فيروس جديد يهدد البنوك العربية

التهديد الجديد هو عبارة عن مجموعة أدوات تجسسية معقدة ممولة من قبل دولة ما، صممت لسرقة البيانات الحساسة.

السمات: الجرائم الرقميةKaspersky Lab
  • E-Mail
فيروس جديد يهدد البنوك العربية (Getty Images)
 رياض ياسمينة بقلم  August 12, 2012 منشورة في 

أعلنت شركة كاسبرسكي لاب عن اكتشافها للفيروس Gauss، التهديد الالكتروني الجديد الذي يستهدف المستخدمين في الشرق الأوسط.

وGauss عبارة عن مجموعة أدوات تجسسية معقدة ممولة من قبل دولة ما، صممت لسرقة البيانات الحساسة مع التركيز على كلمات المرور، بيانات الحساب البنكي في الانترنت، ملفات تعريف الارتباط والإعدادات الخاصة للآلات المصابة.

وتعد وظيفة الصيرفة الالكترونية في حصان طروادة لـGrauss خاصية فريدة لم يعثر عليها في الأسلحة الالكترونية السابقة. 

وقد عثر على Grauss خلال التحريات التي بادر بها الاتحاد الدولي للاتصالات، عقب اكتشاف  Flame، بهدف التقليل من المخاطر التي تشكلها الأسلحة الالكترونية وهي المكون الرئيسي في إحلال السلام الالكتروني في العالم.

ويتخذ الاتحاد الدولي للاتصالات بدعم خبراء كاسبرسكي لاب، خطوات هامة لتعزيز الأمن الالكتروني في العالم من خلال التعاون مع جميع المستثمرين ذوي العلاقة كالحكومات، القطاع الخاص، المنظمات الدولية والمجتمع المدني إضافة إلى الشركاء الرئيسيين في إطار مبادرة ITU-IMPACT.

وقد اكتشف خبراء كاسبرسكي لاب Gauss من خلال تشخيص المعالم المشتركة التي يتقاسمها البرنامج الخبيث مع Flame، ومن بينها المنصات الهندسية الشبيهة، هيكلية البنى، قواعد الشيفرة وسبل الاتصال مع خوادم الأوامر والمراقبة C&C.

حقائق مختصرة:

  • تشير نتائج البحث أن Gauss باشر بشن هجماته خلال شهر سبتمبر 2011.

  • اكتشف لأول مرة في يونيو 2012 بفضل المعلومات التي تم الحصول عليها بعد التحليل والبحث المعمقين لبرمجيات Flame  الخبيثة.

  • اكتشافه أصبح ممكنا بفضل التشابه بينه وبين Flame.

  • جرى تعطيل عمل البنى التحتية لخوادم C&C الخاصة بـGrauss في يوليو 2012 بعد اكتشافه. حاليا يتواجد Grauss في حالة سكون وينتظر لحظة بدء عمل خوادم C&C.

  • ابتداء من أواخر مايو 2012، أكثر من 2500 إصابة سجلت من قبل النظام الأمني المعتمد على الحوسبة السحابية من كاسبرسكي لاب، حيث من المتوقع أن ضحايا Grauss يحصون بعشرات الآلاف.  وهذا المؤشر أدنى مقارنة بضحايا Stuxnet لكنه أعلى بكثير من عدد هجمات Flame وDuqu.

  • Grauss يسرق البيانات المفصلة حول الحواسب المصابة بما فيها تاريخ التصفح، ملفات تعريف الارتباط، كلمات المرور وإعدادات النظام. كما أنه قادر على سرقة البيانات الخاصة بأنظمة الصيرفة الالكترونية وأساليب الدفع.

  • يظهر تحليل Grauss أنه قد صمم لسرقة البيانات من مختلف البنوك اللبنانية بما فيها Bank of Beirut، EBLF، BlomBank، ByblosBank، FransaBank وCredit Libanais. كما أنه يستهدف عملاء Citibank وPayPal.

واكتشف البرنامج الخبيث من قبل خبراء كاسبرسكي لاب في يونيو 2012. ويحمل البرنامج الخبيث اسم عالم الرياضيات الألماني Johann Carl Friedrich Grauss اطلقه عليه مبتكره المجهول. وتحمل مكونات أخرى للبرنامج أسماء علماء الرياضيات مشهورين بمن فيهم  Joseph-Louis Lagrange وKurt Gӧdel. وأظهرت التحريات أن الحوادث الأولى التي شارك فيها Grauss تعود إلى سبتمبر 2011. وفي يوليو 2012 توقفت خوادم C&C التابعة لـGrauss عن العمل.

وتعمل البنى المتعددة في Grauss على جمع البيانات من المتصفحات التي تتضمن المواقع التي زارها المستخدم وكلمات السر. وترسل البيانات المفصلة حول الآلة المصابة إلى المهاجمين بما فيها خواص الشبكة، مشغلات الحاسب وبيانات نظام الإدخال والإخراج الأساسي. كما تستطيع بنية Grauss سرقة البيانات من عملاء البنوك اللبنانية ومنها Bank of Beirut، EBLF، BlomBank، ByblosBank، FransaBank وCredit Libanais. كما أنه يستهدف عملاء Citibank وPayPal.

ويتمتع Grauss بالقدرة على إصابة وسائط التخزين النقالة  USB باستخدام ثغرة LNK التي استغلها Stuxnet وFlame من قبل. وفي الوقت نفسه تتطلب إصابة USB براعة أكبر. ويستطيع Grauss إزالة العدوى من المشغل في ظروف معينة ويستخدم الوسائط النقالة لحفظ البيانات التي جمعها في ملف خفي. كما يقوم حصان طروادة Grauss بتثبيت خط Palida Narrow ولا يعرف الهدف من ذلك بعد.

في حين أن Grauss  شبيه Flame من حيث التصميم إلا أن جغرافية الإصابات مختلفة بشكل ملموس، حيث سجل العدد الأكبر من الإصابات بـ Flame في إيران، في حين كان غالبية ضحايا Grauss في لبنان. كما أن عدد الإصابات مختلف. وانطلاقا من التقارير التي وفرتها شبكة كاسبرسكي للأمان KSN، تمكن Grauss من إصابة 2500 آلة تقريبا. بالمقارنة، أصاب Flame ما يقارب 700 آلة.

على الرغم من أن طريقة إصابة الحواسب لا تعرف إلى الآن، من الواضح أن نشر Grauss يتم بأسلوب آخر يختلف عن Flame وDuqu؛ غير أنه على غرار الأسلحة الالكترونية التجسسية، فإن انتشار Grauss يتم تحت المراقبة ما يدل على طابع السرية والتسلل للهجمات.

في الوقت الراهن، يشخص حصان طروادة Grauss بنجاح ويتم تعطيله وعلاجه بواسطة منتجات كاسبرسكي لاب ويصنف تحت اسم Trojan-Spy.Win32.Crauss.

يمكنك الآن الحصول على آخر الأخبار في صندوق الوارد لبريدك الالكتروني عبر الاشتراك المجاني الآن بـ نشرتنا الالكترونية.

إضافة تعليق

اسم المشترك، حقل إجباري

البريد الإلكتروني، حقل إجباري

Security code

قبل 1923 يوم
محمد رضا حسين الرديني

فعلا انا قبل كذا انسرق من حسابي مبلغ 500الف ريال سعودي