متابعات ابراهيم البلوشي
حددت كاسبرسكي حملة تجسس قائمة على برمجية مجهولة تستهدف في الأصل الأجهزة العاملة بالنظام “أندرويد”. وأدرجت هذه البرمجية الخبيثة في أحد تطبيقات السفر الخاصة بالمستخدمين في الهند، في حين كشفت نظرة فاحصة عن ارتباط الحملة بتروجان الوصول عن بُعد GravityRAT سيئ السمعة، والمعروف باستخدامه لتنفيذ أنشطة تجسسية وتخريبية في الهند. وأكّد تحقيق إضافي أجرته كاسبرسكي أن العصابة الرقمية التي تقف وراء البرمجية الخبيثة استثمرت جهودًا إضافية في ابتكار أداة تخريبية متعددة المنصات باتت تستهدف أنظمة التشغيل “ويندوز”، فضلًا عن استهداف نظامي التشغيل “أندرويد” و”ماك أو إس” في حملتها التي ما زالت نشطة لحدّ الآن.
وكان باحثون في مجال الأمن الرقمي نشروا في العام 2018 لمحة عامة عن التطورات التي مرّ بها التروجان GravityRAT، الذي استُخدم في هجمات موجهة استهدفت جهات خدمية عسكرية في الهند. وتبيّن وفقًا لبيانات جمعتها كاسبرسكي، أن هذه الحملة كانت نشطة منذ العام 2015 على الأقل، وأنها تركّزت في الأساس على نظام التشغيل “ويندوز”. لكن الوضع تغير منذ عامين بعد أن خضع هذا التروجان للتطوير ليستهدف أيضًا الأجهزة العاملة بالنظام “أندرويد”.
ومثلت الوحدة البرمجية التي جرى تحديدها دليلاً آخر على التغيير الذي شهده التروجان. ولم تحمل هذه الوحدة أيًا من سمات البرمجيات التجسسية التي تستهدف النظام “أندرويد”، إذ يجب اختيار تطبيق معين لتنفيذ أغراض خبيثة، ولا تستند هذه الشيفرة الخبيثة، كما هو الحال غالبًا، على الشيفرة المستخدمة في تطبيقات التجسس المعروفة سابقًا، ما حفّز الباحثين في كاسبرسكي على مقارنة الوحدة بعائلات التهديدات المتقدمة المستمرة المعروفة في الأصل.
كشف تحليل أجري على عناوين القيادة والسيطرة المستخدمة في الحملة، عن عدّة وحدات خبيثة إضافية تتعلق بدورها بالجهة التخريبية الكامنة وراء GravityRAT. وعُثر بشكل عام على أكثر من 10 إصدارات من GravityRAT، وُزّعت تحت ستار تطبيقات رسمية، مثل تطبيقات المشاركة الآمنة للملفات التي من شأنها أن تساعد في حماية أجهزة المستخدمين من تشفير التروجانات أو مشغلات الوسائط. ومكّنت هذه الوحدات المجموعة، عند استخدامها معًا، من الاستفادة من أنظمة التشغيل “ويندوز” و”ماك أو إس” و”أندرويد”.
كانت قائمة المهام الوظيفية الممكَّنة في معظم الحالات اعتيادية ومتوقعة من برمجيات التجسّس، التي كان بوسعها الحصول على بيانات الجهاز وقوائم جهات الاتصال وعناوين البريد الإلكتروني وسجلات المكالمات والرسائل النصية القصيرة. وكانت بعض التروجانات تبحث أيضًا عن ملفات بامتدادات تتنوع بين jpg وjpeg وlog وpng وtxt وpdf وxml وdoc وxls وxlsx وppt وpptx وdocx وopus في الجهاز للحصول عليها وإرسالها أيضًا خادم القيادة والسيطرة.
وأفادت تحقيقات كاسبرسكي بأن الجهة التخريبية الكامنة وراء GravityRAT تواصل الاستثمار في قدراته التجسسية، بحسب تاتيانا شيشكوفا الخبيرة الأمنية في الشركة، والتي قالت إن القدرة الماكرة على التنكّر وعلى ضرب عدد متنوع من أنظمة التشغيل “ترجّح وقوع المزيد من الحوادث التي تقف هذه البرمجية الخبيثة وراءها في منطقة آسيا المحيط الهادئ، مع دعم التوجه الأوسع المتمثل في أن الجهات التخريبية لا تركز بالضرورة على إنتاج برمجيات خبيثة جديدة، وإنما تطوير برمجيات خبيثة أثبتت قدرتها التخريبية، وذلك سعيًا منها لتحقيق أكبر قدر ممكن من النجاح”.
وتوصي كاسبرسكي باتخاذ الإجراءات الأمنية التالية للبقاء في مأمن من تهديدات برمجيات التجسس:
• تزويد فريق مركز العمليات الأمنية بإمكانية الوصول إلى أحدث المعلومات الخاصة بالتهديدات. وتُعتبر منصة Kaspersky Threat Intelligence Portal نقطة واحدة إلى هذه المعلومات التي جمعتها كاسبرسكي على مدار أكثر من 20 عامًا وتشمل بيانات الهجمات الرقمية. ويمكن الوصول مجانًا إلى مزايا المنصة التي تمكّن المستخدمين من فحص الملفات وعناوين الويب وعناوين بروتوكول الإنترنت.
• تنفيذ حلول EDR، مثل Kaspersky Endpoint Detection and Response، لاكتشاف التهديدات عند مستوى النقاط الطرفية والتحقيق في الحوادث ومعالجتها في الوقت المناسب.
• استخدام حل أمني للنقاط الطرفية يتمتع بإمكانية فرض الرقابة على تطبيقات الهاتف المحمول، لحماية جميع أجهزة المنشأة، بما فيها تلك العاملة بالنظام “أندرويد”، من التطبيقات الخبيثة، ما يضمن إمكانية تثبيت التطبيقات الموثوق بها فقط والواردة في قائمة بيضاء معتمدة على الأجهزة التي يمكن عبرها الوصول إلى بيانات المنشأة الحساسة.
يمكن الاطلاع على التقرير الكامل على الصفحة Securelist لمزيد من التفاصيل حول الثغرات الجديدة.