شركة رقمي
نقل من موقع 
اكتشف باحثون أن البرمجية الخبيثة «ون ديلر»، التي تنشرها العصابة الرقمية «لو يو» الناطقة بالصينية، لديها القدرة على تنفيذ عمليات اختراق بهجمات من نوع «مان أون ذا سايد». وتسمح هذه البرمجية للجهة التي تقف وراءها بتعديل حركة البيانات في الشبكة لإدخال حمولات برمجية خبيثة. وتتمثل خطورة هذه الهجمات في عدم حاجتها إلى التفاعل مع الهدف لضمان نجاح الإصابة.مراقبة الضحيةواكتشف باحثو كاسبرسكي في أعقاب النتائج التي توصل إليها فريق شركة «تيم تي 5»، طريقة توزيع جديدة لنشر «ون ديلر».واستخدمت العصابة، على وجه التحديد، أسلوب الهجوم «مان أون ذا سايد» لقراءة حركة البيانات في الشبكة وإدراج رسائل جديدة. ويقوم هذا الأسلوب بمراقبة المهاجم لطلبات المستخدم الضحية المتعلقة بالوصول إلى مَورد معيّن على الشبكة، وذلك عبر قدرته على الاعتراض أو احتلاله موقعًا إستراتيجيًا على شبكة مقدِّم خدمة الإنترنت، ليحاول الردّ على الضحية باستجابة أسرع من استجابة الخادم الشرعي، فإذا فاز المهاجم بهذا «السباق» فسوف يستخدم الجهاز المستهدف البيانات التي يتيحها المهاجم بدلًا من البيانات العادية. وحتى إذا لم يفُز المهاجم بمعظم السباقات، يظلّ بإمكانه تكرار المحاولة حتى ينجح؛ ما يضمن إصابته معظم الأجهزة في نهاية المطاف.الجهات المستهدفةبعد الهجوم، يتلقى الجهاز المستهدف تطبيق تجسس يمكنه جمع قدر هائل من المعلومات. ويستطيع المهاجمون عرض أية ملفات مخزنة على الجهاز وتنزيلها وتشغيل بحث بكلمة أساسية في جميع المستندات. وبشكل عام، تستهدف «لو يو» البعثات الدبلوماسية الأجنبية لدى الصين وأعضاء المجتمع الأكاديمي، بالإضافة إلى شركات الدفاع والخدمات اللوجستية والاتصالات. وتستخدم العصابة البرمجية الخبيثة «ون ديلر» لمهاجمة أجهزة «ويندوز».خادم سيطرةوعادةً ما تحتوي البرمجية الخبيثة على خادم قيادة وسيطرة مشفّر تتحكم العصابة من خلاله في النظام بأكمله. باستخدام المعلومات المتعلقة بهذا الخادم، ومن الممكن حظر عنوان «آي بي» للأجهزة التي تتفاعل معها البرمجية الخبيثة، ما يؤدي إلى تحييد التهديد.لكنّ «ون ديلر» يحتوي على خوارزمية معقدة لتوليد «آي بي» جديد لتحديد الجهاز الذي يجب الاتصال به. ويتضمن ذلك نطاقًا يصل إلى 48 ألف عنوان «آي بي»، ما يجعل من المستحيل تقريبًا على المشغل التحكّم حتى في قدر محدود من العناوين. على أن الطريقة الوحيدة لتفسير هذا السلوك الشبكي الذي يبدو مستحيلًا، تكمن في افتراض أن المهاجمين لديهم قدرات اعتراض كبيرة على امتداد نطاق «آي بي» هذا، ويمكنهم حتى قراءة حزم البيانات الشبكية التي لا تصل إلى أية وجهة.هجوم مدمرويُعدّ الهجوم بأسلوب «مان أون ذا سايد» مدمرًا؛ لأنه لا يتطلب أي تفاعل مع الهدف ليؤدي إلى إصابة ناجحة؛ إذ يكفي وجود جهاز متصل بالإنترنت.وإضافة إلى ذلك، لا يوجد شيء يمكن للمستخدمين القيام به لحماية أنفسهم، عدا توجيه حركة البيانات نحو شبكة أخرى باستخدام شبكة افتراضية خاصة (في بي إن)، لكن هذا الخيار قد لا يكون متاحًا في جميع المناطق، لا سيما في الصين، التي يقع فيها أغلبية ضحايا «لو يو»، ولذلك يرى خبراء كاسبرسكي أن تركيز العصابة ينصبّ في الغالب على الضحايا الناطقين بالصينية والجهات ذات الصلة بالصين. ومع ذلك، لاحظ الباحثون أيضًا وقوع هجمات في دول أخرى مثل ألمانيا والنمسا والولايات المتحدة وجمهورية التشيك وروسيا والهند.تهديد متطوروأكّد سوجورو إيشيمارو الباحث الأمني الأول في فريق البحث والتحليل العالمي لدى كاسبرسكي، أن «لو يو» جهة تهديد متطورة جدًا وقادرة على الاستفادة من الوظائف التي ليست متاحة إلا للعصابات الكبيرة، واصفًا الهجمات التي تُشنّ بأسلوب «مان أون ذا سايد» فائقة التدمير، موضحًا أن الشرط الوحيد المطلوب لمهاجمة الجهاز هو أن يكون متصلًا بالإنترنت، وأن فشل الهجوم في المرة الأولى لا يعني عدم قدرة المهاجمين على تكرار المحاولات حتى ينجحوا.وقال: لا يسعنا إلا التكهّن بسبل تمكنهم من تطوير مثل هذه القدرات، لكن هذه هي طريقة شنّهم هجمات تجسّس خطرة وناجحة على ضحاياهم من الدبلوماسيين والعلماء والموظفين من كبرى القطاعات، مضيفًا: بغض النظر عن طريقة تنفيذ الهجوم، فليس أمام الضحايا المحتملين سبيل للدفاع عن أنفسهم سوى توخّي الحيطة واليقظة وتطبيق إجراءات أمنية قوية، مثل الفحوصات المنتظمة للفيروسات، وتحليل حركة البيانات الشبكية الصادرة، والتسجيل الشامل لهذه الحركات لاكتشاف الحالات غير الطبيعية.إجراءات أمنيةوتوصي كاسبرسكي المؤسسات لحماية أنفسها من هذا التهديد المتقدم وغيره، بتطبيق إجراءات أمنية صارمة تتضمن فحوصات منتظمة للفيروسات، وتحليل حركة البيانات الشبكية الصادرة، والتسجيل الشامل لهذه الحركات لاكتشاف الحالات غير الطبيعية، مؤكدين أهمية إجراء تدقيق على الأمن الرقمي للشبكات ومعالجة أية ثغرات تُكتشف عند محيط الشبكة أو داخلها.كما أوصت بتثبيت حلول لمكافحة التهديدات المتقدمة المستمرة وحلول الكشف عن التهديدات والاستجابة لها، ما يتيح تعزيز القدرات الخاصة باكتشاف التهديدات والتحقيق فيها ومعالجتها في الوقت المناسب، موضحين ضرورة تزويد فريق مركز العمليات الأمنية بإمكانية الوصول إلى أحدث معلومات التهديدات واكتساب المهارات بانتظام من خلال التدريب المهني.، التي تساعد في تحديد الهجمات وإيقافها في مراحلها الأولى، قبل أن يحقق المهاجمون أهدافهم.
مشاركة :
