إي ميل

برمجية خبيثة "شبح" غير مرئية تستهدف المصارف في العالم

نشرت في: آخر تحديث:

سمعي
نايلة الصليبي - securelist.com
إعداد: نايلة الصليبي تابِع
5 دقائق

تنقل نايلة الصليبي في "إي ميل" تحذير "كاسبرسكي لاب"المتخصص في أمن المعلومات، من برمجية خبيثة خفية "شبح" تستهدف 140 مؤسسة مصرفيةحكومية وشركات اتصالات في العالم ومن بينها بعض الدول العربية.

إعلان
كشف مختبر الأمن "كاسبرسكي لاب"، برمجية خبيثة غير مرئية أو شبح  بالصدفة، وذلك خلال فحص روتيني لخوادم مصارف ومنظمات حكومية وشركات اتصالات تعمل بنظام "ويندوز". تلك البرمجيات الخبيثة لا تثبت ملفات في الأجهزة و لا تترك بصمات اختراقها للأنظمة المعلوماتية.
 
فهذه البرمجيات الخبيثة غير المرئية تختبئ في ذاكرة الأنظمة، وطبيعة هذه الأدوات تجعل من الصعب الكشف عن تفاصيل أي هجوم. إذ في اجراءات التحقيق العادية يقوم المحقق في الجرائم الإلكترونية بفحص الآثار والعينات التي يتركها القراصنة خلفهم في الشبكة. وعادة تبقى البيانات المخزنة في القرص الصلب متوفرة لمدة عام  بعد أي عملية اختراق،  ولكن في هذا النوع من عمليات الاختراق تتم إزالة كافة البرمجيات الخبيثة المتخفية في الذاكرة عند أول عملية إعادة تشغيل لجهاز الكمبيوتر. وهنا، تمكن الخبراء من اكتشاف البرمجية الخبيثة الخفية قبل إعادة إطلاق الأجهزة.
 
تتميز البرمجية الخبيثة التي عثر عليها خبراء امن "كاسبرسكي لاب" باستخدامها أدوات قرصنة عادية، فبعد تمكن القرصان من اختراق جهاز ما، يضع سكريبت  مكتوب بشيفرة Powershell  في قاعدة بيانات التسجيل "ويندوز" . عند تفعيل  هذا البرنامج السكريبت ، ينشئ بابا خلفيا و ويقوم بتحميل Meterpreterمتخفيا في الذاكرة. وكشف خبراء الأمن أن هذه البرمجية قد دمجت فيها شيفرات أدوات شرعية لاختبار حماية ويندوز PowerShell, Metasploit, Mimikatz وتم تحويلها إلى برمجية خبيثة لحقنها في ذاكرة الكمبيوتر، اعتمدت استخدام شيفرة الاختراق لنظام "ويندوز "Meterpreter.
فتتخفى في كواليس الذاكرة وتقوم خلسة برصد وجمع كلمات المرور الخاصة بمدراء النظام المعلوماتي Administrator ، تتيح للقراصنة بعد ذلك التحكم عن بعد بأنظمة المؤسسة المخترقة ،عن طريق أنفاق اتصال تم انشاؤها مع خوادم التحكم و السيطرة للتحكم بالبرمجية الخبيثة و تنفذ الأوامر من خلال  برنامج الأمر Netsh، الذي هو جزء من الأدوات العادية في  خوادم Windows.
جزء من الشيفرة المسؤولة عن تحميل Meterpreter من "adobeupdates.sytes
جزء من الشيفرة المسؤولة عن تحميل Meterpreter من "adobeupdates.sytes securelist.com
 
أوضح تقرير "كاسبرسكي لاب" أن هذه البرمجية الخفية استهدفت أكثر من 140  شبكة معلوماتية من شبكات الشركات ضمن نطاق قطاعات الأعمال، والمصارف. وتركزت مواقع معظم المؤسسات المستهدفة  في الولايات المتحدة وفرنسا والإكوادور وكينيا والمملكة المتحدة وروسيا، وأيضا بعض الدول العربية كالمملكة العربية السعودية، تونس ،مصر، المغرب وليبيا.
 
يجهل خبراء "كاسبرسكي لاب" حتى الآن من يقف وراء هذه الهجمات، إذ إن استخدام البرمجيات المفتوحة المصدر المحتوية على ثغرات أمنية وبرامج ويندوز شائعة جدا. كذلك فإن النطاقات المجهولة لمراكز خوادم التحكم والسيطرة  Whois يجعل من المستحيل تقريبًا تحديد الجهات المسؤولة عن الهجمات، أو معرفة ما إذا كانت عصابة فردية أو مجموعة عصابات تشترك في استخدام الأدوات ذاتها أو اجتمعت على هدف واحد وتتماهى بهجمات القراصنة التي تدعمها دول.
كذلك فإن طبيعة هذه البرمجية الخبيثة  الأدوات المستخدمة تشبه  حسب تقرير "كاسبرسكي لاب" أساليب  قراصنة   GCMAN و Carbanak.
 
هذا و لم يحدد تقرير "كاسبرسكي لاب"  الهدف الأساسي لهذه الاختراق واعدا بكشف التفاصيل في شهر أبريل 2017 خلال Security Analyst  Summit.. و هذا الأمريذكرني بتحذير لـكاسيرسكي لاب  قدمته في"إي ميل" في مايو 2016 عن "فيروس يخترق الصرّاف الآلي و يستولي على أموال عملاء المصارف" .

يمكنكم التواصل معي عبر صفحة برنامج "إي ميل" مونت كارلو الدولية على فيسبوك، غوغل بلاس و تويتر
@salibi
وعبر موقع مونت كارلو الدولية مع تحيات نايلة الصليبي

الرسالة الإخباريةأبرز الأحداث الدولية صباح كل يوم

ابق على اطلاع دائم بالأخبار الدولية أينما كنت. حمل تطبيق مونت كارلو الدولية

Download_on_the_App_Store_Badge_AR_RGB_blk_102417 google-play-badge_AR