القيادة الإلكترونية الأمريكية تنشر عينات للبرمجيات الضارة
اتخذت الحكومة الأمريكية خطوة أخرى في استراتيجيتها للتخلص من الأدوات والعمليات الهجومية التي تستخدمها الحكومات الأجنبية في الفضاء السيبراني، حيث بدأت القيادة الإلكترونية الأمريكية المعروفة اختصارًا باسم CYBERCOM، وهي وحدة من الجيش تابعة لوزارة الدفاع الأمريكية مكلفة بعمليات القرصنة والأمن السيبراني وتدعيم خبرة وزراة الدفاع السيبرانية، هذا الأسبوع مبادرة جديدة عبر وحدة CNMF تهدف من خلالها إلى نشر عينات سرية من البرمجيات الخبيثة التي اكتشفتها على شبكاتها مع مجتمع الأمن السيبراني الأوسع.
وتضم وحدة CNMF عدة فرق منفصلة بعضها دفاعي وبعضها هجومي، وتتحمل هذه الفرق مسؤولية الكشف عن الهجمات ضد شبكات الولايات المتحدة، مما يجعلها تحصل على نظرة فريدة من نوعها للأدوات المستخدمة من قبل الخصوم الأجانب، وخاصة مجموعة APT28 والفرق الأخرى التي ترعاها الدولة، حيث يتم تصنيف معظم ما يجمعونه على أنه سري.
وأشارت القيادة الإلكترونية الأمريكية إلى إن هذه الخطوة تهدف إلى تحسين مشاركة المعلومات بين مجتمع الأمن السيبراني، مع اعتبارها رسالة موجهة إلى أولئك الذين يحاولون اختراق الأنظمة الأمريكية، كما أنها أنشأت حسابًا جديدًا على تويتر لنشر جميع روابط تحميل عينات الملفات الضارة من موقع VirusTotal.
وقال جوزيف هولستيد Joseph Holstead، القائم بأعمال مدير الشؤون العامة في القيادة الإلكترونية الأمريكية CYBERCOM: “يهدف هذا إلى أن يكون جهداً ثابتاً ومستمراً لتبادل المعلومات، ولا يركز على أي خصم بعينه”.
ورفع موقع CYBERCOM ملفات متعددة إلى حسابه على موقع VirusTotal، وهو عبارة عن محرك بحث تابع لشركة جوجل لفحص الملفات عبر الإنترنت ومستودع للبرامج الضارة، ويمكن لمستخدمي موقع VirusTotal تنزيل البرامج الضارة ومعرفة أي من منتجات مكافحة الفيروسات أو الأمن السيبراني يكتشفها، بالإضافة إلى إمكانية رؤية روابط إلى أجزاء أخرى من التعليمات البرمجية الضارة.
وجرى الإشارة إلى إحدى عينات LoJax/LoJack التي نشرتها القيادة الإلكترونية الأمريكية على أنها تابعة لمجموعة القرصنة APT28، ووفقًا لموقع VirusTotal وتقارير العديد من شركات الأمن السيبراني المختلفة، بما في ذلك منتجات كاسبرسكي لاب Kaspersky Lab وسيمانتيك Symantec وكراودستريك Crowdstrike، فإن هذه المجموعة مرتبطة بالحكومة الروسية، وتعرف مجموعة APT28 أيضًا باسم Sofacy و Fancy Bear.
وقال كوستين رايو Costin Raiu، مدير فريق البحث والتحليل العالمي في كاسبرسكي لاب Kaspersky Lab: “هذه مبادرة عظيمة، ونحن نعتقد أنه إذا كانت هناك المزيد من الحكومات ستفعل الشيء نفسه، فإن العالم سيكون أكثر أمانًا. ونحن نحيي مبادرتهم، وبالطبع نولي اهتمامًا وثيقًا لما يقومون بتحميله”، وأضاف أن شركة كاسبرسكي لاب تتبع هذه البرمجية الضارة منذ سنوات.
فيما قال مايك وياسيك Mike Wiacek، كبير مسؤولي الأمن والشريك المؤسس لشركة Chronicle، وهي قسم الأمن الإلكتروني ضمن شركة ألفابت والمسؤولة عن موقع VirusTotal: “نعتقد أن وجود المزيد من الملفات في VirusTotal يزيد من القيمة للمجتمع بأكمله، وساعدت هذه الخطوة على توفير ملفات خاصة ببرمجية LoJax/LoJack الخبيثة لم تكن موجودة من قبل في VirusTotal”.
وتستخدم هذه البرمجية الضارة LoJax جزءًا من برنامج LoJack المعروف سابقًا باسم Computrace، وهو برنامج حماية يتيح لك تتبع الحاسب المحمول في حالة السرقة، مما يجعل من الصعب إزالتها، حتى عندما يعيد المستخدم تثبيت نظام التشغيل الخاص به أو يبدل محرك الأقراص الثابت بآخر جديد، وذلك تبعًا إلى أنه يجري تضمين LoJax ضمن البرمجات الثابتة لجهاز الحاسب وتعمل عند إقلاع نظام التشغيل.
وتأتي خطوة مشاركة عينات البرامج الضارة مع المجتمع الأمني الأوسع في وقت تفرض فيه الحكومة الأمريكية ضغطًا متزايدًا على المهاجمين الأجانب عبر عدد من الطرق المختلفة، إذ أصدرت وزارة العدل في وقت سابق لائحة اتهام ضد شركة مملوكة للحكومة الصينية وشركة تايوانية وثلاثة مواطنين تايوانيين فيما يتعلق بسرقة أسرار تجارية تبلغ قيمتها مليارات الدولارات لتكنولوجيا أشباه الموصلات من أكبر صانع للذاكرة في الولايات المتحدة، ميكرون تكنولوجي Micron Technology Inc.
This Twitter account was created solely to provide alerts to the cybersecurity community that #CNMF has posted new malware to @virustotal. A log of our uploads can be found here: https://t.co/fSgk1xpG8t
— USCYBERCOM Cybersecurity Alert (@CNMF_CyberAlert) November 5, 2018
