لندن –”القدس العربي”: تمكّن باحثون يعملون في مجال أمن المعلومات من تحديد برمجيات خبيثة يبدو أنها ستستهدف السفارات والهيئات الدبلوماسية في العالم خلال الفترة المقبلة، وذلك بعد محاولات لضرب سفارات ومقرات دبلوماسية في إيران.
وقال باحثون يعملون لدى شركة “كاسبرسكي لاب” الروسية إنهم ضبطوا محاولات عدة لشن هجمات إلكترونية على هيئات دبلوماسية أجنبية في إيران باستخدام برمجيات تجسس محلية الصنع.
وتعتقد كاسبرسكي لاب أن الجهة التخريبية الكامنة وراء الهجمات لجأت إلى نسخة محدثة البرمجية الخبيثة “Remexi” فيما استخدمت كذلك عدداً من الأدوات البرمجية المشروعة خلال الحملة.
وقالت الشركة إن برمجية “ريمكسي” الخبيثة ترتبط بمجموعة تجسس إلكترونية ناطقة باللغة الفارسية تُعرف بالاسم Chafer، كانت مرتبطة في السابق بعمليات مراقبة إلكترونية للأفراد تمت في بلدان في منطقة الشرق الأوسط. وقد يُشير استهداف السفارات إلى بؤرة اهتمام جديدة لهذه المجموعة التخريبية.
وأضافت كاسبرسكي أن هذه العملية تسلِط الضوء على قدرة الجهات التخريبية التي تنشط في المناطق الناشئة على تنفيذ حملات متصاعدة ضد أهداف تهمها باستخدام برمجيات تجسس بسيطة نسبيا ومصنوعة محليا، بجانب أدوات متاحة في المتناول. وقد استخدم المهاجمون في هذه الحالة نسخة محسنة من Remexi، الأداة التي تتيح التحكم عن بُعد بجهاز الضحية.
يُشار إلى أنه تم اكتشاف “ريمكسي” لأول مرة في العام 2015، حين استخدمته مجموعة تجسس إلكتروني تُدعى “Chafer” من أجل إجراء عملية مراقبة عبر الإنترنت تستهدف أفرادا وعددا من المؤسسات في أنحاء بالشرق الأوسط. وبالنظر إلى كون البرمجيات المستخدمة في الحملة الجديدة مشابهة لبرمجية Remexi معروفة، مع تشابه مجموعات الضحايا المستهدفة، فقد أبدى الباحثون في كاسبرسكي لاب مستوى معتدلا من الثقة عند ربطهم هذه الحملة بمجموعة Chafer.
وتمتاز البرمجية الخبيثة المكتشفة حديثًا بقدرتها على تنفيذ الأوامر عن بُعد والتقاط صور لمحتوى الشاشة وبيانات المتصفح، بما فيها بيانات اعتماد المستخدم وبيانات تسجيل الدخول والتاريخ وأي نص مكتوب آخر، وغيرها. ويتم سحب البيانات المسروقة عبر خدمة “Microsoft Background Intelligent Transfer Service” المشروعة من مايكروسوفت والتي تُعتبر أحد مكونات نظام ويندوز المصممة لتمكين النظام من إجراء التحديثات في خلفيته. ويساعد توجه المجموعات التخريبية نحو الجمع بين البرمجيات الخبيثة وتلك المشروعة، على توفير الوقت والموارد عند إنشاء برمجياتهم الخبيثة، وجعل إسناد البرمجيات إلى الجهة الكامنة وراءها عملية أكثر تعقيداً.
وقال دينيس ليغيزو، الباحث الأمني لدى كاسبرسكي لاب، إن الحديث عن حملات تجسس إلكتروني ترعاها دولة ما، غالبًا ما يوحي للمستمع بعمليات تجسس متقدمة تتم بأدوات معقدة طورها خبراء، لكنه أكد أن الأشخاص الذين يقِفون وراء حملة التجسس هذه يبدون كمديري نُظم أكثر من جهات تخريبية متطورة، موضحا أنهم “خبراء في البرمجة، لكن حملتهم تعتمد اعتمادا كبيرا على الاستخدام الإبداعي للأدوات المتاحة أصلًا، بدل الاعتماد على المزايا الجديدة والمتقدمة أو البُنية التفصيلية للقطعة البرمجية”.
وأضاف: “بوسع الأدوات البسيطة نسبيًا إحداث أضرار بالغة، لذلك نحث الشركات والمؤسسات على حماية معلوماتها وبياناتها ونُظمها الحاسوبية والتقنية القيمة من التهديدات بجميع مستوياتها، واستخدام المعلومات والمستجدات المتعلقة بالتهديدات لفهم كيفية تطور المشهد”.
وقالت “كاسبرسكي لاب” إنه ينبغي للشركات والمؤسسات والهيئات الدبلوماسية اتباع الإجراءات التالية من أجل الحماية من برمجيات التجسس الموجهة، بما فيها استخدام حل أمني من مستوى مؤسسي ذي قدرات مثبتة في التصدي للهجمات الموجهة، مدعوم بمعلومات التهديدات.
كما ينبغي للشركات تقديم مبادرات في الوعي الأمني لتمكين الموظفين من إتقان مهارة تحديد الرسائل المشبوهة. ويُعتبر البريد الإلكتروني مدخلاً شائعاً للهجمات الموجهة. وينبغي أيضا تزويد فِرَق الأمن بإمكانية الحصول على أحدث المعلومات والمستجدات المتعلقة بالتهديدات، لمواكبة أحدث الأساليب والأدوات التي يستخدمها المجرمون الإلكترونيون، وتعزيز الضوابط الأمنية المستخدمة بالفعل.