برمجيات خبيثة تتجسس على الدبلوماسيين بأساليب غير معتادة

برنامج "أتور" الخبيث صمم باستخدام هياكل نمطية، مع وحدات تم تطويرها خصيصا من أجل التسلل وجمع البيانات وتجنب البرمجيات المضادة للبرامج الضارة.
الأحد 2019/10/13
سرقة البيانات

سيرجيو غاتلان

اكتشف باحثون في شركة إسيت لأمن تكنولوجيا المعلومات في براتيسلافا برامج ضارة جديدة مصممة لاستهداف الشخصيات الدبلوماسية والحكومية. استخدمت هذه البرامج في الهجمات ضد الأفراد الناطقين بالروسية لمدة 7 سنوات على الأقل.

تسلّحت برامج التجسس الخبيثة التي أطلق عليها الباحثون اسم “أتور” ببعض الميزات المبتكرة بما في ذلك استخدام الوحدات المشفرة والاتصالات القائمة على شبكة تور الخفية وبرامج المساعدة المصممة خصيصا لـ”جي.أس.أم” (النظام الموحد للاتصالات المتنقلة).

وقالت محللة البرمجيات الخبيثة في شركة إسيت، زوزانا هرومكوفا “يركز المهاجمون الذين يستخدمون أتور على البعثات الدبلوماسية والمؤسسات الحكومية”. وأشارت إلى أن “هذه الهجمات بدأت منذ سنة 2013 على الأقل. وهي موجهة إلى المستخدمين الروس، وخاصة أولئك الذين يهتمون بخصوصياتهم”.

ويشير الصحافي المحلل سيرجيو غاتلان، المتخصص في الأمن الإلكتروني، إلى أن أتور صمم باستخدام هياكل نمطية، مع وحدات تم تطويرها خصيصا من أجل التسلل وجمع البيانات وتجنب البرمجيات المضادة للبرامج الضارة.

وعثرت شركة إسيت على 8 وحدات (تعرف أيضا باسم البرامج المساعدة)، وتشمل برنامج تثبيت، وبرنامج مراقبة، ومسجل صوت، ومصور شاشة، ومسجل كلمات سر، ومحمل ملفات، ووحدة اتصال.

ولفت غاتلان، في متابعته لهذه القضية، في موقع “بليبينغ كمبيوتر”، إلى أنه أثناء تحليل حالات عدد من ضحايا أتور، اكتشفت شركة إسيت أن البرامج نقلت إليهم عبر وحدة إرسال تستخدم أساليب تشفير متعددة وتقنيات تساعدها على التخفي داخل الأجهزة المصابة. ويحقن هذا البرنامج نفسه في معظم العمليات التي تجرى على الأجهزة التي تعرضت للاختراق، باستثناء تلك التي تتضمن برامج شركة سيمانتك المتخصصة في مجال الأمن وإدارة المعلومات والعديد من عمليات نظام التشغيل.

أتور يفعّل آلية المراقبة وجمع البيانات عبر تحميل البرامج المساعدة التي تظهر كملفات مكتبة الربط الديناميكي المشتركة في نظام مايكروسوفت ويندوز

بعد ذلك، يفعّل أتور آلية المراقبة وجمع البيانات عبر تحميل البرامج المساعدة التي تظهر كملفات مكتبة الربط الديناميكي المشتركة في نظام مايكروسوفت ويندوز.

وحسب شركة إسيت، يستهدف أتور عمليات محددة من بينها العمليات المرتبطة بالشبكات الاجتماعية الروسية وبعض الأدوات المساعدة على التشفير الرقمي، والبرامج التي تعالج إعدادات الشبكة الخاصة الافتراضية، وخدمات تشفير البريد الإلكتروني مثل هاشميل، وبرنامج تروكربت الذي يستعمل في تشفير الملفّات والأقراص.

تخزّن البرامج المساعدة “مضغوطة ومشفّرة”، وتفعّل عندما تتلقى إشارة من المرسل الذي يحمّل البرامج الإضافية. وتعدّ هذه محاولة لإخفاء هذه البرمجيات لأنها دائما ما تظهر مشفرة.

وقال تقرير أعدته شركة إسيت إن أتور يحمل آليات تمكنه من إضافة برامج مساعدة إضافية جديدة، ومن تحديث نفسه. كما يستطيع أن يغير مواقع الملفات التابعة له لحمايتها.

ويتمثل البرنامج المساعد الأبرز الذي يحمله أتور في آلية لمراقبة الجهاز، وتشمل وحدة تستخدم البيانات الوصفية التي تم تجميعها من أجهزة الهاتف والتخزين والـ”مودم” المتصلة بالجهاز. كما يستخدم هذا البرنامج المساعد الآليات التي تم تطويرها خلال الثمانينات للتسلل إلى الأجهزة المتصلة بالمنافذ التسلسلية في الكمبيوتر المصاب.

وتعتقد إسيت أن هذا البرنامج المساعد يستخدم لاستهداف أجهزة الـ”مودم” والهواتف القديمة واسترداد العديد من معرفات المشتركين والأجهزة مثل هوية مشترك الجوال الدولية والهوية الدولية للأجهزة المحمولة.

وقالت هرومكوفا، “يمكن أن يوظف ذلك لتأسيس قاعدة لسرقة المزيد من البيانات. إذا عرف المهاجمون نوعية الجهاز المتصل، فيمكنهم صياغة مكوّن برنامج مساعد إضافي يمكنه سرقة البيانات من هذا الجهاز وإدخال تغييرات عليه، بما في ذلك تغيير برامج الجهاز الثابتة”.

وسمح استخدام أتور لتقنيات الاتصال التي توفرها شبكة تور على إبقائه مخفيا، حتى بعد استخدامه في هجمات ضد أهداف بارزة منذ سنة 2013 على الأقل. وعلى الرغم من أنهم كانوا قادرين على تحليل حالات البعض من الضحايا، فالباحثون في إسيت لم يتمكنوا من تحديد كيفية وصول البرامج الضارة الأولى وحجم البيانات الكاملة التي صممت لجمعها.

وأضافت شركة إسيت “تشير إصدارات البرمجيات في البرامج المساعدة إلى وجود برامج إضافية أخرى لم نجدها بعد. ومع ذلك، يوفر بحثنا نظرة عميقة تبرز وجود هذه البرامج الضارة، ويؤكد الحاجة إلى تتبع عمليات المجموعة التي تقف وراء هذه البرامج الضارة”.

7