بعد انخفاضها 2040 للجنيه.. مفاجأة بأسعار الذهب والسبائك اليوم بالصاغة محليًا وعالميًا    زلزال قوي يضرب ساحل الإكوادور (تفاصيل بالخريطة)    جداول امتحانات شهر أكتوبر 2025 بالجيزة لجميع المراحل التعليمية (ابتدائي – إعدادي – ثانوي)    وزير الزراعة: تحديد مساحات البنجر لحماية الفلاحين وصادراتنا الزراعية تسجل 7.5 مليون طن    عاجل- الحكومة: لا تهاون في ضبط الأسعار.. ورئيس الوزراء يشدد على توافر السلع ومنع أي زيادات غير مبررة    تعليمات جديدة من التعليم للمعلمين ومديري المدارس 2025-2026 (تفاصيل)    أكثر من 40 عضوًا ديمقراطيًا يطالبون ترامب بمعارضة خطة ضم الضفة الغربية    نائب الرئيس الأمريكي يعرب عن تفاؤله إزاء وقف إطلاق النار في غزة    كوريا الشمالية تطلق صاروخًا باليستيًا باتجاه البحر الشرقي    أوكا: الأهلي فاوضني مرتين.. ولهذا السبب رفضت اللعب للزمالك    إصابة 13 شخصا في إنقلاب ميكروباص على طريق «أبوسمبل- أسوان»    عاجل- بدء التقديم لحج الجمعيات الأهلية اليوم.. 12 ألف تأشيرة وتيسيرات جديدة في الخدمات    أبرزهم يسرا وهنا شيحة.. النجوم يتألقون على ريد كاربيت فيلم السادة الأفاضل    أنظمة الدفاع الجوي تتصدى لهجوم روسي على كييف    محافظ الغربية: رفع درجة الاستعداد القصوى لانتخابات مجلس النواب 2025    سفيرة قبرص بالقاهرة: مصر خيارنا الأول.. ولو كان بوسعنا اختيار جيراننا لاخترناها    إلغاء مباراة برشلونة وفياريال فى ميامى.. والبارسا يصدر بيانًا رسميًا    وزير الخارجية الأمريكي يبلغ رئيس وزراء العراق ضرورة نزع سلاح الفصائل الموالية لإيران    إخلاء مقر حاكم ولاية وايومنغ الأمريكية بعد العثور على عبوة ناسفة    القومى للمرأة بسوهاج ينفذ مشروع تحويشة لدعم السيدات اقتصاديا بمركز المراغة    باريس سان جيرمان يكتسح ليفركوزن بسباعية في دوري الأبطال    «تقريره للاتحاد يدينه.. واختياراته مجاملات».. ميدو يفتح النار على أسامة نبيه    الشباب والرياضة تنهى إجراءات تسليم وتسلم إدارة نادى الإسماعيلى للجنة المؤقتة    موعد مباريات اليوم الأربعاء 22 أكتوبر 2025.. إنفوجراف    المدير التنفيذي للزمالك يكشف كواليس فشل الجمعية العمومية وأسرار الأزمة المالية    أرتيتا: مواجهة أتلتيكو مدريد كانت صعبة.. وجيوكيريس استحق التسجيل    ريكو لويس: سيطرنا على مباراة فياريال.. وجوارديولا يعلم مركزي المفضل    د. محمد العربي يكتب: دور الأزهر في التصدي للفكر الإرهابي    سعر الدولار والريال السعودي أمام الجنيه قبل بداية تعاملات الأربعاء 22 أكتوبر 2025    اعترافات المتهم بمحاولة سرقة مكتب بريد العوايد في الإسكندرية: من قنا وجاء لزيارة شقيقته    «حافظوا على سلامتكم».. تحذير من حالة الطقس اليوم: ظاهرة جوية «خطيرة»    وفاة شاب ابتلع لسانه أثناء مباراة كرة قدم في الدقهلية    الحماية المدنية تسيطر على حريق تدوير مخلفات شرق الإسكندرية    تشييع جثمان شاب بأسيوط ضحية انهيار بئر في محافظة المنيا    قرار جديد بشأن استئناف عامل المنيب على حكم سجنه بالمؤبد    محمد عامر: الجونة تضم 18 فندقًا و670 محلًا تجاريًا بينها 110 مطاعم    رومانسي وحساس.. 4 أبراج بتحب بكل جوارحها    تكريم ياسر جلال في مهرجان وهران بالجزائر    فعاليات للتوعية ضد الإدمان وزواج القاصرات بعدد من المواقع الثقافية بالغربية    جامعة طنطا تحتفي بإنجاز دولي للدكتورة فتحية الفرارجي بنشر كتابها في المكتبة القومية بفرنسا    «نحن فى ساحة الحسين نزلنا».. المصريون يحييون ذكرى استقرار رأس الحسين.. وانتشار حلقات الذكر والابتهالات.. وخدمات الطرق الصوفية تقدم الطعام والشربات للزوار.. وطوارئ بمستشفى الحسين الجامعى لخدمة المحتفلين.. صور    انطلاق مهرجان القاهرة الدولى لموسيقى الجاز 30 أكتوبر بمشاركة 12 دولة    سفير الإمارات: العلاقات بين مصر وأبوظبي نموذج مثالي يحتذى به بين الدول    مواقيت الصلاة فى أسيوط الاربعاء 22102025    إمام مسجد الحسين: المصريون يجددون العهد مع سيدنا النبي وآل البيت    مجلس كلية طب طنطا يناقش مخطط تدشين مبنى الكلية الجديد    استشاري مناعة: الخريف أخطر فصول العام من حيث العدوى الفيروسية.. واللقاحات خط الدفاع الأول    خطر يتكرر يوميًا.. 7 أطعمة شائعة تتلف الكبد    تخلصك من الروائح الكريهة وتقلل استهلاك الكهرباء.. خطوات تنظيف غسالة الأطباق    أبرزها الموز والزبادي.. أطعمة تجنب تناولها على الريق    وزير الخارجية: نشأت فى أسرة شديدة البساطة.. وأسيوط زرعت الوطنية فى داخلى    الصليب الأحمر في طريقه لتسلم جثماني محتجزين اثنين جنوب غزة    هل يجوز تهذيب الحواجب للمرأة إذا سبّب شكلها حرجًا نفسيًا؟.. أمين الفتوى يجيب    المصري الديمقراطي يدفع ب30 مرشحًا فرديًا ويشارك في «القائمة الوطنية»    رمضان عبد المعز: "ازرع جميلًا ولو في غير موضعه".. فالله لا يضيع إحسان المحسنين    شاريسا سولي تشارك في لجنة القضايا العامة بمجلس الكنائس المصلحة العالمي    رئيس الوزراء يتابع عددا من ملفات عمل وزارة الكهرباء والطاقة المتجددة    تعرف على مواقيت الصلاة اليوم الثلاثاء 21-10-2025 في محافظة الأقصر    







شكرا على الإبلاغ!
سيتم حجب هذه الصورة تلقائيا عندما يتم الإبلاغ عنها من طرف عدة أشخاص.



عملية TunnelSnake: «روتكيت» مجهول يتحكّم سرًا بشبكات تابعة لمؤسسات في آسيا وإفريقيا
نشر في أموال الغد يوم 10 - 05 - 2021

كشف باحثو كاسبرسكي النقاب عن عملية تُدعى TunnelSnake، وتتمثل بحملة تهديد متقدم مستمر، تنشط منذ العام 2019، واستهدفت كيانات دبلوماسية في آسيا وإفريقيا. واستخدم المهاجمون في العملية برمجية "روتكيت" لم تكن معروفة سابقًا يطلق عليها اسم Moriya، وتتمتع بسلطة تحكّم شبه مطلقة بنظام التشغيل. ومكّنت هذه البرمجية الجهات التخريبية الواقفة وراءها من اعتراض حركة البيانات في الشبكة وإخفاء الأوامر التخريبية الصادرة إلى المضيفين المصابين. وقد أدّى ذلك إلى سيطرة المهاجمين سرًا على شبكات الكيانات المستهدفة لعدة أشهر.
وتُعدّ برمجيات "روتكيت" Rootkit، مجموعات من البرمجيات أو الأدوات البرمجية الخبيثة التي تمنح المهاجمين وصولًا سريًا غير محدود إلى جذور نظام حاسوبي ما. وتشتهر برمجيات "روتكيت" بقدرتها على التخفي والتهرب بفضل اندماجها في نسيج نظام التشغيل.
وأصبح التوظيف والتنفيذ الناجحين لمكونات "روتكيت" مهمة صعبة في الآونة الماضية، بفضل الإجراءات التي اتخذتها مايكروسوفت على مر السنين لحماية الأنظمة لا سيما في حيّز نواة النظام (Kernel)، ما جعل الجهات التخريبية تستفيد من معظم برمجيات روتكيت الموجهة إلى النظام ويندوز في هجمات عالية المستوى مثل TunnelSnake.
وشرعت كاسبرسكي في التحقيق في الحملة المذكورة عندما تلقت مجموعة من التنبيهات من حلولها الأمنية تفيد بوجود أداة روتكيت فريدة داخل شبكات مستهدفة. واتّصفت هذه الأداة البرمجية، التي سُمّيت Moriya، بالمراوغة بفضل تمتعها بسمتين اثنتين؛ فهي تعترض وتفحص باقات البيانات الشبكية أثناء نقلها من مساحة عنوان نواة النظام، وهي منطقة ذاكرة توجد فيها نواة نظام التشغيل، وحيث تُشغّل التعليمات البرمجية المميزة والموثوق بها فقط. وقد سمح ذلك للبرمجية الخبيثة بإنزال الباقات الخبيثة الفريدة التي تُحمّل فيها قبل معالجتها بواسطة مكدّس شبكة نظام التشغيل. وتمكن المهاجمون جرّاء ذلك من تجنب الكشف عن الهجوم عن طريق الحلول الأمنية.
ثانيًا، لم تتواصل برمجية روتكيت مع أي خادم لطلب الأوامر، مثلما هو الحال عادة في معظم المنافذ الخلفية الشائعة، ولكنها استقبلت تلك الموجودة في باقات تحمل علامات مميزة، ممزوجة في الجزء الأكبر من حركة بيانات الشبكة التي دققت فيها البرمجية الخبيثة. وقد سمح ذلك لبرمجية روتكيت بتجنب الحاجة إلى بنية تحتية للقيادة والتحكم، ما أعاق التحليل وصعّب تتبع النشاط.
وجرى توظيف البرمجية Moriya في الغالب من خلال خوادم ويب ضعيفة أو مخترقة داخل الكيانات المستهدفة. وفي إحدى الحالات، أصاب المهاجمون خادمًا ببرمجية "ويب شيل" الخبيثة China Chopper التي تسمح بالتحكّم عن بُعد في الخادم المصاب. وتمّت عملية توظيف روتكيت Moriya باستخدام إمكانية الوصول المكتسبة عبر برمجية "ويب شيل" تلك.
وإضافة إلى ذلك، استُخدمت بجانب برمجية روتكيت هذه مجموعة من الأدوات المصممة خصيصًا أو التي سبق استخدامها من قبل العديد من الجهات التخريبية الناطقة بالصينية، ما سمح للمهاجمين بفحص الأجهزة المضيفة في الشبكة المحلية والعثور على أهداف جديدة، ومكّنهم من أداء حركة جانبية لتنتشر إليهم وتسرب الملفات.
وقال غيامباولو ديدولا الباحث الأمني الأول في فريق البحث والتحليل العالمي لدى كاسبرسكي، إن الخبراء استطاعوا، ربط عملية TunnelSnake بالمجموعات التخريبية المعروفة الناطقة بالصينية، بعد تحديد الأهداف والأدوات المستخدمة في العملية، بالرغم من أنهم لم يتمكنوا من أن ينسبوها إلى جهة بعينها. وأضاف: "وجدنا أيضًا إصدارًا قديمًا من Moriya كان استُخدم في هجوم مستقل شُنّ في العام 2018، ما يشير إلى نشاط الجهة التخريبية يعود إلى العام 2018 على الأقلّ. ويشير الملف التعريفي للأهداف ومجموعة الأدوات المستخدمة إلى أن هدف تلك الجهة في هذه الحملة يكمن في التجسّس، وذلك بالرغم من أننا يمكن أن نشهد جزئيًا على ذلك في ظلّ عدم رصدنا لأية بيانات سُحبت فعليًا".
من جانبه، أشار مارك ليشتيك الباحث الأمني الأول في فريق البحث والتحليل العالمي لدى كاسبرسكي، إلى أن مواصلة الاستعدادات وتحسين الدفاعات في وجه الهجمات الموجهة، تدفع الجهات التخريبية إلى تغيير استراتيجيتها، قائلًا إن الخبراء يشهدون المزيد من العمليات السرية مثل TunnelSnake، حيث تتخذ الجهات التخريبية خطوات إضافية للبقاء بعيدًا عن أعين الرقابة لأطول مدة ممكنة، والاستثمار في مجموعاتها من الأدوات، ما يجعلها أكثر تعقيدًا ويصعّب اكتشافها. وأضاف: "يمكن بالتأكيد اكتشاف الأدوات السرية وإيقافها، مثلما اتضح من اكتشافنا، وهذا سباق مستمر بين منتجي الحلول الأمنية والجهات التخريبية الناشطة في مجال التهديدات الرقمية، وعلينا نحن مجتمعَ الأمن الرقمي مواصلة التعاون من أجل الفوز فيه".
يمكن الاطلاع على التقرير الكامل حول حملة TunnelSnake على Securelist. كما يمكن الوصول إلى معلومات تفصيلية حول مؤشرات الاختراق المتعلقة بهذه العملية، بما فيها تجزئة الملفات، عبر بوابة Kaspersky Threat Intelligence Portal.
ويوصي خبراء كاسبرسكي الشركات باتباع ما يلي للحماية من حملات التهديدات المتقدمة المستمرة:
• إجراء عمليات تدقيق أمنية منتظمة للبنية التحتية التقنية في الشركة للكشف عن الثغرات والأنظمة المعرضة للخطر.
• التأكد من أنك تستخدم حلًا أمنيًا مثبتًا عند النقاط الطرفية، مثل Kaspersky Endpoint Security for Business، واحرص على تحديثه دائمًا حتى يتمكن من اكتشاف أحدث أنواع البرمجيات الخبيثة، مثل "روتكيت".
• تثبيت حلول مكافحة التهديدات المتقدمة المستمرة والكشف عن التهديدات عند النقاط الطرفية والاستجابة لها، ما سيمكن المعنيين من اكتشاف التهديدات والتحقيق فيها ومعالجتها في الوقت المناسب. وينبغي الحرص على تزويد فريق مركز العمليات الأمنية بإمكانية الوصول إلى أحدث معلومات التهديدات وتزويده بالتدريب المهني بانتظام. كل ما سبق متاح في Kaspersky Expert Security Framework.


انقر هنا لقراءة الخبر من مصدره.