فيديو: من زينو نهار اليوم ØµØ Ø¹ÙŠØ¯ÙƒÙ… انشر الÙيديو Øتى يراه كل Ø§Ù„Ø (سبتمبر 2024)
كشف باحثو كاسبرسكي لاب عن عملية تجسس إلكترونية ضد المنظمات الحكومية للطاقة والنفط والغاز في جميع أنحاء العالم باستخدام أحدث مجموعة من الأدوات التي تمت رؤيتها حتى الآن. وقالت الشركة إن هذه العملية كانت لها كل علامات كونها هجوم دولة قومية.
كشف Costin Raiu ، مدير فريق البحث والتحليل العالمي في Kaspersky Lab ، وفريقه عن تفاصيل وراء "القناع" في قمة محللي الأمن في Kaspersky Lab يوم الاثنين ، واصفين كيف استخدمت العملية برنامج rootkit و bootkit والبرامج الضارة المصممة لـ أنظمة التشغيل Windows و Mac OS X و Linux. وقال الفريق إنه قد يكون هناك إصدارات Android و iOS من البرامج الضارة المستخدمة. بكل المقاييس ، يعد The Mask حملة من قِبل الدولة القومية ، وهيكلها أكثر تطوراً من حملة Flame المرتبطة بشبكة Stuxnet.
"هذه واحدة من أفضل ما رأيته. في السابق ، كانت أفضل مجموعة APT هي المجموعة التي تقف وراء Flame ، لكن الآن بعد أن غيّرت رأيي بسبب الطريقة التي تدير بها البنية التحتية وطريقة تفاعلها مع التهديدات وسرعة رد الفعل والاحترافية قال رايو. القناع "يتجاوز اللهب وأي شيء آخر رأيناه حتى الآن."
لم يتم اكتشاف العملية منذ حوالي خمس سنوات وأثرت على 380 ضحية من أكثر من 1000 عنوان IP مستهدف تابع للجهات الحكومية والمكاتب الدبلوماسية والسفارات ومعاهد البحوث والناشطين. قائمة البلدان المتأثرة طويلة ، بما في ذلك الجزائر والأرجنتين وبلجيكا وبوليفيا والبرازيل والصين وكولومبيا وكوستاريكا وكوبا ومصر وفرنسا وألمانيا وجبل طارق وغواتيمالا وإيران والعراق وليبيا وماليزيا والمكسيك والمغرب ، النرويج ، باكستان ، بولندا ، جنوب إفريقيا ، إسبانيا ، سويسرا ، تونس ، تركيا ، المملكة المتحدة ، الولايات المتحدة ، وفنزويلا.
تفريغ القناع
يقوم القناع ، المسمى أيضًا Careto ، بسرقة المستندات ومفاتيح التشفير ، ومعلومات التكوين الخاصة بالشبكات الافتراضية الخاصة (VPN) ، ومفاتيح Secure Shell (SSH) ، والملفات الخاصة بـ Remote Desktop Client. كما تمسح آثار أنشطتها من السجل. قال Kaspersky Lab إن البرامج الضارة لها بنية معيارية وتدعم ملفات المكونات الإضافية والتكوين. ويمكن أيضا أن يتم تحديثه مع وحدات جديدة. حاولت البرامج الضارة أيضًا استغلال إصدار قديم من برنامج الحماية الخاص بـ Kaspersky.
وقال رايو "إنه يحاول استغلال أحد مكوناتنا للاختباء".
يبدأ الهجوم برسائل بريد إلكتروني تصيّد رمح بها روابط إلى عنوان URL ضار يستضيف عمليات استغلال متعددة قبل تسليم المستخدمين في نهاية المطاف إلى الموقع الشرعي المشار إليه في نص الرسالة. في هذه المرحلة ، يسيطر المهاجمون على اتصالات الجهاز المصاب.
استخدم المهاجمون استغلالًا استهدف ثغرة أمنية في Adobe Flash Player والذي يسمح للمهاجمين بتجاوز صندوق الحماية في Google Chrome. تم استغلال مشكلة عدم الحصانة لأول مرة بنجاح أثناء مسابقة Pwn2Own في CanSecWest مرة أخرى في عام 2012 بواسطة وسيط الثغرة الفرنسي VUPEN. رفض VUPEN الكشف عن تفاصيل حول كيفية قيامه بالهجوم ، قائلًا إنهم أرادوا حفظه لعملائهم. لم يقل Raiu صراحة أن الاستغلال المستخدم في The Mask كان هو نفسه VUPEN ، لكنه أكد أنه كان نفس الضعف. "ربما شخص يستغل أنفسهم" ، وقال Raiu.
أخذ VUPEN إلى Twitter لينكر استغلاله في هذه العملية ، قائلًا ، "بياننا الرسمي حول #Mask: الاستغلال ليس لنا ، ربما تم العثور عليه من خلال تفريق التصحيح الذي أصدره Adobe بعد # Pwn2Own." بمعنى آخر ، قارن المهاجمون برنامج Flash Player المصحح بالإصدار غير المرتبط به ، واستخلصوا الاختلافات ، واستخلصوا طبيعة الاستغلال.
أين القناع الآن؟
وقال Raiu عندما نشرت كاسبرسكي دعابة من القناع على مدونتها الأسبوع الماضي ، بدأ المهاجمون إيقاف عملياتهم. وقال خايمي بلاسكو ، مدير الأبحاث في AlienVault Labs ، إن حقيقة أن المهاجمين تمكنوا من إغلاق بنيتهم التحتية في غضون أربع ساعات بعد نشر Kaspersky للمضايقات تشير إلى أن المهاجمين كانوا محترفين حقًا.
بينما قامت Kaspersky Lab بإيقاف تشغيل خوادم الأوامر والتحكم التي وجدت أنها مرتبطة بالعملية وأغلقت Apple المجالات المرتبطة بإصدار Mac الخاص بالاستغلال ، تعتقد Raiu أنها مجرد "لقطة" للبنية التحتية الشاملة. وقال رايو "أظن أننا نرى نافذة ضيقة للغاية في عملها".
في حين أنه من السهل افتراض أنه بسبب وجود تعليقات في الكود باللغة الإسبانية على أن المهاجمين كانوا من بلد يتحدث الإسبانية ، فقد أشار Raiu إلى أن المهاجمين كان يمكنهم بسهولة استخدام لغة مختلفة كعلم أحمر لإبعاد المحققين عن المسار الصحيح. أين القناع الآن؟ نحن فقط لا نعرف.
