الكشف عن هجمة واسعة النطاق تستهدف العاملين من المنازل

كشف فريق من خبراء أمن المعلومات عن هجمة أمنية واسعة النطاق، تشنها مجموعة قراصنة محترفة، ضد العاملين من المنازل، عبر مهاجمة أجهزة توجيه مسار البيانات «الراوترات» المنزلية، والسطو عليها، لتغيير أسماء النطاقات التي يقوم العاملون من المنازل باستخدامها أثناء عملهم، وكذلك تغيير وتزييف العناوين الرقمية الخاصة بهذه النطاقات، لتبدو طبيعية ومألوفة وشرعية أمام الضحايا، في حين أنها عناوين رقمية وأسماء نطاقات يملكها ويديرها القراصنة. وتستهدف خداع المستخدمين للقيام بتنزيل البرمجيات الخبيثة التابعة للمجرمين، على أنها تطبيقات وبرامج صادرة عن منظمة الصحة العالمية، ومتخصصة في تقديم معلومات وخدمات متعلقة بالرعاية الطبية والوقاية من فيروس «كورونا»، لكنها في الحقيقة برامج اختراق وتجسس، وسرقة بيانات من طراز متقدم، يتيح سرقة البيانات الحساسة والمالية، للسطو على الأموال، وتخريب البيانات، والتحكم في الحاسبات عن بُعد.

الهجمة الجديدة

وينتمي الفريق الذي كشف الهجمة إلى شركة «بيت فايندر لاب» المتخصصة في أمن المعلومات، التي تقدّم حزمة برمجيات أمنية مجانية مفتوحة المصدر بالاسم نفسه. ونشر الفريق التفاصيل الخاصة بهذه الهجمة في تقرير يجري تحديثه يومياً على المدونة الرسمية للشركة: (labs.bitdefender.com). وأوضح التقرير أن الهجمة بدأت يوم 18 مارس الجاري، وتصاعدت لتصل إلى ذروتها يوم 23 من الشهر نفسه، ولاتزال مستمرة حتى الآن.

وأضاف أن الهجمة الجديدة يتم تنفيذها وفق تكتيكات خداعية متقنة، وقع فيها عشرات الآلاف ممن يعملون من المنزل، 73% منهم يعيشون في فرنسا والولايات المتحدة، وهما من الدول الأشد تضرراً من فيروس «كورونا» حالياً.

توصيف الهجمة

ووصف فريق الخبراء الهجمة على أنها استغلال لثغرة أو نقطة ضعف أمنية في جهاز توجيه مسار البيانات «الراوتر» من طراز «لينكسيس» المستخدمة منزلياً، بهدف القيام بعملية خداع المستخدمين الذين يعملون من المنزل.

وبين الفريق أن عملية الخداع تقوم على التلاعب في نوعية من المعلومات التي تظهر أمامهم على الشاشة، سواء على متصفحات الـ«ويب»، أو في إعدادات الجهاز نفسه، موضحاً أن هذه المعلومات تتعلق بأمرين، الأول أسماء النطاقات الدالة على المواقع التي يزورها المستخدم، بينما الثاني هو العناوين الرقمية الخاصة بهذه المواقع، والتي يمكن التعرف عليها من خلال الإعدادات الخاصة ببرنامج التصفح، أو إعدادات «الراوتر» نفسه.

وأضاف أنه يتم التلاعب من خلال إظهار أسماء نطاقات صحيحة، عناوين رقمية سليمة أمام الضحية، وإعطاء أوامر لجهاز «الراوتر» لتوجيه المستخدم إلى أسماء نطاقات وعناوين رقمية تابعة للقراصنة، قاموا بإخفائها داخل «الراوتر»، بحيث لا يراها المستخدم، وبالتالي بدلاً من أن يذهب المستخدم الى المواقع التي تظهر عناوينها وأسماء نطاقاتها الحقيقية أمامه، يذهب إلى مواقع وهمية خداعية صممها ويملكها ويديرها القراصنة.

مواقع مطابقة

وأشار الخبراء إلى أنه بتتبع هذه المواقع، وجدوا أنها مصممة لتبدو مطابقة لصفحات موقع منظمة الصحة العالمية، ومواقع بعض الجهات الأخرى الموثوق بها، التي يزورها الملايين من المستخدمين حول العالم، حيث تعرض صفحات هذا الموقع المخادع، معلومات واقعية وحقيقية، عن وباء «كورونا»، وكيفية الوقاية منه، والرعاية الطبية عند الإصابة به وغيرها.

وأوضحوا أنه بين هذه المعلومات الحقيقية، يزرع القراصنة مفتاحاً صغيراً، يعرفونه على أنه مفتاح تنزيل تطبيق أو برنامج، صممته منظمة الصحة العالمية، للتواصل معها، وللتعرف على آخر المستجدات عن «الفيروس»، ويمكن تنزيله مجاناً وبسرعة، وعبر خطوات بسيطة، للاستفادة منه.

وذكر الخبراء أنه بالضغط على مفتاح التنزيل المشار إليه، يكون المستخدم، جلب إلى جهازه حمولة شديدة الخطورة، من البرمجيات الخبيثة، التي تتنوّع ما بين برامج تجسس، وبرامج تحكم في الحاسب عن بُعد، وبرامج سرقة البيانات الحساسة.

نصائح للحماية

قدّمت شركة «بيت فايندر لاب» المتخصصة في أمن المعلومات، ثلاث توصيات للحماية من الهجمة الجديدة التي تستهدف «الراوترات» المنزلية، الأولى فتح صفحة إعدادات «الراوتر»، وتغيير بيانات الاعتماد الخاصة به، مثل كلمة المرور واسم المستخدم، فضلاً عن تغيير بيانات اعتماد حساب المستخدم على خدمة الحوسبة السحابية الخاصة بشركة «لينكسيس».

أما التوصية الثانية فتتمثل في تحديث البرامج الثابتة الخاصة بـ«الراوتر»، في حين ركزت التوصية الثالثة على استخدام إحدى حزم برامج التأمين الموصى بها، والتي تتضمن الحماية من التعرض من مواقع الاحتيال، وتمنع تنزيل وتثبيت البرامج الضارة.