«كاسبرسكي»: عصابة إلكترونية تستدرج الباحثين عن برمجيات التشفير إلى مواقع احتيالية
كورت بومجارتنر: «هجمات (Waterhole) تعتبر غير دقيقة بطبيعتها، ونأمل إجراء مزيد من النقاشات حول أهمية وضرورة توفير آليات أسهل للتحقق من وسائل التشفير المتاحة».
أفادت شركة «كاسبرسكي لاب»، أمس، بأن فصل الصيف الماضي شهد قيام عصابة إلكترونية متخفية، تعرف باسم StrongPity، باستدراج المستخدمين الباحثين عن برمجيات التشفير إلى مواقع إلكترونية احتيالية، بهدف التحميل من المواقع المزورة دون علمهم.
وذكرت الشركة في تقرير لها أن المستخدمين في إيطاليا وبلجيكا كانوا الأكثر تضرراً، إضافة إلى ضحايا آخرين لم يسلموا من تلك الحملة الخبيثة في تركيا وشمال إفريقيا والشرق الأوسط.
وفقاً لبيان للشركة، فإن حملة StrongPity الخبيثة هي نوع من الهجمات المتقدمة المستمرة الـAPT التي تمتلك قدرات تقنية، وتركز على استهداف البيانات والاتصالات المشفرة.
وأوضحت أنه على مدى الأشهر القليلة الماضية، رصدت «كاسبرسكي» تصعيداً في هجمات هذه الحملة على المستخدمين، بحثاً عن اثنتين من أدوات التشفير ذات الصلة، وهما: مستند (WinRAR) ونظام التشفير (TrueCrypt).
وأضافت أن برمجية StrongPity الخبيثة تشتمل على مكونات تتيح للمهاجمين إمكانية التحكم الكامل بنظام الضحية، الأمر الذي ساعدهم على سرقة محتويات القرص الصلب، وكذلك تحميل وحدات نمطية إضافية، لجمع معلومات عن الاتصالات وعناوين جهات الاتصال.
وأشارت «كاسبرسكي لاب» إلى أنها تمكنت حتى الآن من الكشف عن زيارات لمواقع حملة StrongPity، والعثور على مكونات لبرمجية StrongPity الخبيثة، عبر أكثر من 1000 نظام مستهدف.
وقالت إنه لإيقاع الضحايا في الفخ، لجأ المهاجمون إلى إنشاء مواقع إلكترونية احتيالية، لافتة إلى أنه في إحدى الحالات أدخلوا حرفين على اسم النطاق لخداع المتعاملين وجعلهم يعتقدون بأنها مواقع نظامية تتيح تثبيت برنامج (WinRAR).
وأضافت «كاسبرسكي لاب» أنه بعد ذلك، ثبّت المهاجمون رابطاً دائماً لهذا النطاق البرمجي الخبيث على أحد مواقع تثبيت برنامج (WinRAR) في بلجيكا، ليستبدل، على ما يبدو، رابط الموقع النظامي أو «الموصى به» بنطاق آخر خبيث، موضحة أنه عندما تصفح الزوار من المستخدمين المطمئنين الموقع، قادهم إلى موقع تثبيت البرمجية الخبيثة.
وقال الباحث الأمني الرئيس في «كاسبرسكي لاب»، كورت بومجارتنر، إن «التقنيات المستخدمة من قبل هذه العصابة الإلكترونية تعد فائقة الذكاء»، مشيراً إلى إنها «تشبه الأسلوب الذي تم تبنيه مطلع عام 2014 من قبل عصابة (CrouchingYeti/Energetic Bear APT) التي استخدمت مواقع لتثبيت برامج خاصة بتكنولوجيا المعلومات، بدت على أنها نظامية، لكنها كانت في الواقع ملغمة ببرمجيات حصان طروادة الخبيثة، وذلك بهدف السيطرة على الأنظمة الصناعية واختراق مواقع تحميل البرامج الأصلية».
وأضاف أن «هذه التكتيكات لا تبشر بالخير، وتنطوي على مخاطر جدية ينبغي على قطاع الأمن التصدي لها ومعالجتها»، لافتاً إلى أن «البحث عن الخصوصية وسلامة البيانات لا ينبغي أن يعرض الفرد إلى هجمات (Waterhole)».
وذكر أن «هجمات (Waterhole) تعتبر غير دقيقة بطبيعتها، ونأمل إجراء مزيد من النقاشات حول أهمية وضرورة توفير آليات أسهل للتحقق من وسائل التشفير المتاحة».