حملة تجسس رقمي واسعة النطاق تستهدف آلاف حواسيب الرقابة الصناعية حول العالم

اكتشف خبراء كاسبرسكي برمجية خبيثة استهدفت أكثر من 35,000 جهاز حاسوب في 195 دولة ضمن حملة تجسس عالمية واسعة النطاق نشطت بين 20 يناير و10 نوفمبر 2021. وأُطلق على البرمجية الجديدة اسم PseudoManuscrypt نظرًا لأوجه شبه تجمع بينها وبين برمجية Manuscrypt التي تقف وراءها عصابة التهديدات المتقدمة المستمرة Lazarus، وهو تتضمّن قدرات تجسّس متقدّمة وشوهدت تستهدف المؤسسات الحكومية، علاوة وأنظمة التحكّم الصناعية في شركات عاملة في العديد من القطاعات.

وتُعدّ الشركات الصناعية من أكثر الأهداف التي يطمع بها مجرمو الإنترنت، سواء لتحقيق مكاسب مالية أو جمع معلومات استخبارية. وقد شهد العام 2021 اهتمامًا بالغًا من عصابات التهديدات المتقدمة المستمرة المعروفة مثل Lazarus وAPT41، بالشركات الصناعية. واكتشف خبراء كاسبرسكي، أثناء التحقيق في سلسلة أخرى من الهجمات، برمجية خبيثة جديدة فيها بعض أوجه الشبه مع برمجية Manuscrypt من Lazarus، وهي برمجية مصممة خصيصًا للاستخدام في حملة ThreatNeedle التي استهدفت الجهات العاملة في الصناعات الدفاعية، ولهذا أطلق عليها الخبراء الاسم PseudoManuscrypt.

وحظرت منتجات كاسبرسكي ما بين 20 يناير و10 نوفمبر 2021، البرمجية PseudoManuscrypt على أكثر من 35,000 جهاز حاسوب في 195 دولة. واشتملت العديد من الأهداف على شركات صناعية وجهات حكومية بينها مؤسسات صناعية عسكرية ومختبرات أبحاث. وكانت 7.2% من أجهزة الحاسوب التي تعرّضت للهجوم جزءًا من أنظمة الرقابة الصناعية، حيث عُدّت الهندسة وأتمتة المباني أكثر القطاعات تضررًا.

عدد الأنظمة التي اكتشفت برمجية PseudoManuscrypt عليها بحسب الأيام

ويجري تنزيل البرمجية PseudoManuscrypt في البداية على الأنظمة المستهدفة عبر أرشيفات برمجية مقرصنة مزيّفة، وبعضها مخصص للبرمجيات المقرصنة الموجهة لنظم الرقابة الصناعية. ويُحتمل تقديم أدوات التثبيت المزيفة هذه عبر منصة تقدّم البرمجيات الخبيثة كخدمة. وفي بعض الحالات، ثُبّتت PseudoManuscrypt عبر شبكة البوتات سيئة السمعة Glupteba. وبعد الإصابة الأولية، تبدأ سلسلة إصابات معقدة تنزّل في النهاية الوحدة الرئيسة للبرمجية الخبيثة. وحدّد خبراء كاسبرسكي نوعين مختلفين من هذه الوحدة، كلاهما قادر على تنفيذ قدرات تجسسية متقدمة تتضمن تسجيل ضربات المفاتيح، ونَسخ البيانات من الحافظة، وسرقة بيانات اعتماد المصادقة على الدخول إلى شبكات VPN (وربما بروتوكول التحكم عن بُعد بسطح المكتب)، وسرقة بيانات الاتصال، ونَسخ لقطات الشاشة، وما إلى ذلك.

لا تُظهر الهجمات أي تفضيل لقطاعات بعينها، لكن العدد الكبير من أجهزة الحاسوب الهندسية التي تعرّضت للهجوم، بما يشمل الأنظمة المستخدَمة للنمذجة المجسّمة والمادية، والتوائم الرقمية، تشير إلى أن التجسّس الصناعي قد يكون هدفًا مشتركًا في جميع الهجمات.

واستغرب الخبراء أن بعض الضحايا تربطهم علاقات بضحايا حملة Lazarus التي أبلغ عنها في السابق فريق الاستجابة لطوارئ الحاسوب في نظم الرقابة الصناعية لدى كاسبرسكي، كما استغربوا إرسال البيانات إلى خوادم المهاجمين عبر بروتوكول نادر باستخدام مكتبة أدوات استخدمتها سابقًا عصابة APT41 مع برمجياتها الخبيثة. لكن كاسبرسكي لم تربط الحملة الحالية بـ Lazarus أو أية جهة تهديد معروفة نظرًا للعدد الكبير من الضحايا وعدم وجود تركيز واضح للحملة.

واعتبر فياتشيسلاف كوبيتسيف خبير الأمن الرقمي لدى كاسبرسكي هذه الحملة “غير عادية بالمرّة”، قائلًا إن الخبراء ما زالوا يجمعون معًا كل ما بحوزتهم من معلومات. وأضاف: “هذا تهديد يستوجب على المتخصصين الانتباه إليه وتوخّي الحذر منه بعد أن تمكّن من شق طريقه إلى الآلاف من أجهزة الحاسوب المرتبطة بنُظم الرقابة الصناعية لدى جهات بينها العديد من الشركات والمؤسسات المرموقة. وسنواصل تحقيقاتنا، ونُبقي مجتمع الأمن الرقمي على اطلاع على أية نتائج جديدة نتوصل إليها”.