تعمل الجهات التخريبية، التي تقف وراء التهديدات المتقدمة، بشكل دائم على تطوير أساليب عملها، وبينما يختار بعضها العمل وفق إستراتيجيات متسقة، يتبنى البعض الآخر أساليب وتكتيكات وإجراءات جديدة، من بين تلك الجهات عصابة «لازاروس»، التي تمكنت من تطوير قدراتها الهجومية على الشركات والمؤسسات عبر سلاسل التوريد، واستخدام منظومة MATA متعددة المنصات لأغراض التجسس الرقمي.أهداف جديدةوضمن تقرير موجز ربع سنوي حديث، أصدرته «كاسبرسكي» حول التهديدات الرقمية، جرى الكشف عن هذا التوجه وغيره من التوجهات المتعلقة بالهجمات المتقدمة المستمرة من أنحاء العالم.وتعد «لازاروس» إحدى أنشط الجهات التخريبية في مجال التهديدات الرقمية في العالم، منذ عام 2009 أو قبله.ووقفت هذه العصابة وراء حملات تجسس رقمي كبيرة وهجمات واسعة النطاق ببرمجيات الفدية، ورُصدت تهاجم مؤسسات عاملة في الصناعات الدفاعية وسوق العملات الرقمية، إذ يبدو أنها اختارت تطبيق مجموعة متنوعة من الأدوات المتقدمة الواقعة تحت تصرفها، على أهداف جديدة.تروجان تجسسولاحظ باحثو كاسبرسكي في يونيو الماضي، أن العصابة شنت هجمات على مؤسسات عاملة في صناعات الدفاع باستخدام منظومة MATA متعددة المنصات للبرمجيات الخبيثة، التي يمكنها استهداف ثلاثة أنظمة تشغيل هي «ويندوز»، و«لينيكس»، و«ماك أو أس».وكانت «لازاروس» قد استخدمت هذه المنظومة لمهاجمة العديد من القطاعات لأغراض إجرامية، كسرقة قواعد بيانات العملاء ونشر برمجيات الفدية، لكن باحثي كاسبرسكي تتبّعوا نشاطها في أغراض التجسّس الرقمي، إذ أقدمت على زرع تروجان للتجسس في نسخة من تطبيق يُعرف بأن الضحية المستهدفة تستخدمه، وهو أسلوب تشتهر به هذه العصابة.ولم تكن هذه المرة هي الأولى، التي تهاجم فيها «لازاروس» الصناعات الدفاعية؛ إذ كانت قد نفذت حملة سابقة باسم «ثريت نيدل» بطريقة مماثلة منتصف العام الماضي.قدرات هجوميةرُصدت «لازاروس» أيضا، تعزز قدرات الهجوم على أهدافها عبر سلاسل التوريد باستخدام مجموعة «ديث نوت» المحدثة من الأدوات التخريبية، التي تتألف من نسخة محدثة من «بلندنج كان»، البرمجية الخبيثة التي أبلغت عنها في السابق وكالة الأمن الرقمي وأمن البنية التحتية الأمريكية.ووجد باحثو كاسبرسكي حملات استهدفت مركز أبحاث في كوريا الجنوبية وشركة لحلول مراقبة الأصول التقنية.ثغرات أمنيةففي حالة مركز الأبحاث، وجد باحثو كاسبرسكي أن «لازاروس» طورت سلسلة إصابة انبثقت من برمجية أمنية رسمية كورية وجعلوها تنشر برمجيات خبيثة، أما في الحالة الثانية فكان الهدف شركة في لاتفيا تعمل على تطوير حلول مراقبة للأصول التقنية، ما يعد ضحية غير تقليدية لعصابة الإنترنت التخريبية.واستخدمت العصابة، في إطار سلسلة الإصابة، أداة تنزيل تسمى «راكيت» وقّعت على موثوقيتها باستخدام شهادة مسروقة، كما اخترقت خوادم ويب عبر ثغرات أمنية وحملت عليها العديد من الشيفرات النصية لفرز الغرسات الخبيثة والتحكّم فيها على الأجهزة، التي تنجح في اختراقها.تهديدات متقدمةوقال الباحث الأمني الأول في فريق البحث والتحليل العالمي لدى كاسبرسكي أرييل جونجيت، إن هذه التطورات الأخيرة تسلط الضوء على أمرين مهمين؛ أولهما أن «لازاروس» ما زالت مهتمة باستهداف الصناعات الدفاعية وتتطلع إلى توسعة قدراتها بهجمات تنفذ عبر استهداف أضعف الحلقات في سلاسل التوريد، مشيرًا إلى أنها ليست الوحيدة، التي شوهدت تشن هجمات عبر سلاسل التوريد.وأوصى باحثو كاسبرسكي بتنفيذ عدد من التدابير لتجنب الوقوع ضحية لهجوم موجّه، سواء من قبل جهة تهديد معروفة أو مجهولة، وأهمها صقل مهارات فريق الأمن الرقمي للتعامل مع أحدث التهديدات الموجهة، وذلك من خلال التدريب المقدم من كاسبرسكي عبر الإنترنت، الذي طوره خبراء فريق البحث والتحليل العالمي، وتنفيذ حلول الكشف عن التهديدات والاستجابة لها، إضافة إلى تطبيق حل أمني على المستوى المؤسسي قادر على الكشف عن التهديدات المتقدمة على مستوى الشبكات في مرحلة مبكرة.
مشاركة :