«روتكيت» مجهولة تتحكّم بشبكات مؤسسات في آسيا وإفريقيا

كشف باحثو «كاسبرسكي»، النقاب عن عملية تُدعى TunnelSnake، وتتمثل بحملة تهديد متقدم مستمر، تنشط منذ عام 2019، واستهدفت كيانات دبلوماسية في آسيا وإفريقيا. واستخدم المهاجمون في العملية برمجية «روتكيت» لم تكن معروفة سابقاً يطلق عليها اسم Moriya، وتتمتع بسلطة تحكّم شبه مطلقة بنظام التشغيل. ومكّنت هذه البرمجية، الجهات التخريبية الواقفة وراءها من اعتراض حركة البيانات في الشبكة، وإخفاء الأوامر التخريبية الصادرة إلى المضيفين المصابين. وقد أدّى ذلك إلى سيطرة المهاجمين سراً على شبكات الكيانات المستهدفة لأشهر عدة.

وتُعدّ برمجيات «روتكيت» Rootkit، مجموعة من البرمجيات أو الأدوات البرمجية الخبيثة التي تمنح المهاجمين وصولاً سرياً غير محدود إلى جذور نظام حاسوبي ما. وأصبح التوظيف والتنفيذ الناجحين لمكونات «روتكيت» مهمة صعبة في الآونة الماضية، بفضل الإجراءات التي اتخذتها «مايكروسوفت» على مر السنين لحماية الأنظمة، ما جعل الجهات التخريبية تستفيد من معظم برمجيات «روتكيت» الموجهة إلى نظام «ويندوز» في هجمات عالية المستوى مثل TunnelSnake.

وشرعت «كاسبرسكي» في التحقيق في الحملة المذكورة عندما تلقت مجموعة من التنبيهات من حلولها الأمنية تفيد بوجود أداة «روتكيت» فريدة داخل شبكات مستهدفة. واتّصفت هذه الأداة البرمجية، بالمراوغة بفضل تمتعها بسمتين اثنتين، فهي تعترض وتفحص باقات البيانات الشبكية أثناء نقلها من مساحة عنوان نواة النظام، وهي منطقة ذاكرة توجد فيها نواة نظام التشغيل، وحيث تُشغّل التعليمات البرمجية المميزة والموثوق بها فقط.

ويوصي خبراء «كاسبرسكي»، الشركات بإجراء عمليات تدقيق أمنية منتظمة للبنية التحتية التقنية في الشركة للكشف عن الثغرات والأنظمة المعرّضة للخطر.