الحكومة تعلن عن 2289 فرصة عمل داخل 9 محافظات، تعرف على الرواتب والشروط    رئيس خطة النواب يكشف موعد الانتهاء من مناقشة الحساب الختامي لموازنة 2024/ 2025    تعرف على سعر الأرز فى الأسواق، اليوم الإثنين 23 مارس    إيران تهدد برد فوري وتعطيل الملاحة حال استهداف سواحلها    النصر يقترب من استعادة خدمات ساديو ماني    التنمية المحلية: التصدي لمخالفات البناء والتعديات على الأراضي الزراعية في المحافظات خلال إجازة العيد    تراجع العملة الكورية الجنوبية لأدنى مستوى منذ 17 عاما بسبب التوترات الجيوسياسية    استقرار حذر لأسعار النفط عالميًا وسط تصاعد التوترات الجيوسياسية    وزير المالية الإسرائيلي: مثلما نسيطر على 55% من غزة علينا فعل ذلك بلبنان    عاجل| الخارجية الروسية: تنفيذ عملية برية أمريكية بإيران سيؤدي إلى تفاقم الصراع    شعبة الذهب: المعدن النفيس يتراجع 23.6% بأكثر من 1272 دولارا منذ بداية حرب إيران    اتجاه داخل رابطة الأندية لتعديل موعد نهاية الدوري المصري    9 ألقاب تفصل جوارديولا عن رقم فيرجسون التاريخي    إصابة 8 أشخاص فى حادث انقلاب سيارة ملاكى بقنا    تحقيقات لكشف ملابسات اشتعال حريق بمخزن خردة في منشأة ناصر    حكم تتابع صيام 6 أيام من شوال ورأى المالكية فيها    معركة المحفظة في عش الزوجية.. قصص نساء اخترن الحرية بعدما تحول المصروف لخلاف.. صراع الجنيه يطفئ قناديل البيوت الهادئة.. عندما يتحول الإنفاق المنزلى لسكين يمزق وثيقة الزواج.. وهذه روشتة لميزانية الأسرة    انطلاق مؤتمر طب أسنان القاهرة "CIDC 2026" أول أبريل    اليوم ال 24 للحرب.. أزمة مضيق هرمز تُؤجّج التوترات العالمية وإنذار ترامب يُصعّد الصراع    أسعار الدواجن والبيض تتراجع في مستهل تعاملات اليوم الاثنين    الطقس اليوم في مصر الإثنين 23 مارس 2026.. أجواء دافئة نهارًا وباردة ليلًا مع فرص أمطار متفرقة    إياد نصار: وافقت فورًا على «صحاب الأرض» بسبب فكرته    وسط إقبال حاشد، ثقافة الإسماعيلية تحتفي بعيد الفطر بعروض السمسمية وورشة رسم (صور)    وزير المالية: رفع كفاءة إدارة أصول الدولة بالشراكة مع القطاع الخاص    الحرس الثوري الإيراني: سنرد على أي تهديد بمستوى يحقق الردع    تعرف على أول ضحايا إعادة هيكلة قطاع الكرة داخل الأهلي    طريقة عمل الطعمية في البيت بمكونات وخطوات بسيطة    مواعيد مباريات اليوم الإثنين 23 مارس 2026 والقنوات الناقلة لها    موعد محاكمة عاطل بتهمة إصابة آخر بعاهة مستديمة في مشاجرة بعين شمس    طالبة تحاول إنهاء حياتها بقرص الغلال في سوهاج    قافلة "زاد العزة" ال 162 تدخل إلى الفلسطينيين في قطاع غزة    مفاجأة في واقعة كرموز| الأم قتلت أبناءها ال5 والابن السادس ساعدها في إنهاء حياتها    الإمارات تتصدى لصواريخ ومسيّرات إيرانية للمرة الثانية خلال ساعات    الإسكندرية: حملة لإزالة الإشغالات بطريق الكورنيش    صابرين النجيلي تكشف أصعب مشاهدها في "اتنين غيرنا": مشهد خبر الحبس كان يدوّخني نفسيًا    «دوللي شاهين تُطلق «واحشاني يامه» رسالة حب أبدية لروح والدتها وتُلهب مشاعر الجماهير: أغنية تدمع لها العين وتعانق كل قلب فقد أمه»    30 دقيقة متوسط تأخيرات القطارات على خط «القاهرة - الإسكندرية» اليوم الأثنين    إيران تطالب مجلس الأمن الدولي بالتحرك    العسيلي وويجز يتألقان في حفل عيد الفطر بالسعودية    باسم سمرة يحسم الجدل حول الجزء الثاني من «عين سحرية»    هشام ماجد يشكر جمهوره بعد تصدر فيلم «برشامة» إيرادات عيد الفطر    استقرار ملحوظ.. نادية مصطفى تكشف تطورات الحالة الصحية ل هاني شاكر بفرنسا    خبير أمريكى: سعر البنزين فى الولايات المتحدة سيصل إلى 4 دولارات للجالون غداً    وزير الإعلام الفلسطيني: مسلسل «صحاب الأرض» وثيقة تاريخية للأجيال المقبلة    سقوط متصدري دوري أبطال أفريقيا وصمود الكبار بالكونفيدرالية    طلب إحاطة بشأن تراجع حالة المرافق الأساسية في الاستادات ومنظومة إدارة وتنظيم المشجعين    "بحضور وكيل وزارة الأوقاف "تكريم حفظة القرآن الكريم بمسجد البقلى بحى غرب أسيوط    مواقيت الصلاة اليوم الإثنين 23 مارس 2026 في القاهرة والمحافظات    حادث مروع بقليوب.. مصرع شاب دهسه قطار بمزلقان روز اليوسف    الصحة تحذر مرضى القلب: لا تفرطوا في حلويات العيد    متلازمة باريلا وإسبوزيتو مستمرة.. إنتر يواصل نزيف النقاط بالتعادل مع فيورنتينا    ديتوكس ساحر لطرد سموم الفسيخ والكعك وتنظيم الهضم    أخبار كفر الشيخ اليوم.. استمرار توقف حركة الملاحة لليوم الخامس    جولة تفقدية ل«المراكز المتخصصة» بمستشفى الهرم لمتابعة انتظام الخدمات خلال العيد    كان يضعها تحت وسادته.. أسرة عبدالحليم حافظ تكشف عن أدعية بخط يده    كشف ملابسات تحويل شارع لجراج مخالف بالإسكندرية وضبط المتهم    وزير الكهرباء يجتمع برئيس هيئة المحطات النووية لمتابعة مشروع الضبعة    المتحدث الرسمي للأوقاف للفجر: حبُّنا لرسول الله صلى الله عليه وسلم وآلِ بيته الأطهار دينٌ صادق وتاريخٌ مشهود    







شكرا على الإبلاغ!
سيتم حجب هذه الصورة تلقائيا عندما يتم الإبلاغ عنها من طرف عدة أشخاص.



مطاردة "Lazarus": تقفّي أثر عصابة إلكترونية خطيرة لمنع عمليات سطو هائلة تستهدف أرصدة البنوك
مروة رزق نشر في محيط يوم 04 - 04 - 2017

نشرت كاسبرسكي لاب نتائج تحقيقاتها التي استمرت لأكثر من عام حول نشاط "Lazarus" – وهي عصابة إلكترونية خطيرة يزعم أنها المسؤولة عن سرقة 81 مليون دولار من بنك بنغلاديش المركزي في العام 2016.
وأثناء تحليل المختبر الجنائي لبعض الدلائل التي خلفتها العصابة الإلكترونية في بنوك تقع في جنوب شرق آسيا وأوروبا، تمكنت كاسبرسكي لاب من تكوين فهم عميق للأدوات الخبيثة التي تستخدمها العصابة وطريقة تشغيلها أثناء مهاجمة المؤسسات المالية والكازينوهات ومطوري البرامج لشركات الاستثمار والمؤسسات التي تستخدم العملات المشفرة في جميع أنحاء العالم. وقد ساعدت المعلومات المجمّعة في التصدي لعصابتين أخرتين على الأقل كان هدفهما سرقة مبالغ ضخمة من المؤسسات المالية.
في فبراير من العام 2016، حاولت عصابة من القراصنة (مجهولي الهوية في ذلك الوقت) سرقة 851 مليون دولار أمريكي، وتمكنت من تحويل 81 مليون دولار أمريكي من بنك بنغلاديش المركزي. واعتبرت هذه إحدى أكبر عمليات السطو الإلكتروني الأكثر نجاحا على الإطلاق. وكشفت تحقيقات أخرى أجراها باحثون من مختلف شركات أمن تكنولوجيا المعلومات بما فيها كاسبرسكي لاب بأن هناك احتمال كبير بأن تكون الهجمات قد شنت عن طريق "Lazarus"- وهي عصابة سيئة السمعة تشن هجمات تجسس وتخريب إلكترونية والمسؤولة عن سلسلة من الهجمات العادية والمدمرة، وتشتهر بأسلوبها الإجرامي في مهاجمة شركات التصنيع ووسائل الإعلام والمؤسسات المالية في 18 دولة على الأقل حول العالم منذ العام 2009.
وعلى الرغم من أن عصابة "Lazarus" الإلكترونية قد بقيت خاملة لعدة أشهر في أعقاب هجوم بنغلاديش، إلا أنها لاتزال نشطة. بل كانت العصابة تحضر لعملية جديدة تستهدف السطو على الأموال من بنوك أخرى، وفي الوقت الذي استكملت تحضيراتها لشن الهجوم، كانت العصابة قد تمكنت مسبقاً من دسّ برمجيتها الخبيثة في شبكات إحدى المؤسسات المالية في جنوب شرق آسيا. وبعد أن تم كشفها ومنعها من قبل منتجات كاسبرسكي لاب واستناداً إلى نتائج التحقيقات، عادت العصابة إلى تعليق هجماتها لبضعة أشهر أخرى، ثم قررت فيما بعد تغيير سيناريو الهجوم بالانتقال إلى أوروبا. إلا أن جهودها باءت بالفشل حيت تم الكشف عنها ومنعها مجدداً هنا عن طريق برنامج كاسبرسكي لاب الأمني ومنصة الاستجابة السريعة لحالات الاختراق والتحليلات الجنائية والهندسة العكسية لباحثي كاسبرسكي لاب.
صيغة "Lazarus"
استنادا إلى نتائج تحليل المختبر الجنائي لهذه الهجمات، تمكن باحثو كاسبرسكي لاب من فك لغز طريقة عمل هذه العصابة.
عملية الاختراق الأولي: يتم العمل على اختراق نظام فردي داخل أحد البنوك إما باستخدام شيفرة ضعيفة يمكن الوصول إليها عن بعد (أي على خادم الويب) أو من خلال هجوم (Watering Hole) عن طريق استغلال ثغرة أمنية غير مكتشفة مندسّة في إحدى المواقع الإلكترونية النظامية. وما أن تتم زيارة ذلك الموقع الإلكتروني المصاب، سرعان ما تصاب الضحية (موظف البنك) بالبرمجية الخبيثة التي تجلب معها المزيد من المكونات الإضافية.
الانتهاء من تلغيم جهاز الضحية بالبرمجية الخبيثة: تقوم العصابة بعد ذلك بالانتقال إلى بيئات مضيفة لبنوك أخرى وتنشر برنامج التسلل المستمر من الباب الخلفي (Backdoor)، كما تتيح لها هذه البرمجية الخبيثة الدخول والخروج وقتما تشاء.
الاستطلاع الداخلي: بعد ذلك تقضي العصابة أياماً وأسابيع لتعلم آلية عمل الشبكة وتحديد الموارد القيمة. وقد يكون أحد هذه الموارد خادم النسخ الاحتياطي، حيث يتم فيه تخزين معلومات المصادقة، أو خادم البريد، أو وحدة التحكم بكامل النطاق "Domain" المزودة بمفاتيح لكل "منفذ متاح" في الشركة، بالإضافة إلى الخوادم التي تخزن أو تعالج سجلات المعاملات المالية.
نشر البرمجية الخبيثة وسرقة الأموال: وأخيرا، تقوم العصابة بنشر البرمجية الخبيثة القادرة على تخطي وسائل الكشف والمنع المثبتة في نظام الأمن الداخلي للبرامج المالية وإصدار معاملات عشوائية نيابة عن البنك.
نطاق التوزع الجغرافي والإسناد
استمرت الهجمات التي حقق فيها باحثو كاسبرسكي لاب لأسابيع. ومع ذلك، استطاع المهاجمون العمل بعيداً عن أعين الرادار لعدة أشهر. فعلى سبيل المثال، اكتشف الخبراء أثناء تحليل إحدى الحالات الأمنية في جنوب شرق آسيا أن القراصنة تمكنوا من اختراق شبكة البنك منذ ما لا يقل عن سبعة أشهر قبل اليوم الذي طلب فيه فريق الأمن التابع للبنك طلب العون من فريق الاستجابة للحالات الأمنية الطارئة. وفي الواقع، كانت لدى العصابة القدرة على الدخول إلى شبكة ذلك البنك حتى قبل اليوم الذي وقعت فيه حادثة بنغلاديش.
وفقا لسجلات كاسبرسكي لاب، بدأ ظهور عينات البرمجية الخبيثة المتعلقة بنشاط عصابة "Lazarus" في المؤسسات المالية والكازينوهات ومطوري البرمجيات لشركات الاستثمار والمؤسسات التي تستخدم العملات المشفرة في كوريا وبنغلاديش والهند وفيتنام واندونيسيا وكوستاريكا وماليزيا وبولندا والعراق وإثيوبيا وكينيا ونيجيريا وأوروغواي وغابون وتايلند وعدة دول أخرى منذ ديسمبر 2015. كما تم الكشف عن العينات الأحدث المعروفة لكاسبرسكي لاب في مارس 2017، مما يشير إلى أن المهاجمين ليس لديهم نية لوقف أنشطتهم.
وعلى الرغم من أن المهاجمين كانوا حذرين بما فيه الكفاية لإزالة أي أثر يدل على وجودهم، كان هناك خادم واحد على الأقل قامت العصابة باختراقه لاستخدامه في هجوم آخر. وقد احتوى هذا الخادم على خطأ فادح ودليل آخر مهم خلفته العصابة وراءها. وأثناء التحضير للعملية، تم تعريف الخادم كمركز للسيطرة والتحكم في البرمجية الخبيثة. وكان مصدر الاتصال الذي تم إجراؤه في يوم تعريف الخادم يعود إلى عدد من خوادم الشبكات الافتراضية الخاصة، مما يشير إلى وجود فترة اختبار لخادم السيطرة والتحكم. ومع ذلك، كان هناك اتصال واحد قصير في ذلك يعود مصدره إلى مجموعة عناوين "IP" نادرة جدا في كوريا الشمالية.
ووفقا للباحثين، فقد يعني هذا الأمر عدة أمور:
* المهاجمون متصلون من عنوان ال"IP"عينه في كوريا الشمالية
* المهاجموت قد قامو بالتظاهر بالخاطئ لتضليل أعمالهم
* قد زار شخص ما الرابط في كوريا الشمالية عن طريق الخطأ
تستثمر عصابة "Lazarus" الإلكترونية بشكل كبير في أنماط جديدة متنوعة لبرمجياتها الخبيثة. وكانت العصابة تحاول منذ أشهر أن تتوصل إلى ابتكار جملة أدوات خبيثة غير مرئية ويتعذر اكتشافها من قبل منصات الحماية الأمنية، إلا أنه في موازاة قيامهم بذلك، يتمكن خبراء كاسبرسكي لاب من تحديد الخصائص الجديدة التي تمكنهم من معرفة كيفية برمجة رموز الشيفرة التي تضعها العصابة الإلكترونية، مما يتيح لكاسبرسكي لاب مواصلة تتبع كافة الأنماط الهجومية الخبيثة المستجدة. واليوم، يبدي المهاجمون هدوءاً نسبياً، وهو ما يعني على الأرجح، أنهم يستعدون لإعادة هيكلة ترسانتهم الهجومية.
وقال فيتالي كاملوك، رئيس فريق الأبحاث والتحليلات العالمي لدول آسيا المحيط الهادئ في كاسبرسكي لاب، "نحن على ثقة بأن هذه العصابة ستعود مجدداً وفي القريب العاجل. وعموماً، تظهر الهجمات، مثل تلك التي شنتها عصابة "Lazarus" الإلكترونية بأن أي خطأ بسيط في عملية التعريف قد يؤدي إلى حدوث اختراق أمني كبير يكبد الشركة المستهدفة خسائر مالية بمئات الملايين من الدولارات. نأمل في أن يصبح المدراء التنفيذيون في البنوك والكازينوهات وشركات الاستثمار حول العالم على دراية وحذر من اسم عصابة "Lazarus".
تكتشف منتجات كاسبرسكي لاب وتتبع بنجاح البرمجيات الخبيثة المستخدمة من قبل عصابة "Lazarus" الإلكترونية من خلال أسماء الصيغ المكتشفة التالية:
* HEUR:Trojan-Banker.Win32.Alreay
* Trojan-Banker.Win32.Agent
كما ستصدر الشركة قريباً أيضاً مؤشرات الاختراق "IOC" المهمة وبيانات أخرى حيوية بهدف مساعدة الشركات في العثور على أدلة حول هجمات هذه العصابة في شبكاتها. لمزيد من المعلومات، يرجى زيارة الموقع: Securelist.com.
نوصي جميع الشركات بإجراء مسح دقيق لشبكاتها للتأكد من خلوها من برمجية "Lazarus" الخبيثة، و، في حال الكشف عنها، العمل على إزالة الإصابة من أنظمتها والإبلاغ عن الإصابة إلى هيئة انفاذ القانون وفرق الاستجابة السريعة في حالات الطورائ.

انقر هنا لقراءة الخبر من مصدره.