البرمجية الخبيثة Olympic Destroyer تستهدف شركات الحماية من التهديدات الكيماوية والبيولوجية

بيان صحفي
منشور 26 حزيران / يونيو 2018 - 06:17
ڤيتالي كاملوك, الباحث الأمني في فريق كاسبرسكي لاب العالمي للأبحاث والتحليلات لدى كاسبرسكي لاب
ڤيتالي كاملوك, الباحث الأمني في فريق كاسبرسكي لاب العالمي للأبحاث والتحليلات لدى كاسبرسكي لاب

اكتشف باحثون لدى شركة كاسبرسكي لاب يعملون على تتبع التهديد الإلكتروني المعروف باسم Olympic Destroyer، الذي ضرب خلال افتتاح دورة الألعاب الأولمبية الشتوية الماضية التي أقيمت في بيونغ تشانغ بدودة شبكية مدمرة، أن مجموعة القرصنة التي تقف وراءه ما زالت نشطة، ويبدو أنها تستهدف ألمانيا وفرنسا وسويسرا وهولندا وأوكرانيا وروسيا، مركزة نشاطها التخريبي على جهات معنية بالحماية من التهديدات الكيماوية والبيولوجية.

وضرب التهديد الأمني المتقدم Olympic Destroyer المنظمين والموردين والشركاء في دورة الألعاب الأولمبية الشتوية 2018 التي أقيمت في مدينة بيونغ تشانغ بكوريا الجنوبية بعملية تجسس عبر الإنترنت بالاعتماد على دودة شبكية مدمرة. وأشارت مؤشرات عديدة بأصابع الاتهام في اتجاهات مختلفة في محاولة لتحديد منشأ الهجوم، ما تسبب في حدوث بعض الارتباك بقطاع أمن المعلومات في فبراير 2018. وكانت بعض العلامات النادرة والمعقدة التي اكتشفها خبراء كاسبرسكي لاب أوحت بأن مجموعة Lazarusالتخريبية المرتبطة بكوريا الشمالية هي الجهة التي تقف وراء العملية. ومع ذلك، عادت الشركة وأكّدت في مارس أن الحملة اشتملت على بصمة صفات مثّلت "راية زائفة" ومتطورة للغاية، وأنه من غير المرجح أن تكون مجموعة Lazarus مصدر العملية التخريبية. ووجد الباحثون الآن أن عملية Olympic Destroyer نشطت مرة أخرى، باستخدام بعض أدوات التسلل والاستطلاع الأصلية، مع التركيز على أهداف في أوروبا.

وتقوم جهة التهديد بنشر برمجيات خبيثة من خلال وثائق تصيد موجّه تشبه إلى حدّ كبير الوثائق "المسلّحة" التي استخدمت في التحضير لعملية الألعاب الأولمبية الشتوية. وقد وُجد أن إحدى هذه الوثائق أشارت إلى مؤتمر "سبايز" Spiez Convergence، وهو مؤتمر تناول التهديدات البيولوجية الكيماوية كان عُقد في سويسرا بتنظيم من منظمة "سبايز لابوراتوري" الحكومية السويسرية، التي لعبت دوراً رئيسياً في التحقيق بهجوم مدينة سالزبوري البريطانية. واستهدفت وثيقة تخريبية أخرى هيئة للرقابة الصحية والبيطرية في أوكرانيا. وقد تضمّنت بعض وثائق التصيد الموجّه التي كشف عنها الباحثون كلمات باللغتين الروسية والألمانية.

وقد تم تصميم جميع الحمولات النهائية المستخرجة من الوثائق التخريبية بطريقة تتيح الوصول العام إلى أجهزة الحاسوب المخترقة. وتم المرحلة الثانية من الهجوم استخدام إطار عمل مجاني مفتوح المصدر يُعرف على نطاق واسع باسم Powershell Empire.

ويبدو أن المهاجمين يلجأون إلى استخدام خوادم ويب مشروعة بعد اختراقها لاستضافة البرمجيات الخبيثة والتحكّم فيها. وتستخدم هذه الخوادم نظاماً شائعاً مفتوح المصدر لإدارة المحتوى يُدعى Joomla. ووجد الباحثون أن أحد الخوادم التي تستضيف الحمولة الضارة استخدم إصداراً قديماً من النظام Joomla (الإصدار 1.7.3) يعود لنوفمبر من العام 2011، ما يشير إلى أنه كان بوسع المهاجمين استخدام إصدار قديم من نظام إدارة المحتوى لاختراق الخوادم.

ويبدو، استناداً على القياسات التي أجرتها كاسبرسكي لاب عن بُعد والملفات التي تم تحميلها إلى خدمات المسح المتعدد، أن اهتمام حملة Olympic Destroyer كان ينحصر بجهات في ألمانيا وفرنسا وسويسرا وهولندا وأوكرانيا وروسيا.

وقال ڤيتالي كاملوك الباحث الأمني في فريق كاسبرسكي لاب العالمي للأبحاث والتحليلات لدى كاسبرسكي لاب، إن المظهر الذي بدت عليه حملة Olympic Destroyer، في بداية هذا العام، وإتيانها بجهود خداع متطورة، أدّى إلى حدوث تغيّر أبدي في الطريقة التي يتم بها ربط الهجمات الإلكترونية بالجهات التخريبية، وأظهر مدى سهولة أن تُنسب الهجمات خطأً إلى غير مرتكبيها عند فقدان بعض أجزاء الصورة الماثلة أمام أعين الباحثين، وأضاف: "يجب أن يستند تحليل التهديدات وردعها على التعاون بين شركات القطاع الخاص والجهات الحكومية وبين الدول، ونأمل، من خلال الإعلان عن النتائج التي توصلنا إليها، أن يصبح المستجيبون للحوادث والباحثون الأمنيون مؤهلين تأهيلاً أفضل لتمييز الهجمات والتخفيف من حدّتها في حال وقوعها".

وكانت مرحلة الاستطلاع التي سبقت الهجوم الماضي خلال دورة الألعاب الأولمبية الشتوية، قد بدأت قبل شهرين من الحملة التي نشرت الدودة الشبكية المدمرة ذاتية التعديل بطريقة وبائية. من المرجّح جداً أن تكون حملة التهديد الإلكترونية Olympic Destroyerتُجري تحضيراً لهجوم مماثل بدوافع جديدة، ما يجعل كاسبرسكي لاب تقدّم النصح لجهات الأبحاث الخاصة بالتهديدات الكيماوية والبيولوجية بالبقاء في حالة تأهب قصوى والشروع، عند الإمكان، في إجراء تدقيق أمني غير مجدول.

تجدر الإشارة إلى أن منتجات كاسبرسكي لاب تستطيع بنجاح اكتشاف البرمجيات الخبيثة ذات الصلة بتهديد Olympic Destroyer ومنعها.

يمكن الاطلاع في مدونة Securelist على مزيد من المعلومات حول عودة التهديد الأمني Olympic Destroyer، بما يشمل المؤشرات على حدوث اختراق أمني.

خلفية عامة

كاسبرسكي لاب

كاسبرسكي لاب هي أكبر شركة مكافحة فيروسات في أوروبا، وهي توفر بعض من الحماية الفورية في العالم ضد التهديدات الأمنية، بما في ذلك الفيروسات وبرامج التجسس وبرمجيات الجريمة والقرصنة والاصطياد والرسائل المزعجة، وقد صنفت الشركة من بين أفضل أربعة وكلاء الحلول الأمنية في العالم للمستخدمين النهائيين، وتقدم منتجات كاسبرسكي لاب أعلى معدلات الكشف وواحدة من أسرع الاستجابات الزمنية المقتضية لمستخدمين في المنازل والشركات الصغيرة والمتوسطة والمؤسسات الكبيرة وبيئة الحواسيب المتنقلة، كما تستخدم أيضاً تقنية كاسبرسكي ® في جميع أنحاء العالم داخل منتجات وخدمات صناعة تكنولوجيا المعلومات الرائدة في مجال مقدمي الحلول الأمنية.

 

معلومات للتواصل

كاسبرسكي لاب
مبنى أرنكو، مكتب 808
مدينة دبي للإنترنت
ص.ب. 502849
دبي، الإمارات العربية المتحدة
هاتف
البريدالإلكتروني

المسؤول الإعلامي

الإسم
عبدلله انايات
البريد الإلكتروني

اشتراكات البيانات الصحفية

احصل على رصيد لنشر مقالاتك على موقع البوابة هنا

مواضيع ممكن أن تعجبك

الاشتراك

اشترك في النشرة الإخبارية للحصول على تحديثات حصرية ومحتوى محسّن