باحث أمني يكشف عن حملة تجسس إلكتروني عالمية
كشف أحد الباحثين الأمنيين في شركة “تريند مايكرو” Trend Micro المتخصصة في مجال الأمن المعلوماتي، الجمعة عن وجود عملية تجسس إلكتروني عالمية قامت إلى الآن باختراق أجهزة حاسب تعود لوزارات حكومية، وشركات تقنية، ووسائل إعلامية، ومعاهد بحث أكاديمية ومنظمات غير حكومية في أكثر من 100 بلد.
وتستهدف العملية التي أطلقت عليها شركة “تريند مايكرو” اسم “SafeNet” ضحاياها باستخدام رسائل بريد إلكتروني تصيدية مع مرفقات خبيثة.
وكشفت التحقيقات الأولية عن وجود مجموعتين من “خوادم التحكم” تم استخدامها من أجل ما يبدو أنه حملتين من هجوم SafeNet، واللتين كانتا تستهدفان ضحايا مختلفة ولكن باستخدام نفس البرمجية الخبيثة.
وتستخدم حملة الهجوم الأولى رسائل بريد إلكتروني تصيدية مع محتوى مرتبط بهضبة التيبت ومنجوليا، ولدى هذه الرسائل التصيدية مرفقات نصية ذات الامتداد doc. عملها هو استغلال ثغرة في برنامج “مايكروسوفت وورد”، والتي قامت شركة “مايكروسوفت” بترقيعها في أبريل من العام الماضي.
وقد كشفت سجلات الوصول التي تم جمعها من خوادم التحكم، عن وجود أكثر من 243 عنوان الإنترنت IP كان ضحية للهجوم في 11 بلدًا مختلفًا. ومع هذا فقد أكد الباحث الأمني أن عدد الضحايا النشطة حاليًا هي 3 في كل من منجوليا والسودان.
وبالنسبة لحملة الهجوم الثانية، فقد كشف السجلات الخاصة بها عن وجود حوالي 11,563 عنوان إنترنت IP فريد من 116 بلدًا مختلفًا، مع احتمال أن يكون العدد الفعلي للضحايا أقل، وذلك بحسب ماذكره باحث شركة “تريند مايكرو”، الذي قال أنه ما يزال يوجد حوالي 71 ضحية نشطة حتى لحظة التحقيقات في الهجمات التجسسية.
وبحسب التحقيقات فإن أكثر 5 دول تعرضت للهجوم ضمن الحملة الثانية، هي الهند، والولايات المتحدة الأمريكية، والصين، وباكستان، والفليبين، وروسيا.
يُذكر أن البرمجيات الخبيثة التي تم إرسالها بواسطة رسائل البريد الإلكتروني التصيدي، كانت تستهدف سرقة معلومات المستخدمين، خاصة كلمات المرور المحفوظة في متصفحات الإنترنت، مثل إنترنت إكسبلورر وموزيلا فايرفوكس، بالإضافة إلى اعتمادات بروتوكول التحكم بسطح المكتب عن بعد Remote Desktop Protocol والمخزنة في نظام التشغيل “ويندوز”.
وقال الباحث الأمني الذي قام باكتشاف حملة SafeNet، إن مسألة تحديد هوية الجهة وراء الهجوم تعتبر صعبة التحقق، ولكن تأكد الشركة أن من وراء العملية مهندسو برمجيات محترفون قادرون على الاتصال بحركات الجرائم الإلكترونية السرية المتواجدة في الصين.
وأضاف الباحث أن من قام بتشغيل خوادم التحكم كان قد تمكن من الوصول إليهم من عدد بلدان، ولكن الغالبية العظمى من عناوين الإنترنت IP كانت من الصين وهونج كونج.
