كتب: نهلة احمد – محمد شوقي

تواصل الجهات الواقفة وراء التهديدات المتقدمة المستمرة بحثها عن طرق أحدث وأساليب أكثر تعقيدًا لتنفيذ هجماتها، ما يدفع بباحثي كاسبرسكي إلى مراقبة تلك الجهات والتعرف على الطرق التي تسلكها لتحديث أساليبها وتطوير مجموعات أدواتها. وأظهر تقرير فصلي صادر عن كاسبرسكي أن مشهد التهديدات الرقمية شهد زيادة في الهجمات التي استهدفت النظام Microsoft Exchange Server في الربع الثاني من العام 2021. وكشفت كاسبرسكي في التقرير الحديث المعنون بـ "التهديدات المتقدمة المستمرة 2021"، عن تفاصيل عملية فريدة طويلة الأمد تقف وراءها عصابة GhostEmperor، استغلّت ثغرات في نظام خادم البريد الإلكتروني من شركة مايكروسوفت في استهداف جهات بارزة بمجموعة أدوات متقدمة لا تتشابه مع الأدوات المستخدمة من قبل أية جهة من جهات التهديد المعروفة.

وتُعدّ العصابة GhostEmperor جهة تهديد ناطقة باللغة الصينية اكتشفها باحثو كاسبرسكي، وينصبّ تركيزها في الغالب على أهداف في جنوب شرق آسيا، بينها العديد من الجهات الحكومية وشركات الاتصالات.

وتتميز هذه العصابة باستخدام برمجية من نوع "روتكيت" Rootkit تستهدف وضعية النواة kernel-mode في نظام التشغيل ويندوز، وهذه البرمجية لم تكن معروفة في السابق. وتتيح برمجيات "روتكيت"، التي يعني اسمها حرفيًا "أطقم التجذير"، القدرة على التحكم عن بُعد بالخوادم التي تستهدفها، وهي قادرة بطبيعتها على التخفي عن أعين المحققين وحلول الأمن الرقمي. واستخدمت عصابة GhostEmperor مخطط تحميل يتضمن مكونًا سليمًا مفتوح المصدر يسمى Cheat Engine للتمكّن من تجاوز آلية Windows Driver Signature Enforcement الخاصة بالتحقق من سلامة البرمجيات في ويندوز.

ووجد باحثو كاسبرسكي أن مجموعة الأدوات المتقدمة هذه فريدة من نوعها، في حين لم يروا أي تقارب أو تشابه بينها وبين أية أدوات مستخدمة من الجهات التخريبية المعروفة في مجال التهديدات الرقمية. وتوقع الخبراء أن تكون مجموعة الأدوات هذه مستخدمة منذ يوليو 2020 على أقل تقدير.

من جهته قال ديفيد إم ـ خبير الأمن لدى كاسبرسكي، إنه كلما تطورت تقنيات الكشف عن التهديدات الرقمية والحماية منها، تطورت الجهات التخريبية ورفعت قدراتها، مشيرًا إلى أنها تحرص في العادة من أجل تحقيق هذا الأمر على تحديث مجموعة أدواتها. وأضاف: "تُعدّ عصابة GhostEmperor مثالًا واضحًا على مساعي مجرمي الإنترنت للحصول على تقنيات جديدة يلجأون إليها وثغرات جديدة يستغلونها. واستطاعت هذه العصابة باستخدام برمجية "روتكيت" كانت مجهولة في السابق، أن تضيف مزيدًا من المشاكل إلى مشهد التهديدات القوي والزاخر أصلًا بالهجمات ضد خوادم Microsoft Exchange".

وسلّط خبراء كاسبرسكي الضوء أيضًا على توجّهات أخرى برزت في مشهد التهديدات المتقدمة المستمرة في الربع الثاني من العام الجاري، وشملت حدوث ارتفاع في استغلال الجهات التخريبية للثغرات في سبيل الحصول على موطئ قدم في الشبكات المستهدفة، ومن ذلك هجمات "أيام الصفر" التي طورتها Moses وهجمات عملية PuzzleMaker وهجمات Pulse Secure واستغلال الثغرات في خوادم Microsoft Exchange.

بالإضافة لمواصلة الجهات التخريبية التي تقف وراء التهديدات المتقدمة المستمرة الاستثمار في تحديث مجموعات أدواتها، ولا يشمل ذلك الاكتفاء بتضمين منصات جديدة وإنما يشمل أيضًا استخدام لغات إضافية، كما يتضح من البرمجية الخبيثة Python من WildPressure والقادرة على إصابة النظام macOS.