«مايكروسوفت»: تم تنفيذها ببرمجيات خبيثة لـ «تعدين العملات»

هجمة أمنية صامتة تصيب 1000 حاسب حول العالم

البرمجية الخبيثة الجديدة التي أصابت الحاسبات تحمل اسم «ديكس فوت». من المصدر

كشف خبراء أمن المعلومات في شركة «مايكروسوفت»، أخيراً، عن وقوع هجمة أمنية خطرة من فئة «الهجمات الصامتة»، أي التي تتم من دون أن يدري بها ضحاياها على الإطلاق، حيث أصابت 80 ألف حاسب حول العالم، موضحين أن مجرمي الإنترنت استخدموا في هذه الهجمة البرمجيات الخبيثة المتخصصة في تنفيذ ما يعرف بـ«تعدين العملات المشفرة»، التي يتم خلالها السيطرة على حاسبات الضحايا، لاستغلال جزء غير معروف من قوة المعالجة والذاكرة الإلكترونية لمصلحة المجرمين والمهاجمين الذين أطلقوها، ويرغبون في الحصول على عملات الإنترنت الرقمية المشفرة عالية القيمة وتوليدها، وفي مقدمتها عملة «بيتكوين».

جاء ذلك في تدوينة ظهرت على مدونة أمن المعلومات في موقع «مايكروسوفت» الرسمي، وكتبها جسلي كيم، رئيس فريق البحوث في حزمة برمجيات أمن المعلومات التي تنتجها مايكروسوفت تحت اسم «مايكروسوفت ديفيندر».

التسارع والانحسار ببطء

وأفاد خبراء «مايكروسوفت» بأن البرمجية الخبيثة الجديدة المستخدمة في الهجمة تحمل اسم «ديكس فوت»، مشيرين إلى أن البيانات الناتجة من عمليات تتبع ورصد هذه البرمجية، كشفت أنها أصابت أكثر من 80 ألف جهاز حول العالم حتى الآن، وتعد سلالة جديدة من البرمجيات الخبيثة التي تصيب الحاسبات العاملة بأنظمة تشغيل «مايكروسوفت ويندوز».

وذكر الخبراء أن المهاجمين استخدموا تكتيك التسارع والانتشار ببطء، والانحسار والتراجع ببطء، لافتين إلى أنه على الرغم من أن الهجمة تعد من النوع شائع الحدوث في مجال «تعدين العملات الرقمية»، إلا أن البرمجية الخبيثة المستخدمة فيها تنطوي على قدر عالٍ من التعقيد في أساليب تشغيلها وتقنيات عملها، ما يجعلها مميزة وذات خطورة عالية بين عدد لا يحصى من البرمجيات الخبيثة التي تنشط في أي وقت من الأوقات بغرض تعدين العملات.

وأوضحوا أن من أبرز جوانب التطور والتعقيد في الهجمة الجديدة، أساليب التهرب من الحماية ووسائل الكشف والدفاع، وقدرتها على تعديل التهديدات اليومية التي تقوم بها، لتعمل بعيداً عن أعين أنظمة الرصد.

«تنفيذ بلا ملفات»

وبيّن الخبراء أن الجزء المستخدم في الهجمة يكون هو الوحيد من البرمجيات الخبيثة، الذي يجري تثبيته وتخزينه على وحدة التخزين الخاصة بالحاسب الضحية، وكل فترة من الزمن تقوم هذه البرمجية الخبيثة بالعمل لفترة قصيرة مستخدمة تقنية تعرف باسم «تنفيذ بلا ملفات»، ويتم من خلالها تشغيل البرمجية الخبيثة داخل ذاكرة الحاسب فقط، ما يجعل الملفات الضارة غير مرئية بالنسبة لنظم مكافحة الفيروسات التقليدية، المستندة إلى تتبع آثار البرمجيات الضارة.

وأضافوا أنه من جوانب الحداثة والتعقيد الأخرى في هذه البرمجية، أنها تستخدم تقنية أخرى تسمى «العيش خارج الأرض»، وهي تقنية يتم فيها استخدام برمجيات شرعية ومقبولة من جانب نظم الحماية والرصد والدفاع في عملية التنجيم والتعدين، وذلك بدلاً من استخدام الملفات التنفيذية الخاصة بها وتشغيلها.

«تعدد الأشكال»

وكشف الخبراء أيضاً أن البرمجية الجديدة، هاجمت نظم وتطبيقات السحابة، حيث تم استخدام تقنية «تعدد الأشكال» التي تعمل على تغيير آثار وبصمات البرمجيات الخبيثة، مشيرين إلى أنه استناداً إلى هذه التقنية استطاع المهاجمون تغيير أسماء الملفات وعناوين الإنترنت المستخدمة في شن الهجمات مرة كل ما يراوح بين 20 و30 دقيقة.

ووفقاً لما ذكره خبراء «مايكروسوفت» فإن المهاجمين استخدموا أسلوباً معروفاً باسم «الحمولة من المرحلة الثانية»، كآلية لنشر هذه البرمجية الخبيثة في حاسبات الضحايا، وهي طريقة تُتّبع في إسقاط البرمجية الخبيثة على الحاسبات الضحية، من خلال برامج ضارة من نوع آخر، كوسيلة للتعمية والتضليل، مثلما يحدث في الحرب الحقيقية، حينما يتم القيام ببعض التكتيكات الخداعية لصرف نظر العدو عن الهجمة الرئيسة الحقيقية.

«تعدين العملات»

يقصد بعملية تعدين العملات الرقمية، استخدام جزء من قوة المعالج الخاص بالمشترك في عملية التعدين، من أجل حل المعادلات الرياضية المعقدة المشفرة الموضوعة من قبل الجهات المسؤولة عن توليد العملات الرقمية، وتحددها مواقع تعدين العملات، من كل توليد عملة رقمية بعد فترة من الوقت، وهو نشاط معروف عالمياً. وهناك شركات وأفراد يشترون حاسبات قوية ويستخدمونها في توليد العملات، ويربحون من وراء ذلك أموالاً كثيرة.

وفي مقابل الذين يقومون بشراء أجهزة للقيام بعمليات التعدين، هناك آلاف المجرمين حول العالم يزرعون برمجيات خبيثة، مهمتها التحكم عن بعد في حاسبات ضحايا، والسيطرة عليها، وتسخيرها بلا مقابل في أنشطة تعدين العملات التي يقومون بها.


- الهجمة الجديدة تتميز بإمكانية التهرب من وسائل الكشف.

طباعة