كاسبرسكي تكتشف برنامجًا ضارًا خطرًا يستهدف أجهزة إنترنت الأشياء

أفادت شركة كاسبرسكي بأن المجرمين السيبرانيين يطورون مهاراتهم وأدواتهم باستمرار، ويبحثون دائمًا عن طرق جديدة لإلحاق الضرر بالأفراد والشركات.

وفي مدونة Securelist الأخيرة من كاسبرسكي، اكتشفت الشركة طرق العدوى غير الشائعة التي يستخدمها المهاجمون. وفضلًا عن اكتشافات أخرى، سُلِّط الضوء على برنامج (رابر بوت) RapperBot ضمن فئة ديدان (ميراي) الضارة التي تصيب أجهزة إنترنت الأشياء، إذ يتمثل هدفها النهائي في شن هجمات (حجب الخدمة الموزعة) DDoS ضد أهداف لا ترتبط ببروتوكول نقل النص الفائق HTTP.

وتتضمن الطرق الأخرى المذكورة في المدوّنة استخدام أدوات سرقة المعلومات: Rhadamanthys و CUEMiner، ويُفعل ذلك بالاعتماد على البرامج الضارة المفتوحة المصدر التي يُفترض أن تُوزَّع من خلال (بيت تورنت) BitTorrent و(ون درايف) OneDrive.

وكُشف عن برنامج RapperBot الضار أول مرة في شهر حزيران/ يونيو 2022، حينما استُخدم لاستهداف بروتوكول Secure Shell (SSH)، الذي يُعد طريقة آمنة لتوصيل الملفات؛ لأنه يستخدم الاتصالات المشفرة، مقارنةً بخدمات البروتوكول الشبكي Telnet التي تنقل البيانات كنصٍ عادي.

ومع ذلك، نجح أحدث إصدار من برنامج RapperBot في إزالة وظائف بروتوكول SSH، ويركز الآن حصريًا في البروتوكول الشبكي Telnet، وتمكن من تحقيق بعض النجاح.

وفي الربع الأخير من العام الماضي 2022، وصل عدد محاولات الإصابة باستخدام برنامج RapperBot إلى 112,000 مستخدم من أكثر من 2,000 عنوان فريد لبروتوكول الإنترنت IP.

ومن أهم ما يميز برنامج RapperBot عن الديدان الأخرى اتباعه طريقة الهجمات القوة العمياء الذكية intelligent brute forcing، إذ إنه يتحقق أولًا من أداة التوجيه التي يستند إليها لتحديد بيانات الاعتماد المناسبة.

وتعمل هذه الطريقة على تسريع هجمات القوة العمياء بدرجة كبيرة، إذ لا يفترض بها تجاوز قائمة ضخمة من بيانات الاعتماد. وفي شهر كانون الأول/ ديسمبر 2022، كانت تايوان، وكوريا الجنوبية، والولايات المتحدة أكثر ثلاث دول يوجد فيها أعلى عدد من الأجهزة المصابة ببرنامج RapperBot.

وهناك عائلة برامج ضارة أخرى وصفتها مدونة كاسبرسكي وهي CUEMiner، استنادًا إلى برنامج ضار مفتوح المصدر ظهر أول مرة على Github في عام 2021. وكُشف الإصدار الأخير في شهر تشرين الأول/ أكتوبر 2022، ويتضمن عامل تعدين ذاتي، وما يسمى بـ «المراقب». ويراقب هذا البرنامج نظامًا معينًا، وفي الوقت ذاته تُطلق عملية ثقيلة، مثل: «لعبة فيديو» على حاسوب الضحية.

وفي أثناء التحقيق الذي أجرته في CUEMiner، لاحظت كاسبرسكي وجود طريقتين لنشر البرنامج الضار. وتُنفَّذ الأولى عبر برنامج مخترق بأحد التروجانات التي تُنزَّل عبر BitTorrent. أما الأخرى فتُنفَّذ عبر برنامج مخترق أيضًا بأحد التروجانات التي تُنزَّل من خدمة مشاركة الملفات OneDrive.

ونظرًا إلى عدم وجود روابط مباشرة متاحة في وقت النشر، لا يزال من غير الواضح الطرق التي تُتّبع للإيقاع بالضحايا، ودفعهم لتنزيل هذه الحزم المخترقة. ومع ذلك، فإن العديد من مواقع اختراق أنظمة الحاسوب الآمنة هذه الأيام لا توفر التنزيلات حالًا، ولكنها تشير إلى قنوات خوادم Discord لإجراء المزيد من المناقشة. ويشير هذا إلى أحد أشكال التفاعل البشري والهندسة الاجتماعية.

وتحظى هذه البرامج الضارة «المفتوحة المصدر» بشعبية كبيرة بين مجرمي الإنترنت الهواة أو غير المهرة؛ لأنها تسمح لهم بشن حملات ضخمة، إذ ينتشر ضحايا CUEMiner حاليًا في جميع أنحاء العالم، ويكون بعضهم داخل شبكات المؤسسات. وتبين من خلال استخدام القراءات الواردة من شبكة كاسبرسكي الأمنية أن البرازيل، والهند، وتركيا سجلت أكبر عدد من الضحايا.

وأخيرًا، توفر مدونة كاسبرسكي معلومات جديدة عن Rhadamanthys، وهو برنامج لسرقة المعلومات يستخدم إعلانات جوجل كوسيلة لتوزيع البرامج الضارة وإيصالها. وقد عُرض بالفعل على Securelist في شهر آذار/ مارس 2023، ولكن منذ ذلك الحين، كُشف عن أن برنامج Rhadamanthys يرتبط باتصال قوي بـ Hidden Bee miner الذي يستهدف مباشرة أنشطة تعدين العملات المشفرة.

ويستخدم كلا النموذجين الصور لإخفاء الحمولة داخلهما، ويشتملان على رموز خارجية مشابهة للتنظيم الذاتي. ويستخدم البرنامجان أيضًا «أنظمة الملفات الافتراضية في الذاكرة»، ولغة البرمجة (لوا) Lua لتحميل الإضافات والوحدات.

وقال جورنت فان دير فيل، كبير الباحثين الأمنيين في فريق البحث والتحليل العالمي لدى كاسبرسكي: “يستخدم مجرمو الإنترنت على نطاق واسع البرامج الضارة المفتوحة المصدر، ويعيدون استخدام التعليمات البرمجية، وتصميم العلامة التجارية. وهذا يعني أنه يمكن للمهاجمين الأقل مهارة الآن تنفيذ حملات واسعة النطاق، واستهداف الضحايا في جميع أنحاء العالم. لقد أصبح الإعلان الضار اتجاهًا سائدًا على نطاق واسع، بل أصبح مطلوبًا بشدة بين مجموعات البرامج الضارة. ولتجنب مثل هذه الهجمات ولحماية شركتك من التعرض للاختراق، يتعين عليك امتلاك الدراية الكافية إزاء ما يجري في مجال الأمن السيبراني، واستخدام أحدث أدوات الحماية المتاحة”.

ولحماية نفسك وعملك من هجمات برامج الفدية، احرص على اتباع القواعد التالية المقترحة من كاسبرسكي:

• لا تعرض خدمات سطح المكتب البعيد، مثل: (بروتوكول سطح المكتب البعيد) RDP للشبكات العامة، ما لم يكن ذلك ضروريًا للغاية، واستخدم دائمًا كلمات مرور قوية لها.
• ثبّت التصحيحات المتاحة لحلول (الشبكة الخاصة الافتراضية) VPN التجارية حالًا، لتوفير الوصول للموظفين البعيدين، لاسيما أنها تعمل كبوابات في شبكتك.
• ركز إستراتيجيتك الدفاعية في اكتشاف الحركات الجانبية وسحب البيانات إلى الإنترنت، مع ضرورة الانتباه خاصةً لحركة المرور الصادرة لاكتشاف أي اتصالات يفعلها المجرمون السيبرانيون.
• انسخ البيانات احتياطيًا وبانتظام، وتأكد من أنه يمكنك الوصول إليها بسرعة في حالة الطوارئ عند الحاجة.
• استخدم الحلول الفعالة، مثل: Kaspersky Endpoint Detection and Response Expert وخدمة Kaspersky Managed Detection and Response التي تساعد في تحديد الهجمات والعمل على إيقافها في المراحل المبكرة، قبل أن يصل المهاجمون إلى أهدافهم النهائية.
• استخدم أحدث معلومات التهديدات للبقاء على دراية بالتقنيات والإجراءات والاختبارات الفعلية التي يستخدمها المهاجمون. وتُعد بوابة Kaspersky Threat Intelligence Portal نقطة شاملة لمعلومات التهديدات من كاسبرسكي؛ لأنها توفر البيانات والأفكار ذات الصلة بالهجمات الإلكترونية التي جمعها فريقنا على مدار 25 عامًا.

ولمساعدة الشركات في تمكين الدفاعات الفعالة في هذه الأوقات المضطربة، أعلنت كاسبرسكي عن الوصول إلى معلومات مستقلة ومحدثة باستمرار ومن مصادر عالمية بشأن الهجمات الإلكترونية والتهديدات المستمرة. ويمكن طلب الوصول إلى هذا العرض مجانًا من خلال هذا الرابط.