برمجية خبيثة "شبح" غير مرئية تستهدف المصارف في العالم

كشف مختبر الأمن "كاسبرسكي لاب"، برمجية خبيثة غير مرئية أو شبح  بالصدفة، وذلك خلال فحص روتيني لخوادم مصارف ومنظمات حكومية وشركات اتصالات تعمل بنظام "ويندوز". تلك البرمجيات الخبيثة لا تثبت ملفات في الأجهزة و لا تترك بصمات اختراقها للأنظمة المعلوماتية.

 

فهذه البرمجيات الخبيثة غير المرئية تختبئ في ذاكرة الأنظمة، وطبيعة هذه الأدوات تجعل من الصعب الكشف عن تفاصيل أي هجوم. إذ في اجراءات التحقيق العادية يقوم المحقق في الجرائم الإلكترونية بفحص الآثار والعينات التي يتركها القراصنة خلفهم في الشبكة. وعادة تبقى البيانات المخزنة في القرص الصلب متوفرة لمدة عام  بعد أي عملية اختراق،  ولكن في هذا النوع من عمليات الاختراق تتم إزالة كافة البرمجيات الخبيثة المتخفية في الذاكرة عند أول عملية إعادة تشغيل لجهاز الكمبيوتر. وهنا، تمكن الخبراء من اكتشاف البرمجية الخبيثة الخفية قبل إعادة إطلاق الأجهزة.

 

تتميز البرمجية الخبيثة التي عثر عليها خبراء امن "كاسبرسكي لاب" باستخدامها أدوات قرصنة عادية، فبعد تمكن القرصان من اختراق جهاز ما، يضع سكريبت  مكتوب بشيفرة Powershell  في قاعدة بيانات التسجيل "ويندوز" . عند تفعيل  هذا البرنامج السكريبت ، ينشئ بابا خلفيا و ويقوم بتحميل Meterpreterمتخفيا في الذاكرة. وكشف خبراء الأمن أن هذه البرمجية قد دمجت فيها شيفرات أدوات شرعية لاختبار حماية ويندوز PowerShell, Metasploit, Mimikatz وتم تحويلها إلى برمجية خبيثة لحقنها في ذاكرة الكمبيوتر، اعتمدت استخدام شيفرة الاختراق لنظام "ويندوز "Meterpreter.

فتتخفى في كواليس الذاكرة وتقوم خلسة برصد وجمع كلمات المرور الخاصة بمدراء النظام المعلوماتي Administrator ، تتيح للقراصنة بعد ذلك التحكم عن بعد بأنظمة المؤسسة المخترقة ،عن طريق أنفاق اتصال تم انشاؤها مع خوادم التحكم و السيطرة للتحكم بالبرمجية الخبيثة و تنفذ الأوامر من خلال  برنامج الأمر Netsh، الذي هو جزء من الأدوات العادية في  خوادم Windows.

 

أوضح تقرير "كاسبرسكي لاب" أن هذه البرمجية الخفية استهدفت أكثر من 140  شبكة معلوماتية من شبكات الشركات ضمن نطاق قطاعات الأعمال، والمصارف. وتركزت مواقع معظم المؤسسات المستهدفة  في الولايات المتحدة وفرنسا والإكوادور وكينيا والمملكة المتحدة وروسيا، وأيضا بعض الدول العربية كالمملكة العربية السعودية، تونس ،مصر، المغرب وليبيا.

 

يجهل خبراء "كاسبرسكي لاب" حتى الآن من يقف وراء هذه الهجمات، إذ إن استخدام البرمجيات المفتوحة المصدر المحتوية على ثغرات أمنية وبرامج ويندوز شائعة جدا. كذلك فإن النطاقات المجهولة لمراكز خوادم التحكم والسيطرة  Whois يجعل من المستحيل تقريبًا تحديد الجهات المسؤولة عن الهجمات، أو معرفة ما إذا كانت عصابة فردية أو مجموعة عصابات تشترك في استخدام الأدوات ذاتها أو اجتمعت على هدف واحد وتتماهى بهجمات القراصنة التي تدعمها دول.

كذلك فإن طبيعة هذه البرمجية الخبيثة  الأدوات المستخدمة تشبه  حسب تقرير "كاسبرسكي لاب" أساليب  قراصنة   GCMAN و Carbanak.

 

هذا و لم يحدد تقرير "كاسبرسكي لاب"  الهدف الأساسي لهذه الاختراق واعدا بكشف التفاصيل في شهر أبريل 2017 خلال Security Analyst  Summit.. و هذا الأمريذكرني بتحذير لـكاسيرسكي لاب  قدمته في"إي ميل" في مايو 2016 عن "فيروس يخترق الصرّاف الآلي و يستولي على أموال عملاء المصارف" .