُشير سرعة إنشاء عينات البرمجيات الخبيثة الجديدة إلى التطوّر السريع للمجموعة، ما يستدعي تأهب الجهات التي قد تكون على قائمة الأهداف المحتملة لهذه العصابة الإجرامية الرقمية.
ولاحظ باحثو كاسبرسكي أحدث نشاط للمجموعة لأول مرة في فبراير 2020 عندما اكتشفوا نُسخة محدّثة من المنفذ الخلفي Bisonal، فلجأوا إلى محرك Kaspersky Threat Attribution Engine بوصفه أداة تحليل للشيفرات البرمجية الخبيثة، من أجل التعرّف على أوجه الشبه بينها وبين برمجيات وظفتها جهات تخريبية معروفة لتحديد المجموعة التي تقف وراء الحملة الهجومية. وأسفرت عمليات التحليل عن ربط هذه العينة بأكثر من 300 عينة أخرى في الواقع.
وظهرت جميع العينات الثلاثمئة بين مارس 2019 وإبريل 2020، بنحو 20 عينة شهريًا، ما يؤكد التطوّر السريع لعصابة CactusPete، التي استمرت في تحسين قدراتها، حيث تمكنت من وضع شيفرة أكثر تعقيدًا، مثل ShadowPad في العام 2020.
وتشير وظيفة المنفذ الخلفي إلى أن المجموعة تسعى وراء معلومات شديدة الحساسية، فبمجرد تثبيته على جهاز الضحية يسمح للمجموعة بتشغيل برمجيات مختلفة بصمت، لتقوم بإنهاء أية عمليات تنزيل، وتنفيذ عمليات تحميل أو تنزيل أو حذف للملفات، فضلًا عن استعادة قائمة وسائط التخزين المتاحة. وبالإضافة إلى ذلك، تنشر الجهة التخريبية، مع تقدّمها بشكل أعمق في النظام المصاب، أداة رصد للوحة المفاتيح تجمع بيانات الدخول وتنزّل برمجيات خبيثة لترقية امتيازات الوصول من أجل الكسب التدريجي للمزيد من القدرة على التحكّم في النظام.
وليس من الواضح كيف يجري تنزيل المنفذ الخلفي في البداية في سياق هذه الحملة، أما في الماضي، فقد اعتمدت CactusPete في الأساس على التصيّد باستخدام رسائل بريد إلكتروني تحتوي على مرفقات خبيثة تصيب الجهاز بمجرد فتحها.
ووصف كونستنتين زيكوف الباحث الأمني الأول في كاسبرسكي، CactusPete بمجموعة التهديدات المتقدمة المستمرة “المثيرة للاهتمام”، معتبرًا أنها ومنفذها الخلفي Bisonal “ليسا متقدمين جدًا”. وأكّد الخبير الأمني أن نجاح العصابة “لا ينبع من التقنية المعقدة أو أساليب التوزيع والتعتيم المتطورة، ولكن من التطبيق المتقن لأساليب الهندسة الاجتماعية”، مشيرًا إلى قدرتها على إصابة أهداف مرموقة تُعزى إلى أن ضحاياها ينقرون على رسائل البريد الإلكتروني المخادعة ويفتحون المرفقات الخبيثة التي تشتمل عليها. وأضاف: “تجسّد هذه الحملة دليلًا واضحًا على استمرار التصيّد في كونه وسيلة فعالة لشن الهجمات الرقمية، ومدعاة أكيدة للشركات لتزويد موظفيها بالتدريب على كيفية اكتشاف رسائل البريد الإلكتروني المفخخة هذه والبقاء على اطلاع دائم على أحدث معلومات التهديدات الرقمية حتى تتمكن من اكتشافها حال ظهورها”.
يمكن الاطلاع على المزيد حول أنشطة CactusPete على Securelist.
ويوصي خبراء كاسبرسكي المؤسسات والشركات باتباع التدابير التالية لحماية أنفسها من CactusPete وغيرها من جهات التهديدات المتقدمة المستمرة:
• تزويد فريق مركز العمليات الأمنية بإمكانية الوصول إلى أحدث المعلومات الخاصة بالتهديدات الرقمية، والبقاء على اطلاع دائم على الأدوات والأساليب والتكتيكات الجديدة والناشئة التي تستخدمها جهات التهديد ومجرمو الإنترنت.
• توظيف حلول EDR، مثل Kaspersky Endpoint Detection and Response، لاكتشاف الحوادث على مستوى النقاط الطرفية والتحقيق فيها ومعالجتها في الوقت المناسب.
• تزويد الموظفين بالتدريب على أساسيات الأمن الرقمي، نظرًا لأن العديد من الهجمات الموجّهة تبدأ بالتصيّد وتعتمد على تقنيات الهندسة الاجتماعية الأخرى. ويمكن تنفيذ عملية محاكاة لهجوم تصيد للتأكّد من قدرة الموظفين على تمييز رسائل البريد الإلكتروني المخادعة.
• توظيف الحلّ Kaspersky Threat Attribution Engine للتمكّن من ربط عيّنات البرمجيات الخبيثة الجديدة بجهات تخريبية معروفة.