مستغلة وثائق مسربة من "هاكينج تيم"..
عصابة التجسس الإلكتروني "Darkhotel" تشن هجمات خبيثة
في أعقاب حادثة تسريب وثائق تخص شركة "هاكينج تيم" المتخصصة في بيع برامج تجسس نظامية لبعض الحكومات ووكالات إنفاذ القانون، بدأ عدد من عصابات التجسس الإلكتروني تستخدم، ولأغراض خبيثة خاصة بها، الأدوات التي تقدمها شركة "هاكينج تيم" إلى عملائها لتنفيذ الهجمات.
وقد شمل هذا شن هجمات عديدة لاستغلال الثغرات استهدفت Adobe Flash Player وWindows OS وتم تطويع واحدة على الأقل من هذه الهجمات لأغراض أخرى من قبل عصابة التجسس الإلكتروني المحترفة "Darkhotel".
ومن جانبها توصلت الشركة الأمنية كاسبرسكي لاب إلى أن "Darkhotel" - وهي عصابة تجسس إلكتروني على مستوى عال من الاحتراف اكتشفها خبراء الشركة في العام 2014 وتشتهر بقدرتها على اختراق شبكات Wi-Fi في الفنادق الفاخرة لسرقة معلومات عن مجموعة مختارة من كبار المسؤولين التنفيذيين للشركات- تلجأ إلى استخدام هجمات "استغلال الثغرات غير المكتشفة" والمجمّعة من شركة "هاكينج تيم" منذ مطلع يوليو، وذلك في أعقاب الاختراق العنيف الذي تعرضت له شركة "هاكينج تيم" بتاريخ 5 يوليو وتسبب في تسريب وثائق بالغة السرية خاصة بها.
وأضافت أن عصابة "Darkhotel"، التي لم يعرف عنها بأنها كانت من ضمن عملاء "هاكينج تيم"، كانت تسطو على الملفات المسربة ولم يكن هجوم "استغلال الثغرات غير المكتشفة" هو الوحيد الذي تشنه هذه العصابة، إذ تشير نتائج كاسبرسكي لاب الإحصائية إلى احتمال قيام عصابة "Darkhotel"، على مدى السنوات القليلة الماضية، بشن ست هجمات "استغلال الثغرات غير المكتشفة" أو أكثر مستهدفة برامج Adobe Flash Player.
وأشار إلى أنها كانت تستثمر أموالاً طائلة لدعم استكمال ترسانتها الخبيثة في العام 2015، وسعت عصابة "Darkhotel" نطاق انتشارها الجغرافي حول العالم، في حين تواصل شن العديد من هجمات التصيد الاحتيالي التي تستهدف مناطق مثل كوريا الشمالية وكوريا الجنوبية وروسيا واليابان وبنغلاديش وتايلند والهند وموزمبيق وألمانيا.
وتمكن الباحثون الأمنيون في كاسبرسكي لاب من رصد تقنيات وأنشطة جديدة لعصابة "Darkhotel" تعرف باسم الهجمات الخبيثة المتقدمة المستمرة عبر الإنترنت (APT) التي ماتزال نشطة لأكثر من ثماني سنوات.
وفي هجمات لها تعود إلى تاريخ 2014 وما قبل، كانت العصابة تسيئ استخدام شهادات المصادقة الإلكترونية (Code-Signing Certificates) وتلجأ إلى طرق غير مألوفة مثل اختراق وصلات الإنترنت Wi-Fi في الفنادق لتلغيمها بأدوات تجسس على أنظمة مستهدفة.
وقد شهد العام 2015 انتشاراً واسعاً لهذه التقنيات والأنشطة، وتمكنت كاسبرسكي لاب أيضاً من اكتشاف وسائل قرصنة إلكترونية جديدة، منها على سبيل المثال، الملفات الخبيثة القابلة للتنفيذ، والاستخدام المتواصل لشهادات المصادقة الإلكترونية المسروقة وتقنيات خدع الهندسة الاجتماعية بصورة مستمرة واستغلال الثغرات غير المكتشفة المسرّبة من شركة "هاكينج تيم" والاستخدام المتواصل لشهادات المصادقة الإلكترونية المسروقة.
وأوضحت أن عصابة "Darkhotel" لديها مخزون هائل من شهادات المصادقة الإلكترونية المسروقة وتقوم باستخدام مدراء التحميل (Downloaders) وبرامج الباب الخلفي الخبيثة (Backdoors) التي يتم تسجيل الدخول باستخدامها لغرض التحايل على النظام المستهدف.
وتشمل شهادات المصادقة الإلكترونية التي تم إبطالها مؤخراً: XuchangHongguang Technology Co. Ltd - وهي الشركة التي تم استغلال شهادات المصادقة الإلكترونية الخاصة بها في الهجمات السابقة المنفذة باستخدام هذه الوسيلة.
وحول هجمات التصيد الاحتيالي المستمرة "تتسم الهجمات الخبيثة المتقدمة المستمرة عبر الإنترنت (APT) التي تشنها عصابة "Darkhotel" بأنها في الواقع مستمرة فهي تحاول شن هجمات التصيد الاحتيالي على الهدف، وفي حال لم تنجح في ذلك، تعاود الكرة مرة أخرى ولكن بعد مضي عدة أشهر وباستخدام خطط الهندسة الاجتماعية ذاتها تقريباً.
كما استخدام هجمات "استغلال الثغرات غير المكتشفة" المسرّبة من شركة "هاكينج تيم" ويحتوي موقع الإنترنت المخترق tisone360.com على مجموعة من برمجيات الباب الخلفي الخبيثة وأنواع لهجمات أخرى قائمة على استغلال الثغرات الأمنية، ومن أبرزها، هجمة استغلال الثغرة غير المكتشفة في برنامج Flash المستخدم من قبل شركة "هاكينج تيم".
وقال كورت بومغارتنر، باحث الأمن الرئيسي في كاسبرسكي لاب: "تعود عصابة Darkhotel بنوع آخر من هجمات استغلال الثغرات غير المكتشفة في برامج Adobe Flash Player المثبت على أحد مواقع الإنترنت المخترقة، وتبدو أنها قد استعانت هذه المرة بالوثائق المسربة من شركة "هاكينج تيم".
وأضاف أن عصابة تمكنت Darkhotel سابقاً من شن هجمات مختلفة عن طريق استغلال ثغرات غير مكتشفة في برنامج Flash المثبت في نفس الموقع الإلكتروني المخترق الذي أصدرنا تقريراً بشأنه على أنه إحدى هجمات الثغرات غير المكتشفة التي تشن على برنامج Adobe في يناير من العام 2014.
وقال: "على ما يبدو أن عصابة Darkhotel قد تمكنت من تجميع رصيد وافر من الثغرات الأمنية غير المكتشفة وشبه المكتشفة في برنامج Flash على مدى السنوات القليلة الماضية، ومن المحتمل أنها استطاعت جمع المزيد من تلك الثغرات لشن هجمات دقيقة تستهدف أفراداً رفيعي المستوى حول العالم.
وأشار إلى أنه من خلال الهجمات السابقة، يمكننا التوصل إلى أن Darkhotel تتجسس على الرؤساء التنفيذيين وكبار نواب الرؤساء ومدراء المبيعات والتسويق وموظفي الأبحاث والتطوير.
وأوضح أن العصابات عملت، منذ العام الماضي، على تعزيز تقنياتها الدفاعية، فعلى سبيل المثال، قامت بتوسيع نطاق قائمة تكنولوجياتها الخاصة بمكافحة التتبع وقد صمم مدير التحميل (Downloader) – إصدار عام 2015- للتعرف على تكنولوجيات مكافحة الفيروسات المتوفرة لدى نحو 27 شركة أمن، وذلك بهدف تخطيها وتجاوزها.