الحصر العددي في دوائر انتخابات مجلس النواب بمحافظة البحيرة    «العمل»: التفتيش على 257 منشأة في القاهرة والجيزة خلال يوم    وزير الكهرباء خلال لقائه مع سفير أوزبكستان: مصر تفتح أبواب الاستثمار في الطاقة المتجددة وتوطين الصناعات المحلية    بمقدم يبدأ من 151 ألف جنيه.. طرح 25 ألف شقة عبر منصة مصر العقارية    أسعار الفاكهة اليوم الأربعاء 12 نوفمبر 2025 في أسواق الأقصر    كامل الوزير: الموافقة على طلب شركة جريش لإقامة توسعات بمساحة 12 ألف متر لمصنعها الحالي    إيقاف وزير العدل الأوكراني جالوشينكو عن العمل وسط تحقيق يتعلق بالفساد    أبو الغيط: المنطقة العربية تواجه صراعات خطيرة والتطرف الفكري يغذي الإرهاب    شعر به سكان تركيا وشمال إسرائيل.. زلزال يضرب قبرص بقوة تزيد عن 5 درجات    جوتيريش يهنئ الشعب العراقى على إجراء الانتخابات البرلمانية    لابورتا: ميسي سيبقى رمز برشلونة الأبدي.. وتوتر العلاقات مع ريال مدريد يتصاعد    زيركزي يدرس 5 عروض للرحيل عن مانشستر يونايتد في يناير    ضبط عاطل لاتهامه بالاتجار في المخدرات وحيازة سلاح بالقليوبية    إجراء قرعة حج الجمعيات الأهلية لاختيار الفائزين بالتأشيرات خلال أيام    ضبط كميات ضخمة من السلع الفاسدة و131 مخالفة تموينية في القليوبية    محمد محمود عبدالعزيز يحيي ذكرى وفاة والده: بتوحشني وهتفضل واحشني    الحمصاني: المتحف المصري الكبير تجاوز التوقعات بعدد الزائرين.. ونستهدف 30 مليون سائح    فيلم «السلم والثعبان: لعب عيال» يكتسح شباك تذاكر السينما في 24 ساعة فقط    طريقة عمل كفتة الفراخ بخطوات بسيطة وطعم لا يقاوم (الخطوات والمقادير)    قصر العينى يحتفل بيوم السكر العالمى بخدمات طبية وتوعوية مجانية للمرضى    لجنة هندسية لمعاينة «عقار الجمرك» المنهار والعقارات المجاورة لبيان سلامتها    شوبير ينتقد مجلس الزمالك بسبب أحمد سيد زيزو    كمال شعيب: قرار سحب أرض الزمالك "باطل".. وسنستعيد حق النادي بالقانون    الهلال الأحمر المصري يدفع قافلة زاد العزة ال71 محملة بأكثر من 8 آلاف طن مساعدات إلى غزة    كريم عبدالعزيز عن والده: علمني الحياة وإن الفن مش هزار    «لو الطلاق بائن».. «من حقك تعرف» هل يحق للرجل إرث زوجته حال وفاتها في فترة العدة؟    أسعار الفراخ والطيور في أسواق مطروح اليوم    طن عز الآن.. سعر الحديد اليوم الأربعاء 12 نوفمبر 2025 بالسوق المحلية وأرض المصنع    رئيس الوزراء يفتتح النسخة الثالثة من المؤتمر العالمي للسكان والصحة والتنمية البشرية PHDC'25 بالعاصمة الإدارية الجديدة    تطورات جديدة في مفاوضات ديانج والأهلي.. شوبير يكشف التفاصيل    موعد مباراة إنجلترا وصربيا في تصفيات كأس العالم 2026 والقنوات الناقلة    مواقيت الصلاة اليوم الأربعاء في شمال سيناء    وزير الخارجية يعلن انعقاد المنتدى الاقتصادي المصري – التركي خلال 2026    مخلصين جدا وعندهم ولاء.. ما هي أكثر الأبراج وفاء فى العلاقات؟    اليوم.. عزاء المطرب الشعبي إسماعيل الليثي    5 عروض مسرحية بينها 2 لذوي الهمم ضمن فعاليات اليوم الثاني ل «القاهرة للطفل العربي»    «كامل الوزير»: التعاون الصناعي خطوة أساسية قبل توسيع العلاقات التجارية مع جنوب أفريقيا    تعرف على أكبر نتائج مباريات كأس العالم للناشئين بعد ختام دور المجموعات    بسبب علاقة عاطفية.. تأييد الحكم على المتهم بقتل حفيدته بالاشتراك مع آخرين في الشرقية    «مجاري وقع في الفخ».. مباحث شبرا تضبطه متلبسًا بالمخدرات والسلاح    «وزير التنعليم»: بناء نحو 150 ألف فصل خلال السنوات ال10 الماضية    «الرقابة المالية» والأكاديمية الوطنية للتدريب تتفقان على إطلاق حزمة برامج متخصصة    محافظ أسيوط يحضر برنامج تدريب الأخصائيين على التعامل مع التنمر    أونتاريو الكندية تستضيف اجتماعا لوزراء خارجية الدول السبع    المصرية جمانا نجم الدين تحصد لقب أفضل قنصل لعام 2025 في المملكة المتحدة    محافظ الغربية: رفع درجة الاستعداد القصوى لانتخابات مجلس النواب 2025    موقف ثابت وتاريخى    مباحث الجيزة تكتشف جريمة بشعة داخل شقة مهجورة فى بولاق الدكرور    استقرار سعر الريال السعودي في بداية تعاملات اليوم 12 نوفمبر 2025    بيزيرا: لم أقصد الإساءة لأحد.. وأعتذر عن الخطأ غير المقصود    الصحة: لقاح الأنفلونزا لا يسبب الإصابة بالعدوى وآمن تماما    رسميًا.. موعد امتحانات شهر نوفمبر 2025 لصفوف النقل الجديدة بعد تعطيلها بسبب انتخابات مجلس النواب    دعمًا لمرشحيه بمجلس النواب.. «مستقبل وطن» ينظم مؤتمرًا جماهيريًا بدمياط    خالد سليم يشعل ليالي الكويت بحفل ضخم ويحتفل ب«ليلة مِ اللى هيّا» مع جمهوره    دعاء الفجر | اللهم ارزق كل مهموم بالفرج واشفِ مرضانا    هل يجوز تنفيذ وصية أم بمنع أحد أبنائها من حضور جنازتها؟.. أمين الفتوى يجيب    كيف نتغلب على الضيق والهم؟.. أمين الفتوى يجيب    هل الحج أم تزويج الأبناء أولًا؟.. أمين الفتوى يجيب    







شكرا على الإبلاغ!
سيتم حجب هذه الصورة تلقائيا عندما يتم الإبلاغ عنها من طرف عدة أشخاص.



"كاسبرسكي لاب " تكتشف برمجيات تجسس تستهدف أجهزة الراوتر بالشرق الأوسط
جهاد عبد الغني نشر في أموال الغد يوم 12 - 03 - 2018

كشف باحثون لدى كاسبرسكي لاب عن تهديد متطور استخدم للتجسس الإلكتروني في منطقة الشرق الأوسط وإفريقيا منذ العام 2012 على أقل تقدير وحتى شهر فبراير الماضي.
وتهاجم البرمجية الخبيثة التي أطلق عليها الباحثون اسم "سلينجشوت(" Slingshot المقلاع)، وتصيب الضحايا من خلال بعض أجهزة التوجيه الشبكية الرديئة، ويمكن أن تعمل في النمط الجوهري Kernel Mode، ما يمنحها سيطرة كاملة على الأجهزة الضحية.
ويعد كثير من الأساليب المستخدمة من قبل هذه البرمجية فريدة من نوعها، وفقاً للباحثين، الذي أكّدوا فعاليتها الشديدة في الجمع الخفي للمعلومات، والقدرة على إخفاء حركتها ضمن حزم البيانات الملحوظة التي يمكنها اعتراضها دون العثور على أي أثر للاتصالات اليومية التي تُجريها.
وتم اكتشاف "سلينجشوت" بعد أن عثر الباحثون على برمجية مشبوهة لتسجيل عملية النقر على لوحة المفاتيح وأوجدوا توقيعاً للكشف السلوكي من أجل معرفة ما إذا كانت هذه البرمجية قد ظهرت في مكان آخر.
وقد حفّزت هذه الخطوة اكتشاف وجود جهاز حاسوب مصاب بملف مشبوه داخل مجلد النظام باسم scesrv.dll. وقرر الباحثون تقصي المزيد عن هذا الأمر، ليُظهر تحليل أجري على الملف scesrv.dll أنه يتضمن شيفرة خبيثة، بالرغم من أنه يبدو جزءاً أصيلاً من نظام التشغيل.
وبما أن مكتبة الملفات هذه مُحمّلة بالملف التشغيلي services.exe، وهي طريقة معالجة تتمتع بامتيازات نظام التشغيل، فقد اكتسبت المكتبة "الملغّمة" الامتيازات نفسها المتاحة لمكتبة الملفات، ليُدرك الباحثون عندها أن دخيلاً استطاع أن يتسلل إلى العمق ووجد طريقه إلى قلب جهاز الحاسوب.
ووجد الباحثون، أن العديد منها أصيبت في البداية من خلال أجهزة توجيه شبكية Routers مُخترقة، ويبدو أن المجموعة القائمة خلف هجمات "سلينجشوت" تقوم أثناء شنها تلك الهجمات، باختراق أجهزة التوجيه زارعة فيها مكتبة روابط ديناميكية خبيثة، ليست في واقع الأمر سوى أداة تنزيل لمكونات خبيثة أخرى.
وتقوم البرمجية الخاصة بإدارة جهاز التوجيه بتنزيل الوحدة الخبيثة وتشغيلها على جهاز حاسوب مسؤول الشبكة عندما يلِج إلى إعدادات جهاز التوجيه، فيما لا تزال الطريقة المستخدمة أصلاً لاختراق أجهزة التوجيه مجهولة.
وتقوم "سلينجشوت" بعد الإصابة بتحميل عدد من الوحدات على الجهاز الضحية، بما في ذلك وحدتان ضخمتان وقويتان هما Cahnadr وGollumApp، وتأتيان متصلتين ومتعاونتين في مداومة العمل على جمع المعلومات وتسريب البيانات.
ويبدو أن الهدف الرئيسي لبرمجية "سلينجشوت" هو التجسس الإلكتروني. إذ يُشير التحليل إلى أنها تجمع لقطات الشاشة وبيانات من لوحة المفاتيح وبيانات شبكية وكلمات مرور ووصلات USB وأنشطة أخرى على سطح المكتب وبيانات الحافظة الإلكترونية وغيرها، فوصول البرمجية الخبيثة إلى جوهر النظام يعني أن بإمكانها سرقة كل ما تريد.
كذلك يتضمن التهديد المتقدم والمستمر عدداً من الأساليب لمساعدة البرمجية الخبيثة في تجنب الكشف عنها؛ وتشمل تلك تشفير جميع السلاسل الكامنة في وحداته، واستدعاء خدمات النظام مباشرة من أجل تجاوز المنتجات الأمنية، واستخدام عدد من أساليب مكافحة تصحيح الأخطاء البرمجية Anti-debugging، وتحديد العملية التي تريد الدخول فيها اعتماداً على عمليات الحلول الأمنية المثبتة على الجهاز والمشغلة، وأكثر من ذلك.
وتعمل برمجية "سلينجشوت" كخادم خلفي سلبي؛ إذ لا تحتوي على عنوان ضمني لمركز القيادة والسيطرة ولكنها تحصل عليه من المشغل عبر اعتراض جميع حزم البيانات الشبكية في الوضع الجوهري والتحقق من الوضع لمعرفة ما إذا كان هناك اثنان من الثوابت السحرية المضمنة في مقدمة القطعة البرمجية. وإذا كانت هذه هي الحال، فهذا يعني أن هذه الحزمة تحتوي على عنوان لمركز القيادة والسيطرة. بعد ذلك، تُنشئ "سلينجشوت" قناة اتصال مشفرة تصلها بمركز القيادة والسيطرة وتبدأ في نقل البيانات من أجل تسريبها.
ووضع الباحثون علامة Version 6.x (الإصدار 6.x) على العينات الخبيثة التي تم التحقيق فيها، ما يشير إلى أن التهديد قائم منذ مدة طويلة. ومن المحتمل أن تكون المهارات والتكلفة المرتبطة بإنشاء مجموعة أدوات "سلينجشوت" المعقدة عالية، فضلاً عن تطلب تطويرها وقتاً طويلاً، وفي ذلك دلالات تُرجّح أن المجموعة الكامنة وراء هذه البرمجية مجموعة عالية التنظيم والاحترافية، وربما تحظى برعاية حكومية، فيما تشير الدلائل النصية في الشفرة البرمجية إلى أن لغة هذه المجموعة هي الإنجليزية. ويظلّ تحديد الإسناد الدقيق، مع ذلك، صعباً إن لم يكن مستحيلاً، كما أنه عُرضة للتلاعب والخطأ بشكل متزايد.
وشاهد الباحثون، حتى الآن، حوالي 100 ضحية لبرمجية "سلينجشوت" والوحدات المرتبطة بها، تقع في كينيا واليمن وأفغانستان وليبيا والكونغو والأردن وتركيا والعراق والسودان والصومال وتنزانيا. ويبدو أن معظم الضحايا المستهدفين أفراد لا مؤسسات، لكن بعضهم من الشركات والمؤسسات الحكومية، فيما يقع معظم الضحايا الذين تمت ملاحظتهم حتى الآن، في كينيا واليمن.
وقال أليكسي شولمين، المحلل الرئيسي للبرمجيات الخبيثة في كاسبرسكي لاب، أن "سلينجشوت" عبارة عن "تهديد متطور" يلجأ إلى استخدام مجموعة واسعة من الأدوات والأساليب، بما في ذلك وحدات النمط الجوهري التي ظهرت حتى الآن فقط في الهجمات الأكثر تقدماً، وأضاف: "تُعد هذه الوظيفية ثمينة ومربحة للمهاجمين، ما يُفسر سبب وجودها لمدة ست سنوات على الأقل".
تجدر الإشارة إلى أن جميع منتجات كاسبرسكي لاب تعمل على اكتشاف هذا التهديد ومنعه بنجاح. ولتجنب الوقوع ضحية لمثل هذا الهجوم، يوصي باحثو الشركة باتباع التدابير التالية:
ينبغي على مستخدمي أجهزة التوجيه من Mikrotik الترقية إلى أحدث إصدار برمجي في أقرب وقت ممكن لضمان الحماية من الثغرات المعروفة. وعلاوة على ذلك، لم يعد Mikrotik Winbox يقوم بتنزيل أي شيء من جهاز التوجيه إلى حاسوب المستخدم.
استخدام حل أمني مُثبت وممتاز مع تقنيات مكافحة الهجمات الموجهة ومعلومات التهديدات، مثل الحل Kaspersky Threat Management and Defense، وهذه قادرة على اكتشاف الهجمات الموجهة المتقدمة ومنعها، من خلال تحليل الشذوذ في حركة البيانات الشبكية وإعطاء فرق الأمن الإلكتروني رؤية كاملة داخل الشبكة، وأتمتة التجاوب مع التهديدات.
إتاحة المجال أمام موظفي الأمن للوصول إلى أحدث بيانات التهديدات ما من شأنه تسليحهم بأدوات مفيدة للبحث والوقاية من الهجمات الموجهة، مثل مؤشرات الاختراق ومنصة YARA والتقارير الخاصة بالتهديدات المتقدمة.
إذا تم تحديد مؤشرات مبكرة على وقوع هجوم موجّه، على المستخدم أن يضع في اعتباره خدمات الحماية المدارة التي تسمح له باكتشاف التهديدات المتقدمة بشكل استباقي، وتقليل الوقت الذي يستغرقه الانتظار وترتيب التجاوب مع الحوادث في الوقت المناسب.

انقر هنا لقراءة الخبر من مصدره.