بكام الطن؟ أسعار الأرز الشعير والأبيض اليوم الأربعاء 4 يونيو 2025 في أسواق الشرقية    تشكيل ألمانيا المتوقع أمام البرتغال في نصف نهائي دوري الأمم الأوروبية    رابط نتيحة الشهادة الإعدادية 2025 بالاسم ورقم الجلوس في الجيزة    تنسيق 2025.. هؤلاء الطلاب مرشحون لجامعة "ساسكوني مصر"    قبل عيد الأضحى 2025 .. أسعار الماعز والضأن في أسواق الشرقية    كامل الوزير: تذكرة المونوريل بنصف تكلفة بنزين السيارة    الدولار ب49.62 جنيه.. سعر العملات الأجنبية اليوم الأربعاء 4-6-2025    مسيرات تحلق فوق سفينة أسطول الحرية ومخاوف من هجوم إسرائيلي    اليوم.. مجلس الأمن يعتزم التصويت على قرار لوقف حرب غزة    اليوم.. ترامب يضاعف الرسوم الجمركية على الصلب والألومنيوم بنسبة 50%    جيش الاحتلال يحذر سكان غزة من التوجه لمراكز توزيع المساعدات    "مايكل وملاكه المفقود" لهنري آرثر جونز.. جديد قصور الثقافة في سلسلة آفاق عالمية    "ظهور يوريسيتش".. 3 صور لاحتفال جدو مع زوجته بالفوز بدوري أبطال أفريقيا    رسميا.. رفع إيقاف قيد الزمالك    ظهور وزير الرياضة في عزاء والدة عمرو الجنايني عضو لجنة التخطيط بالزمالك (صور)    «إنتوا هتجننونا».. خالد الغندور ينفعل على الهواء ويطالب بمنع زيزو من المشاركة مع الأهلي في المونديال    مقتل محامٍ في كفر الشيخ.. ووكيل النقابة: اعتداء وحشي    مباحث الفيوم تكثف جهودها لضبط متهم تعدى على عامل بآلة حادة    مفاجأة في حالة الطقس خلال عيد الأضحى 2025 : استعدوا ل «منخفض الهند »    مصرع وإصابة 17 شخصا في انقلاب ميكروباص بالمنيا    ضبط قاتل محامي كفر الشيخ    مشعر منى يتزين ب«الأبيض» بقدوم حجاج بيت الله في يوم التروية الآن (فيديو)    ليلى علوي تنعى الفنانة سميحة أيوب: "كانت الأم المشجعة دايمًا"    المطرب مسلم يطرح أغنيته الجديدة «سوء اختيار»    موعد أذان فجر الأربعاء 8 من ذي الحجة 2025.. ودعاء في جوف الليل    «احنا الأهلي».. رد صادم من ريبيرو على مواجهة ميسي    هزة أرضية جديدة تضرب جزيرة كريت اليونانية الآن (بؤرة الزلازل)    دعاء النبي في يوم التروية.. الأعمال المستحبة في الثامن من ذي الحجة وكيفية اغتنامه    «حسبي الله فيمن أذاني».. نجم الزمالك السابق يثير الجدل برسالة نارية    النيابة تستكمل التحقيق مع 5 عمال فى واقعة التنقيب عن الأثار بقصر ثقافة الأقصر    رئيس حزب الجيل: إخلاء سبيل 50 محبوسًا احتياطيًا من ثمار الجمهورية الجديدة    يُعد من الأصوات القليلة الصادقة داخل المعارضة .. سر الإبقاء على علاء عبد الفتاح خلف القضبان رغم انتهاء فترة عقوبته؟    خبير يكشف الهدف من طرح 11 شركة حكومية ببرنامج الطروحات    موعد مباراة البنك الأهلي وإنبي في كأس الرابطة المصرية والقنوات الناقلة    90.1 % صافي تعاملات المصريين بالبورصة خلال جلسة منتصف الأسبوع    للتنظيف قبل العيد، خلطة طبيعية وآمنة لتذويب دهون المطبخ    الهلال يسعى لضم كانتي على سبيل الإعارة استعدادا لمونديال الأندية    تعرف على أهم المصادر المؤثرة في الموسيقى القبطية    طفاطف جديدة وخطوط سير في رأس البرّ خلال عيد الأضحى بدمياط    رئيس الأركان يعود إلى مصر عقب انتهاء زيارته الرسمية إلى دولة رواندا    تأخر شحنة مهمة ينتظرها وعطل في المنزل.. برج العقرب اليوم 4 يونيو    تامر حسني: «زعلان من اللي بيتدخل بيني وبين بسمة بوسيل ونفسي اطلعهم برة»    رشوان توفيق ينعى سميحة أيوب: موهبتها خارقة.. وكانت ملكة المسرح العربي    أبرزهم شغل عيال وعالم تانى.. أفلام ينتظر أحمد حاتم عرضها    مي فاروق توجه رسالة نارية وتكشف عن معاناتها: "اتقوا الله.. مش كل ست مطلقة تبقى وحشة!"    مسلم يطرح أحدث أغانيه "سوء اختيار" على "يوتيوب"    رئيس الوزراء يشهد توقيع عقد شراكة وتطوير لإطلاق مدينة «جريان» بمحور الشيخ زايد    البيت الأبيض: ترامب سيشارك في قمة الناتو المقبلة بهولندا    سفير روسيا بالقاهرة يكشف ل«البوابة نيوز» شروط موسكو لوقف الحرب في أوكرانيا    «الإفتاء» تنشر صيغة دعاء الخروج من مكة والتوجه إلى منى    حملات مكثفة على المنشآت الغذائية استعدادًا لعيد الأضحى المبارك بالمنوفية    بمكون منزلي واحد.. تخلصي من «الزفارة» بعد غسل لحم الأضحية    رجل يخسر 40 كيلو من وزنه في 5 أشهر فقط.. ماذا فعل؟    "چبتو فارما" تستقبل وزير خارجية بنين لتعزيز التعاون الدوائي الإفريقي    "صحة المنوفية": استعدادات مكثفة لعيد الأضحى.. ومرور مفاجئ على مستشفى زاوية الناعورة المركزي    لأول مرة.. الاحتلال يكشف أماكن انتشار فرقه فى قطاع غزة..صورة    ماهر فرغلي: تنظيم الإخوان في مصر انهار بشكل كبير والدولة قضت على مكاتبهم    هل تكبيرات العيد واجبة أم سنة؟.. أمين الفتوى يُجيب    







شكرا على الإبلاغ!
سيتم حجب هذه الصورة تلقائيا عندما يتم الإبلاغ عنها من طرف عدة أشخاص.



عملية TunnelSnake: «روتكيت» مجهول يتحكّم سرًا بشبكات تابعة لمؤسسات في آسيا وإفريقيا
أموال الغد نشر في أموال الغد يوم 10 - 05 - 2021

كشف باحثو كاسبرسكي النقاب عن عملية تُدعى TunnelSnake، وتتمثل بحملة تهديد متقدم مستمر، تنشط منذ العام 2019، واستهدفت كيانات دبلوماسية في آسيا وإفريقيا. واستخدم المهاجمون في العملية برمجية "روتكيت" لم تكن معروفة سابقًا يطلق عليها اسم Moriya، وتتمتع بسلطة تحكّم شبه مطلقة بنظام التشغيل. ومكّنت هذه البرمجية الجهات التخريبية الواقفة وراءها من اعتراض حركة البيانات في الشبكة وإخفاء الأوامر التخريبية الصادرة إلى المضيفين المصابين. وقد أدّى ذلك إلى سيطرة المهاجمين سرًا على شبكات الكيانات المستهدفة لعدة أشهر.
وتُعدّ برمجيات "روتكيت" Rootkit، مجموعات من البرمجيات أو الأدوات البرمجية الخبيثة التي تمنح المهاجمين وصولًا سريًا غير محدود إلى جذور نظام حاسوبي ما. وتشتهر برمجيات "روتكيت" بقدرتها على التخفي والتهرب بفضل اندماجها في نسيج نظام التشغيل.
وأصبح التوظيف والتنفيذ الناجحين لمكونات "روتكيت" مهمة صعبة في الآونة الماضية، بفضل الإجراءات التي اتخذتها مايكروسوفت على مر السنين لحماية الأنظمة لا سيما في حيّز نواة النظام (Kernel)، ما جعل الجهات التخريبية تستفيد من معظم برمجيات روتكيت الموجهة إلى النظام ويندوز في هجمات عالية المستوى مثل TunnelSnake.
وشرعت كاسبرسكي في التحقيق في الحملة المذكورة عندما تلقت مجموعة من التنبيهات من حلولها الأمنية تفيد بوجود أداة روتكيت فريدة داخل شبكات مستهدفة. واتّصفت هذه الأداة البرمجية، التي سُمّيت Moriya، بالمراوغة بفضل تمتعها بسمتين اثنتين؛ فهي تعترض وتفحص باقات البيانات الشبكية أثناء نقلها من مساحة عنوان نواة النظام، وهي منطقة ذاكرة توجد فيها نواة نظام التشغيل، وحيث تُشغّل التعليمات البرمجية المميزة والموثوق بها فقط. وقد سمح ذلك للبرمجية الخبيثة بإنزال الباقات الخبيثة الفريدة التي تُحمّل فيها قبل معالجتها بواسطة مكدّس شبكة نظام التشغيل. وتمكن المهاجمون جرّاء ذلك من تجنب الكشف عن الهجوم عن طريق الحلول الأمنية.
ثانيًا، لم تتواصل برمجية روتكيت مع أي خادم لطلب الأوامر، مثلما هو الحال عادة في معظم المنافذ الخلفية الشائعة، ولكنها استقبلت تلك الموجودة في باقات تحمل علامات مميزة، ممزوجة في الجزء الأكبر من حركة بيانات الشبكة التي دققت فيها البرمجية الخبيثة. وقد سمح ذلك لبرمجية روتكيت بتجنب الحاجة إلى بنية تحتية للقيادة والتحكم، ما أعاق التحليل وصعّب تتبع النشاط.
وجرى توظيف البرمجية Moriya في الغالب من خلال خوادم ويب ضعيفة أو مخترقة داخل الكيانات المستهدفة. وفي إحدى الحالات، أصاب المهاجمون خادمًا ببرمجية "ويب شيل" الخبيثة China Chopper التي تسمح بالتحكّم عن بُعد في الخادم المصاب. وتمّت عملية توظيف روتكيت Moriya باستخدام إمكانية الوصول المكتسبة عبر برمجية "ويب شيل" تلك.
وإضافة إلى ذلك، استُخدمت بجانب برمجية روتكيت هذه مجموعة من الأدوات المصممة خصيصًا أو التي سبق استخدامها من قبل العديد من الجهات التخريبية الناطقة بالصينية، ما سمح للمهاجمين بفحص الأجهزة المضيفة في الشبكة المحلية والعثور على أهداف جديدة، ومكّنهم من أداء حركة جانبية لتنتشر إليهم وتسرب الملفات.
وقال غيامباولو ديدولا الباحث الأمني الأول في فريق البحث والتحليل العالمي لدى كاسبرسكي، إن الخبراء استطاعوا، ربط عملية TunnelSnake بالمجموعات التخريبية المعروفة الناطقة بالصينية، بعد تحديد الأهداف والأدوات المستخدمة في العملية، بالرغم من أنهم لم يتمكنوا من أن ينسبوها إلى جهة بعينها. وأضاف: "وجدنا أيضًا إصدارًا قديمًا من Moriya كان استُخدم في هجوم مستقل شُنّ في العام 2018، ما يشير إلى نشاط الجهة التخريبية يعود إلى العام 2018 على الأقلّ. ويشير الملف التعريفي للأهداف ومجموعة الأدوات المستخدمة إلى أن هدف تلك الجهة في هذه الحملة يكمن في التجسّس، وذلك بالرغم من أننا يمكن أن نشهد جزئيًا على ذلك في ظلّ عدم رصدنا لأية بيانات سُحبت فعليًا".
من جانبه، أشار مارك ليشتيك الباحث الأمني الأول في فريق البحث والتحليل العالمي لدى كاسبرسكي، إلى أن مواصلة الاستعدادات وتحسين الدفاعات في وجه الهجمات الموجهة، تدفع الجهات التخريبية إلى تغيير استراتيجيتها، قائلًا إن الخبراء يشهدون المزيد من العمليات السرية مثل TunnelSnake، حيث تتخذ الجهات التخريبية خطوات إضافية للبقاء بعيدًا عن أعين الرقابة لأطول مدة ممكنة، والاستثمار في مجموعاتها من الأدوات، ما يجعلها أكثر تعقيدًا ويصعّب اكتشافها. وأضاف: "يمكن بالتأكيد اكتشاف الأدوات السرية وإيقافها، مثلما اتضح من اكتشافنا، وهذا سباق مستمر بين منتجي الحلول الأمنية والجهات التخريبية الناشطة في مجال التهديدات الرقمية، وعلينا نحن مجتمعَ الأمن الرقمي مواصلة التعاون من أجل الفوز فيه".
يمكن الاطلاع على التقرير الكامل حول حملة TunnelSnake على Securelist. كما يمكن الوصول إلى معلومات تفصيلية حول مؤشرات الاختراق المتعلقة بهذه العملية، بما فيها تجزئة الملفات، عبر بوابة Kaspersky Threat Intelligence Portal.
ويوصي خبراء كاسبرسكي الشركات باتباع ما يلي للحماية من حملات التهديدات المتقدمة المستمرة:
• إجراء عمليات تدقيق أمنية منتظمة للبنية التحتية التقنية في الشركة للكشف عن الثغرات والأنظمة المعرضة للخطر.
• التأكد من أنك تستخدم حلًا أمنيًا مثبتًا عند النقاط الطرفية، مثل Kaspersky Endpoint Security for Business، واحرص على تحديثه دائمًا حتى يتمكن من اكتشاف أحدث أنواع البرمجيات الخبيثة، مثل "روتكيت".
• تثبيت حلول مكافحة التهديدات المتقدمة المستمرة والكشف عن التهديدات عند النقاط الطرفية والاستجابة لها، ما سيمكن المعنيين من اكتشاف التهديدات والتحقيق فيها ومعالجتها في الوقت المناسب. وينبغي الحرص على تزويد فريق مركز العمليات الأمنية بإمكانية الوصول إلى أحدث معلومات التهديدات وتزويده بالتدريب المهني بانتظام. كل ما سبق متاح في Kaspersky Expert Security Framework.

انقر هنا لقراءة الخبر من مصدره.