قفزة تاريخية.. مصر تقترب من الاكتفاء الذاتي للقمح والأرز    الاتحاد الأوروبي يواصل دعم أوكرانيا ويوافق على تجميد أصول روسيا لأجل غير مسمى    محكمة بوليفية تقرر حبس الرئيس السابق لويس آرسي احتياطيًا 5 أشهر بتهمة اختلاس أموال عامة    تدريب واقتراب وعطش.. هكذا استعدت منى زكي ل«الست»    بين مصر ودبي والسعودية.. خريطة حفلات رأس السنة    بدأ العد التنازلي.. دور العرض تستقبل أفلام رأس السنة    د.هبة مصطفى: مصر تمتلك قدرات كبيرة لدعم أبحاث الأمراض المُعدية| حوار    مصرع شخص وإصابة 7 آخرين فى حادث تصادم بزراعى البحيرة    تقرير أممي: التوسع الاستيطاني بالضفة الغربية يبلغ أعلى مستوى له منذ عام 2017 على الأقل    ترامب يثمن دور رئيس الوزراء الماليزى فى السلام بين كمبوديا وتايلاند    زعيمة المعارضة الفنزويلية تؤيد زيادة الضغط على مادورو حتى "يدرك أنه يجب عليه الرحيل"    ياسمين عبد العزيز: كان نفسي أبقى مخرجة إعلانات.. وصلاة الفجر مصدر تفاؤلي    بعد الخروج أمام الإمارات، مدرب منتخب الجزائر يعلن نهايته مع "الخضر"    محمد فخرى: كولر كان إنسانا وليس مدربا فقط.. واستحق نهاية أفضل فى الأهلى    وول ستريت جورنال: قوات خاصة أمريكية داهمت سفينة وهي في طريقها من الصين إلى إيران    اليوم.. محاكمة المتهمين في قضية خلية تهريب العملة    ياسمين عبد العزيز: ما بحبش مسلسل "ضرب نار"    سلوى بكر ل العاشرة: أسعى دائما للبحث في جذور الهوية المصرية المتفردة    أكرم القصاص: الشتاء والقصف يضاعفان معاناة غزة.. وإسرائيل تناور لتفادي الضغوط    هشام نصر: سنرسل خطابا لرئيس الجمهورية لشرح أبعاد أرض أكتوبر    إصابة 3 أشخاص إثر تصادم دراجة نارية بالرصيف عند مدخل بلقاس في الدقهلية    قرار هام بشأن العثور على جثة عامل بأكتوبر    بسبب تسريب غاز.. قرار جديد في مصرع أسرة ببولاق الدكرور    ننشر نتيجة إنتخابات نادي محافظة الفيوم.. صور    محمود عباس يُطلع وزير خارجية إيطاليا على التطورات بغزة والضفة    كأس العرب - مجرشي: لا توجد مباراة سهلة في البطولة.. وعلينا القتال أمام الأردن    أحمد حسن: بيراميدز لم يترك حمدي دعما للمنتخبات الوطنية.. وهذا ردي على "الجهابذة"    الأهلي يتراجع عن صفقة النعيمات بعد إصابته بالرباط الصليبي    الأهلي يتأهل لنصف نهائي بطولة أفريقيا لكرة السلة سيدات    فرانشيسكا ألبانيزي: تكلفة إعمار غزة تتحملها إسرائيل وداعموها    ياسمين عبد العزيز: أرفض القهر ولا أحب المرأة الضعيفة    محافظ الدقهلية يهنئ الفائزين في المسابقة العالمية للقرآن الكريم من أبناء المحافظة    تعيين الأستاذ الدكتور محمد غازي الدسوقي مديرًا للمركز القومي للبحوث التربوية والتنمية    إشادة شعبية بافتتاح غرفة عمليات الرمد بمجمع الأقصر الطبي    روشتة ذهبية .. قصة شتاء 2025 ولماذا يعاني الجميع من نزلات البرد؟    عمرو أديب ينتقد إخفاق منتخب مصر: مفيش جدية لإصلاح المنظومة الرياضية.. ولما نتنيل في إفريقيا هيمشوا حسام حسن    صحه قنا تعلن موعد انطلاق الحملة التنشيطية لتنظيم الأسرة ضمن مبادرة بداية    سعر جرام الذهب، عيار 21 وصل لهذا المستوى    بعد واقعة تحرش فرد الأمن بأطفال، مدرسة بالتجمع تبدأ التفاوض مع شركة حراسات خاصة    الإسعافات الأولية لنقص السكر في الدم    مفتي الجمهورية يشهد افتتاح مسجدي الهادي البديع والواحد الأحد بمدينة بشاير الخير بمحافظة الإسكندرية    الأرصاد تعلن انحسار تأثير المنخفض الجوي وارتفاع طفيف في الحرارة وأمطار على هذه المناطق    غلق مزلقان مغاغة في المنيا غدا لهذا السبب    لجنة المحافظات بالقومي للمرأة تناقش مبادرات دعم تحقيق التمكين الاقتصادي والاجتماعي    مواقيت الصلاه اليوم الجمعه 12ديسمبر 2025 فى المنيا    محافظ أسوان يأمر بإحالة مدير فرع الشركة المصرية للنيابة العامة للتحقيق لعدم توافر السلع بالمجمع    انطلاقة قوية للمرحلة الثانية لبرنامج اختراق سوق العمل بجامعة سوهاج |صور    اسعار الفاكهه اليوم الجمعه 12ديسمبر 2025 فى المنيا    سويلم: العنصر البشري هو محور الاهتمام في تطوير المنظومة المائية    ضبط المتهمين بتقييد مسن فى الشرقية بعد فيديو أثار غضب رواد التواصل    ناشيونال جيوجرافيك: الدعاية للمتحف الكبير زادت الحجوزات السياحية لعام 2026    هشام طلعت مصطفى يرصد 10 ملايين جنيه دعمًا لبرنامج دولة التلاوة    نقيب العلاج الطبيعى: إلغاء عمل 31 دخيلا بمستشفيات جامعة عين شمس قريبا    بتوجيهات الرئيس.. قافلة حماية اجتماعية كبرى من صندوق تحيا مصر لدعم 20 ألف أسرة في بشاير الخير ب226 طن مواد غذائية    في الجمعة المباركة.. تعرف على الأدعية المستحبة وساعات الاستجابة    تحالف جديد تقوده واشنطن لمواجهة الصين يضم إسرائيل و4 آخرين    عاجل- الحكومة توضح حقيقة بيع المطارات المصرية: الدولة تؤكد الملكية الكاملة وتوضح أهداف برنامج الطروحات    كيف أصلي الجمعة إذا فاتتني الجماعة؟.. دار الإفتاء تجيب    







شكرا على الإبلاغ!
سيتم حجب هذه الصورة تلقائيا عندما يتم الإبلاغ عنها من طرف عدة أشخاص.



عملية TunnelSnake: «روتكيت» مجهول يتحكّم سرًا بشبكات تابعة لمؤسسات في آسيا وإفريقيا
أموال الغد نشر في أموال الغد يوم 10 - 05 - 2021

كشف باحثو كاسبرسكي النقاب عن عملية تُدعى TunnelSnake، وتتمثل بحملة تهديد متقدم مستمر، تنشط منذ العام 2019، واستهدفت كيانات دبلوماسية في آسيا وإفريقيا. واستخدم المهاجمون في العملية برمجية "روتكيت" لم تكن معروفة سابقًا يطلق عليها اسم Moriya، وتتمتع بسلطة تحكّم شبه مطلقة بنظام التشغيل. ومكّنت هذه البرمجية الجهات التخريبية الواقفة وراءها من اعتراض حركة البيانات في الشبكة وإخفاء الأوامر التخريبية الصادرة إلى المضيفين المصابين. وقد أدّى ذلك إلى سيطرة المهاجمين سرًا على شبكات الكيانات المستهدفة لعدة أشهر.
وتُعدّ برمجيات "روتكيت" Rootkit، مجموعات من البرمجيات أو الأدوات البرمجية الخبيثة التي تمنح المهاجمين وصولًا سريًا غير محدود إلى جذور نظام حاسوبي ما. وتشتهر برمجيات "روتكيت" بقدرتها على التخفي والتهرب بفضل اندماجها في نسيج نظام التشغيل.
وأصبح التوظيف والتنفيذ الناجحين لمكونات "روتكيت" مهمة صعبة في الآونة الماضية، بفضل الإجراءات التي اتخذتها مايكروسوفت على مر السنين لحماية الأنظمة لا سيما في حيّز نواة النظام (Kernel)، ما جعل الجهات التخريبية تستفيد من معظم برمجيات روتكيت الموجهة إلى النظام ويندوز في هجمات عالية المستوى مثل TunnelSnake.
وشرعت كاسبرسكي في التحقيق في الحملة المذكورة عندما تلقت مجموعة من التنبيهات من حلولها الأمنية تفيد بوجود أداة روتكيت فريدة داخل شبكات مستهدفة. واتّصفت هذه الأداة البرمجية، التي سُمّيت Moriya، بالمراوغة بفضل تمتعها بسمتين اثنتين؛ فهي تعترض وتفحص باقات البيانات الشبكية أثناء نقلها من مساحة عنوان نواة النظام، وهي منطقة ذاكرة توجد فيها نواة نظام التشغيل، وحيث تُشغّل التعليمات البرمجية المميزة والموثوق بها فقط. وقد سمح ذلك للبرمجية الخبيثة بإنزال الباقات الخبيثة الفريدة التي تُحمّل فيها قبل معالجتها بواسطة مكدّس شبكة نظام التشغيل. وتمكن المهاجمون جرّاء ذلك من تجنب الكشف عن الهجوم عن طريق الحلول الأمنية.
ثانيًا، لم تتواصل برمجية روتكيت مع أي خادم لطلب الأوامر، مثلما هو الحال عادة في معظم المنافذ الخلفية الشائعة، ولكنها استقبلت تلك الموجودة في باقات تحمل علامات مميزة، ممزوجة في الجزء الأكبر من حركة بيانات الشبكة التي دققت فيها البرمجية الخبيثة. وقد سمح ذلك لبرمجية روتكيت بتجنب الحاجة إلى بنية تحتية للقيادة والتحكم، ما أعاق التحليل وصعّب تتبع النشاط.
وجرى توظيف البرمجية Moriya في الغالب من خلال خوادم ويب ضعيفة أو مخترقة داخل الكيانات المستهدفة. وفي إحدى الحالات، أصاب المهاجمون خادمًا ببرمجية "ويب شيل" الخبيثة China Chopper التي تسمح بالتحكّم عن بُعد في الخادم المصاب. وتمّت عملية توظيف روتكيت Moriya باستخدام إمكانية الوصول المكتسبة عبر برمجية "ويب شيل" تلك.
وإضافة إلى ذلك، استُخدمت بجانب برمجية روتكيت هذه مجموعة من الأدوات المصممة خصيصًا أو التي سبق استخدامها من قبل العديد من الجهات التخريبية الناطقة بالصينية، ما سمح للمهاجمين بفحص الأجهزة المضيفة في الشبكة المحلية والعثور على أهداف جديدة، ومكّنهم من أداء حركة جانبية لتنتشر إليهم وتسرب الملفات.
وقال غيامباولو ديدولا الباحث الأمني الأول في فريق البحث والتحليل العالمي لدى كاسبرسكي، إن الخبراء استطاعوا، ربط عملية TunnelSnake بالمجموعات التخريبية المعروفة الناطقة بالصينية، بعد تحديد الأهداف والأدوات المستخدمة في العملية، بالرغم من أنهم لم يتمكنوا من أن ينسبوها إلى جهة بعينها. وأضاف: "وجدنا أيضًا إصدارًا قديمًا من Moriya كان استُخدم في هجوم مستقل شُنّ في العام 2018، ما يشير إلى نشاط الجهة التخريبية يعود إلى العام 2018 على الأقلّ. ويشير الملف التعريفي للأهداف ومجموعة الأدوات المستخدمة إلى أن هدف تلك الجهة في هذه الحملة يكمن في التجسّس، وذلك بالرغم من أننا يمكن أن نشهد جزئيًا على ذلك في ظلّ عدم رصدنا لأية بيانات سُحبت فعليًا".
من جانبه، أشار مارك ليشتيك الباحث الأمني الأول في فريق البحث والتحليل العالمي لدى كاسبرسكي، إلى أن مواصلة الاستعدادات وتحسين الدفاعات في وجه الهجمات الموجهة، تدفع الجهات التخريبية إلى تغيير استراتيجيتها، قائلًا إن الخبراء يشهدون المزيد من العمليات السرية مثل TunnelSnake، حيث تتخذ الجهات التخريبية خطوات إضافية للبقاء بعيدًا عن أعين الرقابة لأطول مدة ممكنة، والاستثمار في مجموعاتها من الأدوات، ما يجعلها أكثر تعقيدًا ويصعّب اكتشافها. وأضاف: "يمكن بالتأكيد اكتشاف الأدوات السرية وإيقافها، مثلما اتضح من اكتشافنا، وهذا سباق مستمر بين منتجي الحلول الأمنية والجهات التخريبية الناشطة في مجال التهديدات الرقمية، وعلينا نحن مجتمعَ الأمن الرقمي مواصلة التعاون من أجل الفوز فيه".
يمكن الاطلاع على التقرير الكامل حول حملة TunnelSnake على Securelist. كما يمكن الوصول إلى معلومات تفصيلية حول مؤشرات الاختراق المتعلقة بهذه العملية، بما فيها تجزئة الملفات، عبر بوابة Kaspersky Threat Intelligence Portal.
ويوصي خبراء كاسبرسكي الشركات باتباع ما يلي للحماية من حملات التهديدات المتقدمة المستمرة:
• إجراء عمليات تدقيق أمنية منتظمة للبنية التحتية التقنية في الشركة للكشف عن الثغرات والأنظمة المعرضة للخطر.
• التأكد من أنك تستخدم حلًا أمنيًا مثبتًا عند النقاط الطرفية، مثل Kaspersky Endpoint Security for Business، واحرص على تحديثه دائمًا حتى يتمكن من اكتشاف أحدث أنواع البرمجيات الخبيثة، مثل "روتكيت".
• تثبيت حلول مكافحة التهديدات المتقدمة المستمرة والكشف عن التهديدات عند النقاط الطرفية والاستجابة لها، ما سيمكن المعنيين من اكتشاف التهديدات والتحقيق فيها ومعالجتها في الوقت المناسب. وينبغي الحرص على تزويد فريق مركز العمليات الأمنية بإمكانية الوصول إلى أحدث معلومات التهديدات وتزويده بالتدريب المهني بانتظام. كل ما سبق متاح في Kaspersky Expert Security Framework.

انقر هنا لقراءة الخبر من مصدره.