خبراء كاسبرسكي لاب يكتشفون عملية تجسسية تركز على أهداف أمريكية باستخدام برنامج Java من طراز backdoor
اكتشف فريق البحوث الأمنية بكاسبرسكي لاب مؤخرا عن تفاصيل أخرى تتعلق بـIcefog، وهي مجموعة صغيرة تعمل في مجال التهديدات المطورة المستمرة وتركز على أهداف في كوريا الجنوبية واليابان، تصيب سلسلة الإمداد للشركات الغربية. وبدأت الحملة في 2011 وتوسعت خلال السنوات الفائتة.
أما Icefog، الذي يعرف أيضا باسم “Dagger Panda” بحسب اتفاقية Crowdstrike للتسمية، فقد قام بإصابة أهداف في كوريا الجنوبية واليابان تحديدا. وتستغرق الهجمة عدة أيام أو أسابيع في العادة، وعندما يحصل المهاجمون على مبتغاهم، يغادرون. بحسب كاسبرسكي لاب، فإن طبيعة “اضرب واهرب” التي يتميز بها هجمات Icefog تبين أن هناك نزعة جديدة بدأت بالظهور: عصابات صغيرة من نوع “اضرب واهرب” تبحث عن المعلومات بدقة.
منذ أن تم وصف حملة Icefog لأول مرة في سبتمبر 2013، غاب مهاجمو Icefog عن الساحة وقاموا بإغلاق جميع خوادم الأوامر والمراقبة. إلا أن المتابعة المتواصلة للحملة دلت الخبراء على وجود رابط بين Java وIcefog، ليشار إليه فيما بعد بـJavafog، مكتشفين جيلا جديدا من برامج backdoor المستخدمة من قبل المهاجمين.
وبحسب الباحثين، نظرا لأن برمجيات Java الخبيثة، التي ليست بشهرة برمجيات Windows PE الخبيثة، فإنه يصعب اكتشافها. في الواقع، خلال عملية “حفرة الإغراق” التي أجريت لنطاق “lingdona[dot]com”، وجد الباحثون 8 عناوين IP لثلاث ضحايا Javafog تتواجد جميعها في الولايات المتحدة الأمريكية. وتبين أن أحد هذه الأهداف شركة أمريكية كبيرة مستقلة للنفط والغاز تمارس نشاطها في دول أخرى كثيرة.
في بحث آخر، تناول الفريق هجمة أخرى تبدأ عبر استغلال الثغرات في برامج microsoft office، وبعدها يحاول المهاجمون نشر وتشغيل Javafog.
وقال فيتالي كامليوك، رئيس خبراء البرمجيات الخبيثة في شركة كاسبرسكي لاب، في هذا الشأن: “لا يسعنا إلا أن نفترض أنه بفضل الخبرة، وجد المهاجمون أن برنامج Java من طراز backdoor يصعب اكتشافه، ما يجعله مفضلا بالنسبة لهم في إجراء العمليات طويلة الأمد في حين أن العمليات السابقة لـIcefog كان قصيرة للغاية وتتميزا بطبيعة “اضرب واهرب”. إن التركيز على أهداف أمريكية بواسطة Javafog المعروف يشير إلى طابع “أمريكي” خاص للحملة؛ وقد وضع في الحسبان أن تستغرق الحملة وقتا أطول من العادة لتسمح، على سبيل المثال، بجمع المعلومات لفترة أطول، وهذا يدل على البعد الجديد لحملات Icefog التي تبدو أكثر تنوعا الآن”.
في تقارير سابقة، أقر الباحون أنه انطلاقا من قائمة عنواين IP المستخدمة في مراقبة البنية التحتية، فإن بعض المهاجمين المشاركين في الحملة تركزوا في 3 بلدان على الأقل: الصين، كوريا الجنوبية واليابان.
وتستطيع منتجات كاسبرسكي لاب الكشف عن جميع نسخ Icefog والتخلص منها.
لقراءة النص الكامل من التقرير مع الوصل المفصل للأدوات الخبيثة الأخرى، الرجاء زيارة موقع Securelist. كما تتوفر الأسئلة الشائعة حول Icefog أيضا.