كشف باحثون لدى كاسبرسكي عن حملة تجسس إلكتروني معقدة تهدف إلى سرقة المعلومات من كيانات دبلوماسية وحكومية وعسكرية في بلدان بجنوب آسيا. استمرت الحملة ما يقرب من ستّ سنوات وكانت لها صلات بهجمات أخيرة تم اكتشافها في المنطقة. ودفع المزيد من التحقيق الذي ركّز على الأدوات والأساليب المستخدمة في الحملة الباحثين إلى استنتاج مفاده أن الجهة الكامنة وراء الحملة الهجومية هي مجموعة التجسس الإلكتروني Platinum، التي ساد الاعتقاد بأنها كانت قد بادت وانتهت، نظراً للجوئها إلى استخدام أسلوب “ستيغانوغرافيا”، أو إخفاء المعلومات، كي تحافظ على نشاطها التخريبي غير مرئي لفترة طويلة.
ويحذّر الباحثون الأمنيون، منذ مدّة، من مخاطر الستيغانوغرافيا Steganography، هو ممارسة تقوم على نقل البيانات بتنسيق مخفيٍ حيث يتم تماماً إخفاء حقيقة إرسال البيانات. ويختلف هذا الأسلوب عن “التعمية” Cryptography، الذي يُخفي البيانات فقط دون أن يُخفي إرسالها.
ويمكن لجهات التجسس عبر الإنترنت البقاء في نظام مصاب لفترة طويلة دون إثارة أي شكوك، من خلال لجوئهم إلى الستيغانوغرافيا، وهو الأسلوب الذي مكّن Platinum، مجموعة التهديدات الإلكترونية التخريبية الناشطة ضد الحكومات والمنظمات ذات الصلة في جنوب وجنوب شرق آسيا، من البقاء مخفية لسنوات، بعدما تمّ الإبلاغ عن آخر نشاط معروف لها في العام 2017.
وجرى في عملية Platinum المكتشفة حديثًا تضمين أوامر البرمجيات الخبيثة في شيفرة HTML خاصة بأحد مواقع الويب. وبما أن مفتاحا “التبويب” Tab والمسافة على لوحة المفاتيح لا يغيّران كيفية انعكاس شيفرة HTML على صفحة ويب، قامت الجهة التخريبية ببرمجة الشيفرة التخريبية عبر ترميز الأوامر في تسلسل محدّد لهذين المفتاحين. ونتيجةً لذلك، كان من شبه المستحيل اكتشاف الأوامر في حركة مرور البيانات عبر الشبكة، إذ بدا أن البرمجية الخبيثة تمكنت من الوصول إلى موقع ويب غير مشكوك فيه ولم يكن وصولها هذا ملحوظاً في إجمالي حركة المرور.
وكان على الباحثين، من أجل الوصول إلى البرمجية الخبيثة هذه، التحقّق من البرمجيات التي كانت قادرة على تحميل ملفات إلى الجهاز، فلاحظوا أن من بينها برمجية تتصرف بطريقة غريبة؛ إذ وصلت مثلاً إلى خدمة السحابة العامة Dropbox وتمّ برمجتها للعمل في أوقات معينة فقط. وأدرك الباحثون فيما بعد أن هذا الأمر قد تمّ لإخفاء نشاط البرمجية الخبيث الذي كان يُنفّذ بين العمليات التي تتمّ خلال ساعات العمل العادية، عندما لا يثير سلوكها الشكّ. في الواقع، كان برنامج تنزيل الملفات يقوم نقل البيانات والملفات بسرية من الجهاز المصاب وإليه.
ووصف أليكسي شولمين الباحث الأمني في كاسبرسكي، حملات Platinum، طوال وجودها المعروف، بالدقيقة والمتقنة، معتبراً أن البرمجية الخبيثة المستخدمة في هذا الهجوم ليست شيئاً مختلفاً عن ذلك، وقال: “بصرف النظر عن كون المجموعة التخريبية لجأت إلى أسلوب الستيغانوغرافيا، فقد كان لديها مزايا أخرى سمحت لها بالتحرّك بعيداً عن الرقابة الأمنية لفترة طويلة”.
وأضاف: “أمكن لهذه البرمجية نقل الأوامر لا من مركز القيادة وحده، ولكن أيضاً من جهاز مصاب إلى آخر. وبهذه الطريقة، تمكّنت من الوصول إلى أجهزة كانت جزءاً من البنية التحتية نفسها ولكنها غير متصلة بالإنترنت، مثل الأجهزة التي تمّت مهاجمتها. وتؤكّد قدرة الجهات التخريبية مثل Platinum على تطبيق أسلوب إخفاء المعلومات يشكّل علامة على أن التهديدات المستمرة المتقدمة تزيد من تطوّر أساليبها كثيراً لتتمكّن من التحرّك بعيداً عن الرقابة، وعلى الشركات الأمنية وضع ذلك في الاعتبار عند بناء حلولهم الأمنية وتطويرها”.
وتوصي كاسبرسكي باتخاذ التدابير التالية لتقليل مخاطر الوقوع ضحية لعمليات تجسس إلكتروني متطورة:
• تدريب الموظفين على الوعي الأمني وشرح طرق التعرف على التطبيقات أو الملفات التي يحتمل أن تكون خبيثة. ويجب على الموظفين عدم تنزيل أية تطبيقات أو تشغيلها من مصادر غير موثوق بها أو غير معروفة.
• توظيف الحلول المتخصصة مثل Kaspersky Endpoint Detection and Response للكشف عن التهديدات عند مستوى النقاط الطرفية والتحقيق فيها ومعالجتها في الوقت المناسب.
• توظيف حلّ أمني مؤسسي قادر على اكتشاف التهديدات المتقدمة على مستوى الشبكة في مرحلة مبكرة، مثل Kaspersky Anti Targeted Attack Platform.
• منح فريق مركز العمليات الأمنية القدرة على الوصول إلى أحدث المعلومات الخاصة بالتهديدات، لمواكبة الأدوات والتقنيات والأساليب الجديدة والناشئة المستخدمة من الجهات التخريبية.