"طلب تأشيرة مزور".. للتجسس على هيئات دبلوماسية في أوروبا
كشفت تقنيات كاسبرسكي عن برمجيات خبيثة جديدة تستهدف هيئات دبلوماسية في أوروبا بالتجسس وتتمثل أداة نشرها الأولية بطلب مزور للحصول على تأشيرة.
وأشارت التحليلات إلى أن برمجية التجسس هذه، والتي اكتشفت أحدث هجماتها في نوفمبر 2019، تستخدم قاعدة الشيفرة البرمجية نفسها المستخدمة في التروجان COMPFun سيئ السمعة.
وينصبّ تركيز برمجيات التجسس على الانتشار عبر أجهزة الضحايا لجمع البيانات ونقلها إلى الجهة القائمة وراءها، ويجري استخدام هذه البرمجيات على نطاق واسع من قبل مختلف جهات التهديد ويتناسب خطرها مع أهمية الجهة التي تقع ضحية لها؛ سواء كانت جهة حكومية أو من الجهات المعنية بالبنى التحتية الحرجة، كما يمكن أن تشكل المعلومات المسروقة جرّاء التجسس قيمة كبيرة للساعين وراءها ويُحدث الكشف عنها تغيّرات بالغة في المشهد ذي العلاقة.
وتوجد أوجه شبه كبيرة بين البرمجية الخبيثة المكتشفة والتروجانCOMPFun، الذي اكتشف أول مرة في العام 2014، وشهد قطاع الأمن الرقمي نسخته التالية، Reductor، في 2019، وتتضمن وظائف التروجان الجديدة القدرة على معرفة الموقع الجغرافي للهدف، وجمع البيانات المتعلقة بالمضيف والشبكة، وتسجيل ضربات المفاتيح على لوحة المفاتيح، والتقاط محتوى الشاشة.
وفقًا لخبراء كاسبرسكي فإن هذا التروجان مدجّج بالإمكانيات وقادر على الانتشار على أجهزة التخزين المحمولة. وتحتوي أداة نشره الخاصة بالمرحلة الأولى،والتي يجري تنزيلها من الشبكة المحلية LANالمشتركة، على اسم الملف المتعلق بعملية طلب التأشيرة، والذي يتناسب مع الهيئة الدبلوماسية المستهدفة. ويُحتفظ بالتطبيق الأصلي مشفرًا داخل أداة التوزيع وبجانبالبرمجية الخبيثة الخاصة بالمرحلة التالية والمبنية بمعمارية من 32 و64 بت.
وتربط كاسبرسكي التروجان COMPfun الأصلي بجهة التهديدات المتقدمة المستمرة Turla، وذلك استنادًا إلى طبيعة الضحايا وبمستوى متوسط إلى منخفض من الثقة.
وقال كيرت بومغارتنر الباحث الأمني الرئيس لدى كاسبرسكي، إن مشغلي البرمجيات الخبيثة أبقوا تركيزهم على الهيئات الدبلوماسية واختيار طلب التأشيرة المخزَّن في دليل مشترك داخل الشبكة المحلية،مشيرًا إلى أن ناقل الإصابة الأولي "عمل لصالحهم"، وأضاف: "تدلّ قدرة مطوريCOMPFunالمتمثلة في الجمع بين اتّباع نهج متخصص للوصول إلى أهدافهم، وبلورة أفكارهموتنفيذها،على كونهم فريقًا تخريبيًا قويًا".
وتقترح كاسبرسكي اتباع الإجراءات التالية لحماية مختلف الجهات من تهديدات مثل التروجانCOMPfun:
• إجراء عمليات تدقيق أمنية منتظمة للبنية التحتية التقنية في المؤسسة.
• استخدام حلّأمني موثوق به لحماية النقاط الطرفية
• استخدام حلّ أمني موثوق به للكشف عن التهديدات والتحقيق فيها والاستجابة لها عند النقاط الطرفية في الوقت المناسب
• استخدام حلّ أمني على المستوى المؤسسي يكون قادرًا على الكشف عن التهديدات المتقدمة الشبكية في مرحلة مبكرة.