عملية ShadowHammer: تهديد جديد من هجمات سلاسل التوريد - لغة العصر
رئيس مجلس الإدارة : عبدالمحسن سلامة               رئيس التحرير: نبيل الطاروطي

عملية ShadowHammer: تهديد جديد من هجمات سلاسل التوريد


  

عملية ShadowHammer: تهديد جديد من هجمات سلاسل التوريد

كشفت كاسبرسكي لاب عن حملة جديدة من حملات التهديدات المتقدمة المستمرة أثّرت في عددٍ كبير من المستخدمين عبر ما يُعرف باسم هجمات سلاسل التوريد. وتوصلت أبحاث الشركة إلى أن الجهات التخريبية الكامنة وراء الحملة، التي أسميت عملية ShadowHammer، استهدفت مستخدمي أداة ASUS Live Update Utility عن طريق زرع منفذ خلفي فيها، وذلك خلال الفترة التي تراوحت بين يونيو ونوفمبر 2018 على أقلّ تقدير، ما من شأنه تعريض أكثر من مليون مستخدم حول العالم للخطر.

ويُعدّ هجوم سلسلة التوريد أحد أكثر النواقل التخريبية خطورة وفعالية، إذ تزايد استغلاله في العمليات التخريبية المتقدمة خلال السنوات القليلة الماضية، كما حدث في حملات ShadowPad وCCleaner. ويستهدف هذا الهجوم ثغرات محددة في النظم المترابطة للموارد التنظيمية والبشرية والمادية والفكرية المعنية بدورة حياة المنتجات، بدءاً من مرحلة التطوير الأولية إلى المستخدم النهائي. ومع أن البنية التحتية للشركة المنتجة قد تكون آمنة، يمكن أن يكون ثمّة ثغرات في المرافق الإلكترونية التابعة للموردين من شأنها إحداث تخريب في سلسلة التوريد، ما قد يؤدي إلى حدوث اختراق مدمّر وغير متوقع للبيانات.

واستهدفت الجهات التخريبية الكامنة وراء ShadowHammer الأداة ASUS Live Update Utility كمصدر أولي لإحداث الإصابة، وهي أداة مساعدة تأتي مثبتة في معظم أجهزة الحاسوب الجديدة من ASUS، من أجل القيام بالتحديثات تلقائياً لكل من نظام الإدخال والإخراج الأساسي BIOS وواجهة البرمجيات الثابتة الممتدة UEFI وبرمجيات التشغيل والتطبيقات. وعبِث المهاجمون في الإصدارات القديمة من برمجيات ASUS باستخدام شهادات رقمية مسروقة تستخدمها ASUS للتوقيع على الملفات الثنائية Binaries، وزرعوا شيفراتهم البرمجية التخريبية الخبيثة. وقد وقّع المخربون بشهادات أصلية إصدارات من هذه الأداة مُلغَّمة بتروجانات وتم استضافتها وتوزيعها من خوادم ASUS رسمية خاصة بالتحديثات، الأمر الذي جعلها غير مرئية تقريباً للغالبية العظمى من حلول الحماية الأمنية.

وقد ركّزت الجهات التخريبية الكامنة وراء حملة ShadowHammer جهودها على الوصول إلى بضع مئات من المستخدمين الذين كانت لديها معلومات سابقة عنهم، وذلك بالرغم من أنه من المحتمل أن يصبح كل مستخدم للبرمجيات المصابة ضحيّة من ضحايا تلك الجهات. وقد اكتشف باحثو كاسبرسكي لاب أن شيفرة المنفذ الخلفي التي زُرعت في النظام تحتوي على جدول عناوين MAC متضمَّنة، وهي معرِّفات فريدة لمحولات الشبكات تستخدم لتوصيل الحاسوب بالشبكة. وبمجرد تشغيل المنفذ الخلفي على جهاز الضحية يتحقق من وجود عنوان MAC الخاص به في ذلك الجدول، فإذا كان عنوان MAC متطابقاً مع أحد المُدخَلات، تعمل البرمجية الخبيثة على تنزيل المرحلة التالية من الشيفرة البرمجية الخبيثة. وبخلاف ذلك، لا يُظهر خادم التحديثات المخترَق أي نشاط شبكي، ولهذا لا يتمّ اكتشافه لفترة طويلة. وتمكن خبراء الأمن في المجمل من تحديد أكثر من 600 عنوان MAC تم استهدافها بأكثر من 230 شيفرة منفذ خلفي تخريبية فريدة من نوعها ذات شيفرات قشرة مختلفة.

ويشير النهج المعياري والاحتياطات الإضافية المتخذة عند تنفيذ الشيفرات البرمجية لمنع أي تسريب عرَضي للشيفرة أو البيانات إلى أن الجهات التخريبية التي تقف وراء هذا الهجوم المتطور يهمّها أن تظلّ غير مُكتشفة أثناء ضربها بعض الأهداف المحددة بدقة فائقة. ويُظهر التحليل الفني العميق أن ترسانة المهاجمين متقدمة للغاية وتعكس مستوىً عالياً من التطوير داخل المجموعة التخريبية.

وقد كشفت عملية البحث عن برمجيات خبيثة مماثلة الغطاء عن برمجيات تنتجها ثلاث شركات أخرى في آسيا، وقد زرعت فيها منافذ خلفية بأساليب متشابهة. وقد أبلغت كاسبرسكي لاب شركة ASUS وغيرها من الشركات عن المشكلة.
واعتبر فيتالي كاملوك مدير فريق البحث والتحليل العالمي في منطقة آسيا المحيط الهادئ لدى كاسبرسكي لاب، أن الشركات المستهدفة "تشكل أهدافاً جذابة للغاية للمجموعات القائمة خلف عمليات التهديدات المتقدمة المستمرة والتي قد تكون راغبة في الاستفادة من قاعدة العملاء الواسعة لتلك الشركات"، مشيراً إلى أن الهدف النهائي للمهاجمين "لم يتضح بعد، وما زلنا نبحث عمّن يقف وراء الهجوم"، لكنه قال إن الأساليب المستخدمة لتحقيق تنفيذ التعليمات البرمجية غير المصرح بها، وغيرها من الأعمال المكتشفة، "تشير إلى أن العملية ShadowHammer ربما ترتبط بمجموعة BARIUM APT، التي جرى في السابق ربط العمليات ShadowPad وCCleaner بها".

 وأضاف: هذه الحملة الجديدة مثال آخر على مدى التعقيد والخطورة التي يمكن أن ينطوي عليها هجوم ذكي من هجمات سلاسل التوريد في الوقت الحاضر".

عن الكاتب

كلمات البحث:
مصطفي الدمرداش

رابط دائم:
شارك

عملية ShadowHammer: تهديد جديد من هجمات سلاسل التوريد

التعليق

  • تعرف على

    أفضل موسوعة عربية فى مجال التقنيات المعلوماتية في مصر والعالم العربي، وتقوم بنشر المعرفة المتكاملة والمستحدثة بكافة صورها حاليآ ومستقبلآ.

  • تابعنا على الفيس بوك

© 2014 جميع الحقوق محفوظة لمؤسسة الاهرام