كشف باحثون لدى شركة كاسبرسكي لاب عن حملة تجسس إلكترونية معقدة تهدف إلى سرقة المعلومات من كيانات دبلوماسية وحكومية وعسكرية في بلدان جنوب آسيا، واستمرت الحملة ما يقرب من ست سنوات، وكانت لها صلات بهجمات أخيرة مُكتشفة في المنطقة.
وساعدت التحقيقات – التي ركزت على الأدوات والأساليب المستخدمة في الحملة – الباحثين على استنتاج أن الجهة الكامنة وراء الحملة هي مجموعة التجسس التخريبية الناشطة ضد الحكومات والمنظمات في جنوب وجنوب شرق آسيا (Platinum).
وكان من المعتقد بأن هذه المجموعة قد انتهت، وذلك بالنظر إلى لجوئها إلى استخدام أسلوب ستيغانوغرافيا، أو إخفاء المعلومات، كي تحافظ على نشاطها التخريبي بشكل غير مرئي لفترة طويلة.
ويحذر باحثو كاسبرسكي لاب من مخاطر الستيغانوغرافيا (Steganography)، وهي ممارسة تنقل البيانات بتنسيق مخفي تمامًا، ويختلف هذا الأسلوب عن التعمية (Cryptography)، الذي يُخفي البيانات فقط دون أن يُخفي إرسالها.
ويمكن لجهات التجسس البقاء ضمن نظام مصاب لفترة طويلة دون إثارة أي شكوك، وذلك من خلال اللجوء إلى الستيغانوغرافيا، الذي ساعد مجموعة (Platinum)، على البقاء مخفية لسنوات، بعد آخر نشاط معروف لها في العام 2017.
وجرى خلال عملية (Platinum) المكتشفة حديثًا تضمين أوامر البرمجيات الخبيثة في تعليمات (HTML) ضمن أحد مواقع الويب، وبرمجت تلك الجهة التعليمات التخريبية عبر تسلسل محدد، ولذلك، كان من شبه المستحيل اكتشاف الأوامر في حركة مرور البيانات عبر الشبكة.
وبدا أن البرمجية الخبيثة تمكنت من الوصول إلى موقع ويب غير مشكوك فيه، ولم يكن وصولها هذا ملحوظًا في إجمالي حركة المرور.
وكان على الباحثين التحقّق من البرمجيات القادرة على تحميل الملفات إلى الجهاز، ولاحظوا أن من بينها برمجية تتصرف بطريقة غريبة، مثل وصولها إلى خدمة السحابة العامة دروب بوكس (Dropbox) وبرمجتها للعمل في أوقات معينة فقط.
وأدرك الباحثون أن هذا الأمر قد حصل لإخفاء نشاط البرمجية الخبيثة، والتي كانت تنفذ نشاطها الخبيث بين العمليات الجارية خلال ساعات العمل العادية، وكان برنامج تنزيل الملفات ينقل البيانات والملفات بسرية من الجهاز المصاب وإليه.
ووصف أليكسي شولمين، الباحث الأمني في كاسبرسكي لاب، حملات (Platinum)، بالدقيقة والمتقنة، معتبرًا أن البرمجية الخبيثة المستخدمة في هذا الهجوم ليست مختلفة عن ذلك.
وقال: بصرف النظر عن كون المجموعة التخريبية لجأت إلى أسلوب الستيغانوغرافيا، فقد كان لديها مزايا أخرى سمحت لها بالتحرك بعيدًا عن الرقابة الأمنية لفترة طويلة.
وأضاف “يمكن لهذه البرمجة نقل الأوامر من مركز القيادة، ومن جهاز مصاب إلى آخر، ووصلت من خلال هذه الطريقة إلى أجهزة كانت جزءًا من البنية التحتية نفسها، لكنها غير متصلة بالإنترنت، مثل الأجهزة المُهاجمة”.
وأكمل الباحث الأمني كلامه قائلًا: تُشكل قدرة الجهات التخريبية على تطبيق أسلوب إخفاء المعلومات علامة على تزايد تطور أساليب التهديدات المستمرة المتقدمة، وذلك لكي تتمكن من التحرك بعيدًا عن الرقابة، ويجب على الشركات الأمنية وضع ذلك في الاعتبار عند بناء الحلول الأمنية وتطويرها.
وتوصي كاسبرسكي لاب باتخاذ التدابير التالية لتقليل مخاطر الوقوع ضحية لعمليات التجسس الإلكترونية المتطورة:
تدريب الموظفين على الوعي الأمني، وشرح طرق التعرف على التطبيقات أو الملفات التي يحتمل أن تكون خبيثة، ويجب على الموظفين عدم تنزيل أي تطبيق من مصادر غير موثوق بها أو غير معروفة.
توظيف الحلول المتخصصة، مثل Kaspersky Endpoint Detection and Response، للكشف عن التهديدات عند مستوى النقاط الطرفية، والتحقيق فيها ومعالجتها في الوقت المناسب.
توظيف حل أمني مؤسساتي قادر على اكتشاف التهديدات المتقدمة على مستوى الشبكة في مرحلة مبكرة، مثل Kaspersky Anti Targeted Attack Platform.
منح فريق مركز العمليات الأمنية القدرة على الوصول إلى أحدث المعلومات الخاصة بالتهديدات، وذلك لمواكبة الأدوات والتقنيات والأساليب الجديدة والناشئة، المستخدمة من قبل الجهات التخريبية.