كاسبرسكي: البرمجية الخبيثة WinDealer تُظهر قدرات هجوم شبكية معقدة
اكتشف باحثو كاسبرسكي أن البرمجية الخبيثة WinDealer، التي تنشرها العصابة الرقمية LuoYu الناطقة بالصينية، لديها القدرة على تنفيذ عمليات اختراق بهجمات من نوع man-on-the-side. وتسمح هذه البرمجية للجهة التي تقف وراءها بتعديل حركة البيانات في الشبكة لإدخال حمولات برمجية خبيثة. وتتمثل خطورة هذه الهجمات في عدم حاجتها إلى التفاعل مع الهدف لضمان نجاح الإصابة.
واكتشف باحثو كاسبرسكي في أعقاب النتائج التي توصل إليها فريق شركة “تيم تي 5” TeamT5، طريقة توزيع جديدة لنشر WinDealer. واستخدمت العصابة على وجه التحديد، أسلوب الهجوم man-on-the-side لقراءة حركة البيانات في الشبكة وإدراج رسائل جديدة. ويقوم هذا الأسلوب على مراقبة المهاجم لطلبات المستخدم الضحية المتعلقة بالوصول إلى مَورد معين على الشبكة، وذلك عبر قدرته على الاعتراض أو احتلاله موقعًا استراتيجيًا على شبكة مقدم خدمة الإنترنت، ليحاول الردّ على الضحية باستجابة أسرع من استجابة الخادم الشرعي، فإذا فاز المهاجم بهذا “السباق” سوف يستخدم الجهاز المستهدف البيانات التي يتيحها المهاجم بدلًا من البيانات العادية. وحتى إذا لم يفُز المهاجم بمعظم السباقات، يظلّ بإمكانه تكرار المحاولة حتى ينجح، ما يضمن إصابته معظم الأجهزة في نهاية المطاف.
بعد الهجوم، يتلقى الجهاز المستهدف تطبيق تجسس يمكنه جمع قدر هائل من المعلومات. ويستطيع المهاجمون عرض أية ملفات مخزنة على الجهاز وتنزيلها وتشغيل بحث بكلمة أساسية في جميع المستندات. وبشكل عام، تستهدف LuoYu البعثات الدبلوماسية الأجنبية لدى الصين وأعضاء المجتمع الأكاديمي بالإضافة إلى شركات الدفاع والخدمات اللوجستية والاتصالات. هذا وتستخدم العصابة البرمجية الخبيثة WinDealer لمهاجمة أجهزة “ويندوز”.
وعادةً ما تحتوي البرمجية الخبيثة على خادم قيادة وسيطرة مشفّر تتحكم العصابة من خلاله في النظام بأكمله. باستخدام المعلومات المتعلقة بهذا الخادم، من الممكن حظر عنوان IP للأجهزة التي تتفاعل معها البرمجية الخبيثة، ما يؤدي إلى تحييد التهديد. لكنّ WinDealer يعتمد على خوارزمية معقدة لتوليد IP جديد لتحديد الجهاز الذي يجب الاتصال به. ويتضمن ذلك نطاقًا يصل إلى 48,000 عنوان IP، ما يجعل من المستحيل تقريبًا على المشغل التحكّم حتى في قدر محدود من العناوين. على أن الطريقة الوحيدة لتفسير هذا السلوك الشبكي الذي يبدو مستحيلًا، تكمن في افتراض أن المهاجمين لديهم قدرات اعتراض كبيرة على امتداد نطاق IP هذا، ويمكنهم حتى قراءة حُزم البيانات الشبكية التي لا تصل إلى أية وجهة.
ويُعدّ الهجوم بأسلوب man-on-the-side مدمرًا لأنه لا يتطلب أي تفاعل مع الهدف ليؤدي إلى إصابة ناجحة؛ إذ يكفي وجود جهاز متصل بالإنترنت. وإضافة إلى ذلك، لا يوجد شيء يمكن للمستخدمين القيام به لحماية أنفسهم، عدا عن توجيه حركة البيانات نحو شبكة أخرى باستخدام شبكة افتراضية خاصة (VPN)، لكن هذا الخيار قد لا يكون متاحًا في جميع المناطق، لا سيما في الصين، التي يقع فيها أغلبية ضحايا LuoYu، ولذلك يرى خبراء كاسبرسكي أن تركيز العصابة ينصبّ في الغالب على الضحايا الناطقين بالصينية والجهات ذات الصلة بالصين. ومع ذلك، لاحظ الباحثون أيضًا وقوع هجمات في دول أخرى مثل ألمانيا والنمسا والولايات المتحدة وجمهورية التشيك وروسيا والهند.
خريطة تُظهر التوزيع الجغرافي لهجمات WinDealer
وأكّد سوغورو إيشيمارو الباحث الأمني الأول في فريق البحث والتحليل العالمي لدى كاسبرسكي، أن LuoYu جهة تهديد متطورة جدًا وقادرة على الاستفادة من الوظائف التي ليست متاحة إلا للعصابات الكبيرة. ووصف الهجمات التي تُشنّ بأسلوب man-on-the-side بأنها “فائقة التدمير”، موضحًا بأن الشرط الوحيد المطلوب لمهاجمة الجهاز هو أن يكون متصلًا بالإنترنت، وأن فشل الهجوم في المرة الأولى لا يعني عدم قدرة المهاجمين على تكرار المحاولات حتى ينجحوا. وقال: “لا يسعنا إلا التكهّن بسبل تمكنهم من تطوير مثل هذه القدرات، لكن هذه هي طريقة شنّهم هجمات تجسّس خطرة وناجحة على ضحاياهم من الدبلوماسيين والعلماء والموظفين من كبرى القطاعات”.
وأضاف: “بغض النظر عن طريقة تنفيذ الهجوم، فليس أمام الضحايا المحتملين سبيل للدفاع عن أنفسهم سوى توخّى الحيطة واليقظة وتطبيق إجراءات أمنية قوية، مثل الفحوصات المنتظمة للفيروسات، وتحليل حركة البيانات الشبكية الصادرة، والتسجيل الشامل لهذه الحركات لاكتشاف الحالات غير الطبيعية”.