اكتشف خبراء كاسبرسكي نوعاً جديداً من البرامج الخبيثة، وهو “سترايبدفلاي” StripedFly الذي يمتاز بشدّة التعقيد والمنتشر عالمياً، ليؤثر في أكثر من مليون ضحية على الأقل منذ عام 2017. وكان البرنامج في البداية يعمل في مجال تعدين العملات المشفرة، ليتبيّن لاحقاً أنه برنامج خبيث ومعقد، وقابل للتحول.
وتمكّن فريق البحث والتحليل العالمي في كاسبرسكي من العثور على اكتشافين غير متوقعين ضمن عملية (WININIT.EXE) في عام 2022، وتم تشغيلهما بواسطة تسلسلات التعليمات البرمجية التي لُوحظت سابقاً في البرنامج الخبيث المعروف باسم “إكويجن” Equation.
ولوحظ استمرار هذا النشاط منذ عام 2017 على الأقل لكنه تمكّن من التهرب بطرق فعالة من التحليل السابق، الأمر الذي دفع الخبراء إلى تصنيفه في فترات سابقة بشكل خاطئ على أنه عامل تعدين للعملات المشفرة. لكن بعد إخضاعه لفحص شامل، خرج الباحثون بنتيجة مفادها أن أداة تعدين العملة المشفرة كانت مجرد أحد المكونات من أداة أكبر بكثير، وعلى وجه التحديد إطار عمل خبيث معقد ومتعدد المنصات والمكونات الإضافية.
وتشمل حمولة البرامج الخبيثة على وحدات متعددة، الأمر الذي يتيح للجهة الفاعلة العمل كمصدر للتهديدات المتقدمة المستمرة، وكعامل تعدين للعملات المشفرة، وحتى كمجموعة من برامج الفدية، ليوسع دوافعه من التجسس ليشمل تحقيق مكاسب مالية.
والجدير بالذكر في هذا الصدد أن عملة “مونيرو” Monero المشفرة التي تم تعدينها بالاعتماد على هذه الوحدة، قد وصلت إلى قيمتها القصوى عند مستوى 542.33 دولاراً أمريكياً في 9 يناير 2018، مقارنة بقيمتها التي بلغت 10 دولارات تقريباً في عام 2017.
واعتباراً من عام 2023، حافظت على قيمة تبلغ زهاء 150 دولاراً. ويؤكد خبراء كاسبرسكي أن وحدة التعدين تعتبر العامل الأساسي الذي يضمن للبرامج الخبيثة التخفّي وتجنب اكتشافها لفترة طويلة.
واكتسبت الجهة المهاجمة التي تقف وراء هذه العملية قدرات واسعة النطاق للتجسس سراً على الضحايا. وتقوم البرمجيات الخبيثة بجمع بيانات تسجيل الدخول كل ساعتين، لسرقة البيانات الحساسة، مثل: بيانات اعتماد تسجيل الدخول إلى المواقع وشبكة “الواي فاي”، وأخرى تتعلق بتحديد تفاصيل الضحية، بما يشمل: المسمّى الوظيفي.
ويمكن للبرامج الخبيثة أيضاً تصوير لقطات لشاشة جهاز الضحية من دون أن يتمكن من اكتشاف هذا السلوك، والقدرة على التحكم بالجهاز، وقد يصل الأمر إلى حدّ تسجيل مدخلات الميكروفون.
ومع أن ناقل العدوى الأولي بقي غير معروف، إلا أن التحقيقات التي أجرتها كاسبرسكي تمكنت من الكشف عن استخدام الثغرة المعروفة باسم “إيتيرنال بلو” EternalBlue أو (SMBv1) المصممة خصيصاً للتسلل إلى أنظمة الضحية. ومع أن الكشف عن هذه الثغرة تم في عام 2017، ومن ثم قيام “مايكروسوفت” بإصدار تصحيح لاحق حمل اسم (MS17-010)، لا يزال التهديد الذي تمثله كبيراً بسبب عدم قيام العديد من المستخدمين بتحديث أنظمتهم.
ولاحظ خبراء كاسبرسكي أوجه التشابه مع البرنامج الخبيث “إيكويجن” في أثناء التحليل الفني للحملة، ومن بين هذه المؤشرات الفنية، التوقيعات المرتبطة ببرنامج “إيكويجن”، إضافة إلى التشابه في أسلوب وممارسات الترميز مع نظيراتها في البرنامج الخبيث StraitBizzare الذي يُعرف اختصارًا باسم (SBZ).
واستناداً إلى أعداد التحميل الظاهرة في مستودع استضافة البرامج الخبيثة، فقد وصل العدد التقديري لأهداف برمجية “سترايبدفلاي” StripedFly إلى أكثر من مليون ضحية حول العالم.
وقال سيرجي لوزكين، باحث أمني رئيسي في فريق البحث والتحليل العالمي (GReAT) في كاسبرسكي: “يعتبر حجم الجهد المبذول في إنشاء هذا الإطار مهماً، في حين كان الكشف عنه مذهلاً. وتمثل القدرة التي يتمتع بها مجرمو الإنترنت على التكيف والتطور تحدياً مستمراً، وهو الأمر الذي يدفعنا كباحثين إلى مواصلة تكريس جهودنا للكشف عن التهديدات الإلكترونية المعقدة، في حين يتعيّن على العملاء عدم إغفال الحماية الشاملة من الجرائم الإلكترونية”.
وصايا خبراء كاسبرسكي لتجنب الوقوع كضحية لبرمجية StripedFly:
ولتفادي الوقوع ضحية لهجوم مستهدف من جهة معروفة أو غير معروفة، يوصي خبراء كاسبرسكي اتباع التدابير التالية:
- تحديث نظام التشغيل والتطبيقات وبرامج مكافحة الفيروسات بانتظام كوسيلة لتصحيح أي ثغرات أمنية معروفة.
- توخّي الحذر عند التعامل مع رسائل البريد الإلكتروني أو الرسائل أو المكالمات التي تطلب معلومات حساسة. ويجب عليك التحقق من هوية المرسل قبل الكشف عن أي تفاصيل شخصية أو النقر على الروابط المشبوهة.
- تزويد فريقك من أعضاء مركز العمليات الأمنية بإمكانية الوصول إلى أحدث المعلومات المتعلقة بالتهديدات. وتعتبر بوابة كاسبرسكي للمعلومات الأمنية نقطة وصول شاملة للمعلومات المتعلقة بالهجمات الإلكترونية الخاصة بالشركة، حيث توفر البيانات والرؤى والمعلومات حول الهجمات الإلكترونية التي جمعتها كاسبرسكي على مدار أكثر من 20 عاماً.
- تعزيز مهارات فريقك للأمن السيبراني لإكسابه القدرة على التعامل مع أحدث التهديدات المستهدفة من خلال التدريب الذي توفره عبر الإنترنت من تطوير خبراء فريق البحث والتحليل العالمي.
- للكشف عن مستوى نقاط النهاية والتحقيق فيها ومعالجة الحوادث في الوقت المناسب، يجب تطبيق حلول الكشف عن نقاط النهاية والاستجابة لها مثل الحل الذي توفره كاسبرسكي Kaspersky Endpoint Detection and Response.
يمكن قراءة المزيد عن برمجية “سترايبدفلاي” StripedFly عبر موقع Securelist.com.