طرق الحماية من برمجية خبيثة تستهدف الشرق الأوسط تتسبب في مسح وإتلاف البيانات

تعمل هذه البرمجية كالبرمجية الخبيثة الأخرى سيئة السمعة "شمعون" التي استهدفت العديد من مؤسسات الشرق الأوسط.

السمات: الجرائم الرقميةKaspersky Labالإماراتالسعودية
  • E-Mail
طرق الحماية من برمجية خبيثة تستهدف الشرق الأوسط تتسبب في مسح وإتلاف البيانات حماية البيانات
 رياض ياسمينة بقلم  March 7, 2017 منشورة في 

اكتشف فريق الأبحاث والتحليلات العالمي التابع لشركة كاسبرسكي لاب برمجية خبيثة جديدة ومتطورة تتسبب في مسح وإتلاف البيانات تعرف باسم "StoneDrill".

وتعمل هذه الأخيرة، شأنها شأن البرمجية الخبيثة الأخرى سيئة السمعة "شمعون"، على إتلاف كل المحتوى المخزن على جهاز الكمبيوتر المصاب. وهذه البرمجية الخبيثة المكتشفة مؤخراً مزودة بتقينات متقدمة لمكافحة التتبع ومدعّمة بوسائل للتجسس في ترسانتها الهجومية. وبالإضافة لجملة أهدافها المرتكزة في الشرق الأوسط، تم مؤخراً اكتشاف هدف آخر لبرمجية "StoneDrill" في أوروبا، حيث لم يسبق أن تمكنت مختبرات التحليل البحثية (Wildlist) من اكتشاف العناصر البرمجية الماسحة المستخدمة في هجمات الشرق الأوسط.

في العام 2012، أحدثت برمجية "شمعون" التي عرفت كذلك باسم (Disttrack) الماسحة للبيانات ضجة كبيرة بعد أن تمكنت من مهاجمة وتعطيل 35 ألف جهاز كمبيوتر في شركات النفط والغاز في الشرق الأوسط. وهذا الهجوم المدمر وضع ما نسبته 10% من إمدادات النفط في العالم عرضة لمخاطر محتملة. غير أن هذه الحادثة كانت فريدة من نوعها وسرعان ما تلاشى العامل الرئيسي المسبب لها وتوارى عن الأنظار.  وفي أواخر العام 2016 ظهر هذا العامل مجدداً على شكل حملة خبيثة عرفت باسم (Shamoon 2.0) ولكنها كانت أوسع انتشاراً وأكبر تأثيراً كونها الإصدار المحدث كلياً عن نسخة العام 2012 .

وفي أثناء رصد وتتبع هذه الهجمات، اكتشف باحثو كاسبرسكي لاب صدفة البرمجية الخبيثة التي صممت على غرار "نمط" برمجية  (Shamoon 2.0) الخبيثة. ولكنها كانت في الوقت ذاته مختلفة إلى حد كبير عن إصدار "شمعون"  وتفوقها تطوراً. أطلق الباحثون عليها اسم "StoneDrill".

"StoneDrill" – برمجية خبيثة ترتبط بشبكات خبيثة مدمرة أخرى

لم يزل من غير المعروف بعد كيفية دس ونشر برمجية "StoneDrill" الخبيثة، إلا أنها بمجرد الوصول إلى الجهاز المصاب، تقوم بالولوج إلى ذاكرة المتصفح المفضل للمستخدم. وخلال هذه المرحلة، تستخدم اثنتين من التقنيات المتطورة المضادة للمحاكاة بهدف تضليل الحلول الأمنية المثبتة على جهاز الضحية. ومن ثم تبدأ البرمجية الخبيثة بتدمير ملفات القرص الصلب للكمبيوتر.

تم حتى الآن تحديد اثنين على الأقل من أهداف برمجية "StoneDrill" المدمرة للبيانات، أحدهما يقع في الشرق الأوسط والآخر في أوروبا.

وإلى جانب نمط مسح البيانات، اكتشف باحثو كاسبرسكي لاب أيضا برنامج التسلل من الباب الخلفي (Backdoor) لبرمجية  "StoneDrill" الخبيثة، والذي على ما يبدو أنه قد صمم من قبل نفس واضعي رموز التشفير (Code) الخبيثة واستخدامه لأغراض التجسس. اكتشف الخبراء أربع لوحات للتحكم والسيطرة تم استخدامها من قبل المهاجمين لتشغيل عمليات التجسس بمساعدة برنامج التسلل من الباب الخلفي (Backdoor) لبرمجية  "StoneDrill" الخبيثة ضد عدد غير معروف من الأهداف.

وقد يكون  الأمر الأكثر إثارة للاهتمام حول برمجية "StoneDrill" المدمرة يكمن في أنها تبدو على صلة بعناصر خبيثة ماسحة وعناصر تجسس أخرى لوحظ وجودها سابقاً. وعندما اكتشف باحثو كاسبرسكي لاب برمجية "StoneDrill" بمساعدة أنظمة (Yara) الصارمة التي تم إنشاؤها للتعرف على العينات المجهولة من برمجية "شمعون" الخبيثة، أدركوا بأنهم كانوا يبحثون عن شيفرة برمجية خبيثة تبدو وكأنها قد صممت على شكل نسخة مستقلة عن برمجية "شمعون" الخبيثة.

ومع أن كلا العائلتين - "شمعون" و"StoneDrill"- لا تشتركان في أساس صيغة رموز التشفير ذاتها، إلا أن عقلية واضعي هاتين البرمجيتين الخبيثيتن وأسلوبهما البرمجي يبدو متشابهاً إلى حد بعيد. ولهذا كان من المستحيل تقريباً تشبيه برمجية "StoneDrill" المدمرة مع برمجية "شمعون" المطورة باستخدام أنظمة (Yara) الصارمة.

لوحظ أيضاً وجود تشابه في رموز التشفير مع الإصدار الأقدم للبرمجية الخبيثة المعروفة، ولكن هذه المرة ليس بين "شمعون" و "StoneDrill". في الواقع تستخدم برمجية "StoneDrill" المدمرة بعض أجزاء رموز التشفير التي اكتشفت سابقاً في (NewsBeef APT)، والمعروفة أيضاً باسم (Charming Kitten)، وهي حملة خبيثة أخرى كانت شهدت نشاطاً في السنوات القليلة الماضية.

 وقال محمد أمين حاسبيني، باحث أمني أول، فريق الأبحاث والتحليلات العالمي في كاسبرسكي لاب، "لقد كنا مهتمين جداً بدراسة أوجه الشبه وإجراء العديد من المقارنات بين هذه الحملات الخبيثة الثلاث. والسؤال الذي طرحناه هو، هل كانت برمجية "StoneDrill" بمثابة عنصر آخر مدمّر للبيانات استخدمت من قبل عامل التخريب "شمعون"؟ أم أن البرمجيتين الخبيثتين "StoneDrill" و"شمعون" هما مجموعتين مختلفتين وغير مرتبطتين وتم تصميمها لغرض استهداف المؤسسات السعودية في نفس الوقت؟ أو أنهما مجموعتين منفصلتين، ولكنهما يشتركان في الأهداف ذاتها؟

وتوصلنا إلى أن النظرية الأخيرة هي الأكثر ترجيحاً: حيث أنه عندما يتعلق الأمر بالمؤشرات التي جمعها المحللون في البرمجية الخبيثة، فيمكننا القول بأنه في حين أن برمجية "شمعون" تحتوي على مصادر اللغة العربية لليمن، فإن "StoneDrill" تضم معظم مصادر اللغة الفارسية. وقد يميل محللو الشؤون الجيوسياسية إلى القول بأن كلا من إيران واليمن طرفان رئيسيان في الحرب الناشبة بالوكالة بين إيران والمملكة العربية السعودية. والمملكة العربية السعودية هي الدولة التي تتمركز فيها معظم ضحايا هذه الهجمات. ونحن بالطبع، لا نستبعد احتمال أن تكون هذه المؤشرات التي جمعها المحللون في البرمجية الخبيثة ليست سوى تحذيرات وتنبيهات وهمية."

تمكنت منتجات كاسبرسكي لاب من اكتشاف ومنع برمجيات خبيثة ذات صلة بهجمات "شمعون" و(StoneDrill) و(NewsBeef).

من أجل حماية شركاتكم من الهجمات الإلكترونية المحتملة، ينصح خبراء أمن كاسبرسكي لاب بما يلي:

•عمل تقييم أمني لشبكة التحكم (على سبيل المثال، إجراء تدقيق أمني واختبار الاختراق وتحليل الثغرات الأمنية) لتحديد والتخلص من أي ثغرات أمنية. مراجعة السياسات الأمنية للموردين الخارجيين والطرف الثالث في حال كانت تتيح دخولاً مباشراً لشبكة التحكم.

•طلب معلومات استخباراتية خارجية: إن الحصول على معلومات استخباراتية من الموردين المشهورين يساعد المؤسسات على التنبؤ بالهجمات المستقبلية على البنية التحتية الصناعية للشركة. كما تقدم فرق الاستجابة في الحالات الطارئة، مثل فريق الاستجابة لطوارئ الكمبيوتر (ICS CERT)، لدى كاسبرسكي لاب بعضاً من استخبارات المعلومات التي تغطي مختلف جوانب القطاع مجاناً.

•تدريب موظفيكم وإيلاء اهتمام خاص بموظفي التشغيل والهندسة لديكم وتوعيتهم حول آخر التهديدات والهجمات المستجدة.

•توفير الحماية داخل وخارج البيئة المحيطة: لذا لابد من توفر استراتيجية أمنية مناسبة لتطوير موارد كبيرة لكشف أي هجوم والرد عليه، ولصد أي هجوم قبل أن يصل إلى أهداف بالغة الأهمية.

•تقييم وسائل الحماية المتقدمة: بما في ذلك التدقيق المنتظم لتكامل وحدات التحكم وإجراء مراقبة متخصصة على نشاط الشبكة وذلك لتعزيز الأمن الشامل للشركة والحد من فرص حدوث اختراق ناجح، حتى لو كانت بعض الوصلات ضعيفة بطبيعتها ولا يمكن تصحيحها  أو إزالتها.

يمكنك الآن الحصول على آخر الأخبار في صندوق الوارد لبريدك الالكتروني عبر الاشتراك المجاني الآن بـ نشرتنا الالكترونية.

إضافة تعليق

اسم المشترك، حقل إجباري

البريد الإلكتروني، حقل إجباري

Security code