كاسبرسكي: TajMahal منظومة تجسس نادرة، تضم 80 وحدة تخريبية بوظائف، فريدة وانتماء مجهول!

اكتشف باحثون في كاسبرسكي لاب منظومة متطورة للتجسس الإلكتروني، تنشط – على الأرجح – منذ ما قبل العام 2013، دون أن تُبدي صلاتٍ واضحة بأي من الجهات التخريبية المعروفة، والناشطة في مشهد التهديدات الأمنية العالمي.

وتشتمل المنظومة المكتشفة، التي أطلق عليه الباحثون اسم TajMahal، على نحو 80 وحدة خبيثة، وتتضمن وظائف لم يسبق مشاهدتها في التهديدات المستمرة المتقدمة، مثل: القدرة على سرقة المعلومات من قوائم انتظار تنفيذ الطباعة في الطابعات، والحصول على الملفات التي سبق مشاهدتها على أداة تخزين محمولة، بمجرّد أن يُعاد توصيلها في الجهاز عبر منفذ USB. ولم تكتشف كاسبرسكي لاب حتى الآن سوى ضحية واحدة لهذه المنظومة، هي كيان دبلوماسي تابع لإحدى دول آسيا الوسطى، لكن من المحتمل وفقًا للشركة أن تكون جهات أخرى قد تأثرت.

وعثر الباحثون على منظومة TajMahal للتجسس في أواخر العام 2018، وهي عبارة عن أحد نماذج التهديدات المستمرة المتقدمة المتطورة تقنيًا، والمصممة لتنفيذ عمليات تجسس إلكتروني شاملة.

وأظهر تحليل البرمجيات الخبيثة الذي أجراه الباحثون على هذه المنظومة: أن النظام الأساسي قد تمّ تطويره واستخدامه على الأقل خلال السنوات الخمس الماضية، بعدما وُجد أن أقدم عينة من البرمجيات الخبيثة في هذه المنظومة تعود إلى إبريل من العام 2013، في حين أن آخرها وجدت مؤرّخة في أغسطس الماضي. وقد جاء اسم TajMahal الذي أطلقه الباحثون على منظومة التجسّس الفريدة هذه من اسم الملف المستخدم للتسلل إلى البيانات المسروقة.

ويعتقد الباحثون أن إطار المنظومة يشتمل على باقتين رئيستين تحملان الاسمين: Tokyo، وYokohama، فالباقة Tokyo هي الصغرى، وتمثل المرحلة الأولى، وتشتمل على نحو ثلاث وحدات، بجانب وظيفة المنفذ الخلفي الرئيس، وتتصل بانتظام مع خوادم القيادة والسيطرة. وتستفيد باقة Tokyo من اللغة البرمجية PowerShell، وتبقى في الشبكة، حتى بعد انتقال الاقتحام إلى مرحلته الثانية باقة Yokohama.

وتشكّل المرحلة الثانية (Yokohama) بُنية تجسس مجهزة تجهيزًا كاملًا، وتشتمل على نظام ملفات افتراضي VFS، مزوّد بجميع البرمجيات الإضافية، وبمكتبات ملفات خارجية، وملفات مفتوحة المصدر؛ لإعداد التهيئات المطلوبة. وثمّة في هذه الباقة ما يقرب من 80 وحدة في المجموع، تشمل أدوات التحميل والتنسيق، وأدوات الاتصال بخوادم القيادة والسيطرة، ومسجلات الصوت، ومسجلات لوحات المفاتيح، وأدوات مراقبة محتوى الشاشات، وكاميرا الويب، علاوة على أدوات سرقة المستندات، ومفاتيح التشفير.

ويمكن لمنظومة TajMahal أيضًا الحصول على ملفات تعريف الارتباط المحفوظة في المتصفحات، وجمع قائمة النسخ الاحتياطي في أجهزة Apple المحمولة، وسرقة البيانات من قرص مضغوط التي كانت قد نسخت عليه من الجهاز الضحية، فضلًا عن سرقة المستندات الموجودة في قائمة انتظار الطباعة في الطابعات. ويمكن للمنظومة كذلك “طلب” سرقة ملف معين تمت مشاهدته سابقًا على أداة تخرين محمولة، ليُسرق بمجرّد أن يتم توصيل هذه الأداة بالجهاز الضحية، عبر منفذ USB مرة أخرى.

وكانت الأنظمة المستهدفة التي عثر عليها كاسبرسكي لاب مصابة بكل من Tokyo، وYokohama. ويشير هذا إلى أن Tokyo قد استخدمت للإصابة في المرحلة الأولى، وفيها نفّذت حزمة Yokohama العاملة بكامل طاقتها على الضحايا، ثم تركتها لأغراض النسخ الاحتياطي.

ولم يتمّ حتى الآن ملاحظة سوى ضحية واحدة؛ سفارة تابعة لإحدى دول آسيا الوسطى، أصيبت نحو العام 2014. إلاّ أن ناقلات التوزيع والإصابة بمنظومة TajMahal غير معروفة حاليًا.

وقال أليكسي شولمين محلل برمجيات خبيثة رئيس لدى كاسبرسكي لاب: إن منظومة TajMahal تشكّل اكتشافًا “مثيرًا للاهتمام”، مؤكدًا أنها “متطورة للغاية” من الناحية التقنية، وتتميز بوظائف “لم يسبق رؤيتها من قبل” لدى الجهات التهديدية التخريبية المتقدمة، لكنه أشار إلى وجود أسئلة بلا إجابات حول هذه المنظومة، مُستبعِدًا أن تكون الجهات التخريبية الكامنة وراءها قد “استثمرت الكثير من الموارد من أجل الهجوم على ضحية واحدة فقط”، وأضاف: “يشير هذا الأمر إلى احتمال وجود ضحايا آخرين لم يتم تحديدهم بعد، أو إصدارات إضافية لا تزال سائبة من هذه البرمجيات الخبيثة، أو ربما كلا الأمرين معًا”.

وأشار شولمين من جهة أخرى، إلى بقاء ناقلات التوزيع والإصابة بهذا التهديد “مجهولة إلى الآن”، بعد أن ظلّت بطريقة ما متخفّية لأكثر من خمس سنوات، وانتهى إلى القول: “يثير هذا التخفّي أسئلة حول أسبابه، فهل كان سببه الخمول النسبي، أو أنه يعود لسبب آخر، كما لا توجد أدلة على جهة ما يمكن إسناد هذه المنظومة إليها، وليست هناك أية روابط تصلها بأي من مجموعات التهديد المعروفة”.

يُذكر أن جميع منتجات كاسبرسكي لاب قادرة على اكتشاف هذا التهديد وإيقافه بنجاح. ولتجنب الوقوع ضحية لهجوم موجّه من جهات تخريبية معروفة أو مجهولة، يوصي باحثو الشركة باستخدام أدوات أمنية متقدمة، مثل: (Kaspersky Anti Targeted Attack Platform KATA) والتأكد من قدرة فرق الأمن الإلكتروني المؤسسي على الوصول إلى أحدث معلومات التهديدات الإلكترونية.

كما يوصي الباحثون بالتأكد من التحديث المنتظم لجميع البرمجيات المستخدمة في المؤسسة، لا سيما عند إصدار الشركات المنتجة لهذه البرمجيات تصحيحات برمجية لثغرات أمنية. وقد تساعد منتجات الأمن المزودة بقدرات تقييم الثغرات الأمنية، وإدارة التصحيحات البرمجية في أتمتة هذا الجانب.

ويُنصح أيضًا بالتأكد من أن الموظفين يفهمون مبادئ السلامة الأساسية للأمن الإلكتروني، إذ إن العديد من الهجمات الموجّهة تبدأ من محاولات التصيّد، وغيره من أساليب الهندسة الاجتماعية.