بمناسبة الإحتفال بنصر أكتوبر.. من هو الجندي المجهول؟    محافظ الإسماعيلية يستقبل وزير الري في مستهل زيارته للمحافظة    اتحاد التأمين: تحقيق الشمول التأميني أهم الأولويات لتطوير سوق التأمين المصري    سعر الذهب اليوم الأحد 5 أكتوبر 2025.. عيار 18 بدون مصنعية ب4483 جنيها    طرح 11 وحدة صناعية جديدة بمجمع المطاهرة بمحافظة المنيا    ترامب: اتفاق غزة صفقة عظيمة لإسرائيل    القاهرة الإخبارية: انتهاء عمليات الاقتراع في عموم المحافظات السورية    احتجاجات بتل أبيب وأسر الرهائن يدعون ترامب ونتنياهو لإنجاز اتفاق وقف إطلاق النار    أستون فيلا يواصل انتصاراته فى الدورى الإنجليزى بفوز مثير ضد بيرنلى    الشوط الأول| برشلونة يسقط أمام إشبيلية في الدوري الإسباني    لوران بلان مرشح لتدريب الأهلي.. وشرط قبل التفاوض معه    ضبط عاطل أشعل النار في سيارة شقيقته إثر خلافات عائلية بكفر الشيخ    رياح وسقوط أمطار على هذه المناطق.. «الأرصاد» تحذر من حالة الطقس غدًا    انطلاق قطار جديد للعودة الطوعية للأشقاء السودانيين إلى وطنهم| صور    تأجيل محاكمة 71 متهما بخلية الهيكل الإدارى بالتجمع لجلسة 21 ديسمبر    سيارة مسرعة تنهي حياة طفل أثناء عبوره الطريق بصحبة والدته في العجوزة    المتحف المصري.. يعيد الحياة إلى نقوش نفرماعت النادرة بتقنية ترميم متطورة    وزير الثقافة يكلف د.سهام وهدان قومسيرًا لمعرض «كادرات موازية»    التمثيل يأخذ نصيب الأسد في مهرجان نقابة المهن التمثيلية للمسرح المصري    أفضل 5 أبراج تنجح في التدريس أولهم برج القوس فى يوم المعلم العالمى    وكيل صحة القليوبية يتفقد عددًا من المنشآت الصحية ببنها وقليوب    حكم الذكر دون تحريك الشفتين.. وهذا هو الفرق بين الذكر القلبي واللساني    «بس ماترجعوش تزعلوا».. شوبير يعتذر ل عمرو زكي    محمد الغزاوي.. نموذج إداري هادئ يعود للمنافسة في انتخابات الأهلي المقبلة    رئيس الوزراء يترأس اجتماع اللجنة الرئيسية لتقنين أوضاع الكنائس والمباني الخدمية التابعة لها    «التموين» تتعاون «إي آند» لتزويد منافذ «كاري أون» بالأنظمة الإلكترونية    وزارة الإسكان السعودي تحدد نقاط أولوية الدعم السكني 2025    تعليق مفاجئ من الجيش اللبناني بعد تسليم فضل شاكر لنفسه    حماس: توسع الاستيطان الإسرائيلي بالضفة فصل عنصري لتهجير الفلسطينيين    «اطلع على كراسات الطلاب وفتح حوارا عن البكالوريا».. وزير التعليم يفتتح منشآت تربوية جديدة في الإسكندرية (صور)    شهيد لقمة العيش.. وفاة شاب من كفر الشيخ إثر حادث سير بالكويت (صورة)    الصين: إجلاء 347 ألف شخص قبل وصول إعصار ماتمو إلى اليابسة    إزالة 50 حالة تعدٍّ واسترداد 760 فدان أملاك دولة ضمن المرحلة الثالثة من الموجة ال27    رئيس جامعة المنيا يهنئ السيسي بذكرى انتصارات أكتوبر المجيدة    تعرضنا للظلم.. رضا شحاتة يهاجم حكم مباراة الأهلي وكهرباء الإسماعيلية    مهرجان الإسكندرية السينمائي الدولي يكرم فناني ومبدعي المدينة (صور)    سر إعلان أسرة عبد الحليم حافظ فرض رسوم على زيارة منزل الراحل    احتفالات الثقافة بنصر أكتوبر.. معرض حرب أكتوبر المجيدة في الذاكرة الوطنية بالهناجر    مبابي ينضم إلى معسكر منتخب فرنسا رغم الإصابة مع ريال مدريد    موعد أول يوم في شهر رمضان 2026... ترقب واسع والرؤية الشرعية هي الفيصل    الدوري الإنجليزي.. تعرف على تشكيل فريق أستون فيلا وبيرنلي    وزير الصحة: تم تدريب 21 ألف كادر طبي على مفاهيم سلامة المرضى    وكيل تعليم الغربية يهنئ المعلمين الفائزين في مسابقة «100 معلم»    حكايات الغريب والطريق إلى إيلات.. أرواح في المدينة تستعيد ذكرى سنوات الصبر والمقاومة قبل نصر أكتوبر المجيد    مرسوم جديد من «الشرع» في سوريا يلغي عطلة حرب 6 أكتوبر من الإجازات الرسمية    مواقيت الصلاة اليوم السبت 4-10-2025 في محافظة الشرقية    3 عقبات تعرقل إقالة يانيك فيريرا المدير الفني للزمالك .. تعرف عليها    الأوقاف تعقد 673 مجلسا فقهيا حول أحكام التعدي اللفظي والبدني والتحرش    استجابة مطمئنة للعلاج .. تعرف على تطور حالة إمام عاشور    سوريا تنتخب أول برلمان بعد بشار الأسد في تصويت غير مباشر    «السبكي» يلتقي رئيس مجلس أمناء مؤسسة «حماة الأرض» لبحث أوجه التعاون    تاجيل طعن إبراهيم سعيد لجلسة 19 أكتوبر    عقد مؤتمر في القاهرة لعرض فرص الاستثمار الزراعي والتعدين بالولاية الشمالية في السودان    عودة إصدار مجلة القصر لكلية طب قصر العيني    في 5 أماكن.. تعرف على أماكن الكشف الطبي لمرشحي مجلس النواب بسوهاج    السيسي يضع إكليل الزهور على قبري ناصر والسادات    اعرف مواقيت الصلاة اليوم الأحد 5-10-2025 في بني سويف    أذكار النوم اليومية: كيف تحمي المسلم وتمنحه السكينة النفسية والجسدية    







شكرا على الإبلاغ!
سيتم حجب هذه الصورة تلقائيا عندما يتم الإبلاغ عنها من طرف عدة أشخاص.



مطاردة "Lazarus": تقفّي أثر عصابة إلكترونية خطيرة لمنع عمليات سطو هائلة تستهدف أرصدة البنوك
مروة رزق نشر في محيط يوم 04 - 04 - 2017

نشرت كاسبرسكي لاب نتائج تحقيقاتها التي استمرت لأكثر من عام حول نشاط "Lazarus" – وهي عصابة إلكترونية خطيرة يزعم أنها المسؤولة عن سرقة 81 مليون دولار من بنك بنغلاديش المركزي في العام 2016.
وأثناء تحليل المختبر الجنائي لبعض الدلائل التي خلفتها العصابة الإلكترونية في بنوك تقع في جنوب شرق آسيا وأوروبا، تمكنت كاسبرسكي لاب من تكوين فهم عميق للأدوات الخبيثة التي تستخدمها العصابة وطريقة تشغيلها أثناء مهاجمة المؤسسات المالية والكازينوهات ومطوري البرامج لشركات الاستثمار والمؤسسات التي تستخدم العملات المشفرة في جميع أنحاء العالم. وقد ساعدت المعلومات المجمّعة في التصدي لعصابتين أخرتين على الأقل كان هدفهما سرقة مبالغ ضخمة من المؤسسات المالية.
في فبراير من العام 2016، حاولت عصابة من القراصنة (مجهولي الهوية في ذلك الوقت) سرقة 851 مليون دولار أمريكي، وتمكنت من تحويل 81 مليون دولار أمريكي من بنك بنغلاديش المركزي. واعتبرت هذه إحدى أكبر عمليات السطو الإلكتروني الأكثر نجاحا على الإطلاق. وكشفت تحقيقات أخرى أجراها باحثون من مختلف شركات أمن تكنولوجيا المعلومات بما فيها كاسبرسكي لاب بأن هناك احتمال كبير بأن تكون الهجمات قد شنت عن طريق "Lazarus"- وهي عصابة سيئة السمعة تشن هجمات تجسس وتخريب إلكترونية والمسؤولة عن سلسلة من الهجمات العادية والمدمرة، وتشتهر بأسلوبها الإجرامي في مهاجمة شركات التصنيع ووسائل الإعلام والمؤسسات المالية في 18 دولة على الأقل حول العالم منذ العام 2009.
وعلى الرغم من أن عصابة "Lazarus" الإلكترونية قد بقيت خاملة لعدة أشهر في أعقاب هجوم بنغلاديش، إلا أنها لاتزال نشطة. بل كانت العصابة تحضر لعملية جديدة تستهدف السطو على الأموال من بنوك أخرى، وفي الوقت الذي استكملت تحضيراتها لشن الهجوم، كانت العصابة قد تمكنت مسبقاً من دسّ برمجيتها الخبيثة في شبكات إحدى المؤسسات المالية في جنوب شرق آسيا. وبعد أن تم كشفها ومنعها من قبل منتجات كاسبرسكي لاب واستناداً إلى نتائج التحقيقات، عادت العصابة إلى تعليق هجماتها لبضعة أشهر أخرى، ثم قررت فيما بعد تغيير سيناريو الهجوم بالانتقال إلى أوروبا. إلا أن جهودها باءت بالفشل حيت تم الكشف عنها ومنعها مجدداً هنا عن طريق برنامج كاسبرسكي لاب الأمني ومنصة الاستجابة السريعة لحالات الاختراق والتحليلات الجنائية والهندسة العكسية لباحثي كاسبرسكي لاب.
صيغة "Lazarus"
استنادا إلى نتائج تحليل المختبر الجنائي لهذه الهجمات، تمكن باحثو كاسبرسكي لاب من فك لغز طريقة عمل هذه العصابة.
عملية الاختراق الأولي: يتم العمل على اختراق نظام فردي داخل أحد البنوك إما باستخدام شيفرة ضعيفة يمكن الوصول إليها عن بعد (أي على خادم الويب) أو من خلال هجوم (Watering Hole) عن طريق استغلال ثغرة أمنية غير مكتشفة مندسّة في إحدى المواقع الإلكترونية النظامية. وما أن تتم زيارة ذلك الموقع الإلكتروني المصاب، سرعان ما تصاب الضحية (موظف البنك) بالبرمجية الخبيثة التي تجلب معها المزيد من المكونات الإضافية.
الانتهاء من تلغيم جهاز الضحية بالبرمجية الخبيثة: تقوم العصابة بعد ذلك بالانتقال إلى بيئات مضيفة لبنوك أخرى وتنشر برنامج التسلل المستمر من الباب الخلفي (Backdoor)، كما تتيح لها هذه البرمجية الخبيثة الدخول والخروج وقتما تشاء.
الاستطلاع الداخلي: بعد ذلك تقضي العصابة أياماً وأسابيع لتعلم آلية عمل الشبكة وتحديد الموارد القيمة. وقد يكون أحد هذه الموارد خادم النسخ الاحتياطي، حيث يتم فيه تخزين معلومات المصادقة، أو خادم البريد، أو وحدة التحكم بكامل النطاق "Domain" المزودة بمفاتيح لكل "منفذ متاح" في الشركة، بالإضافة إلى الخوادم التي تخزن أو تعالج سجلات المعاملات المالية.
نشر البرمجية الخبيثة وسرقة الأموال: وأخيرا، تقوم العصابة بنشر البرمجية الخبيثة القادرة على تخطي وسائل الكشف والمنع المثبتة في نظام الأمن الداخلي للبرامج المالية وإصدار معاملات عشوائية نيابة عن البنك.
نطاق التوزع الجغرافي والإسناد
استمرت الهجمات التي حقق فيها باحثو كاسبرسكي لاب لأسابيع. ومع ذلك، استطاع المهاجمون العمل بعيداً عن أعين الرادار لعدة أشهر. فعلى سبيل المثال، اكتشف الخبراء أثناء تحليل إحدى الحالات الأمنية في جنوب شرق آسيا أن القراصنة تمكنوا من اختراق شبكة البنك منذ ما لا يقل عن سبعة أشهر قبل اليوم الذي طلب فيه فريق الأمن التابع للبنك طلب العون من فريق الاستجابة للحالات الأمنية الطارئة. وفي الواقع، كانت لدى العصابة القدرة على الدخول إلى شبكة ذلك البنك حتى قبل اليوم الذي وقعت فيه حادثة بنغلاديش.
وفقا لسجلات كاسبرسكي لاب، بدأ ظهور عينات البرمجية الخبيثة المتعلقة بنشاط عصابة "Lazarus" في المؤسسات المالية والكازينوهات ومطوري البرمجيات لشركات الاستثمار والمؤسسات التي تستخدم العملات المشفرة في كوريا وبنغلاديش والهند وفيتنام واندونيسيا وكوستاريكا وماليزيا وبولندا والعراق وإثيوبيا وكينيا ونيجيريا وأوروغواي وغابون وتايلند وعدة دول أخرى منذ ديسمبر 2015. كما تم الكشف عن العينات الأحدث المعروفة لكاسبرسكي لاب في مارس 2017، مما يشير إلى أن المهاجمين ليس لديهم نية لوقف أنشطتهم.
وعلى الرغم من أن المهاجمين كانوا حذرين بما فيه الكفاية لإزالة أي أثر يدل على وجودهم، كان هناك خادم واحد على الأقل قامت العصابة باختراقه لاستخدامه في هجوم آخر. وقد احتوى هذا الخادم على خطأ فادح ودليل آخر مهم خلفته العصابة وراءها. وأثناء التحضير للعملية، تم تعريف الخادم كمركز للسيطرة والتحكم في البرمجية الخبيثة. وكان مصدر الاتصال الذي تم إجراؤه في يوم تعريف الخادم يعود إلى عدد من خوادم الشبكات الافتراضية الخاصة، مما يشير إلى وجود فترة اختبار لخادم السيطرة والتحكم. ومع ذلك، كان هناك اتصال واحد قصير في ذلك يعود مصدره إلى مجموعة عناوين "IP" نادرة جدا في كوريا الشمالية.
ووفقا للباحثين، فقد يعني هذا الأمر عدة أمور:
* المهاجمون متصلون من عنوان ال"IP"عينه في كوريا الشمالية
* المهاجموت قد قامو بالتظاهر بالخاطئ لتضليل أعمالهم
* قد زار شخص ما الرابط في كوريا الشمالية عن طريق الخطأ
تستثمر عصابة "Lazarus" الإلكترونية بشكل كبير في أنماط جديدة متنوعة لبرمجياتها الخبيثة. وكانت العصابة تحاول منذ أشهر أن تتوصل إلى ابتكار جملة أدوات خبيثة غير مرئية ويتعذر اكتشافها من قبل منصات الحماية الأمنية، إلا أنه في موازاة قيامهم بذلك، يتمكن خبراء كاسبرسكي لاب من تحديد الخصائص الجديدة التي تمكنهم من معرفة كيفية برمجة رموز الشيفرة التي تضعها العصابة الإلكترونية، مما يتيح لكاسبرسكي لاب مواصلة تتبع كافة الأنماط الهجومية الخبيثة المستجدة. واليوم، يبدي المهاجمون هدوءاً نسبياً، وهو ما يعني على الأرجح، أنهم يستعدون لإعادة هيكلة ترسانتهم الهجومية.
وقال فيتالي كاملوك، رئيس فريق الأبحاث والتحليلات العالمي لدول آسيا المحيط الهادئ في كاسبرسكي لاب، "نحن على ثقة بأن هذه العصابة ستعود مجدداً وفي القريب العاجل. وعموماً، تظهر الهجمات، مثل تلك التي شنتها عصابة "Lazarus" الإلكترونية بأن أي خطأ بسيط في عملية التعريف قد يؤدي إلى حدوث اختراق أمني كبير يكبد الشركة المستهدفة خسائر مالية بمئات الملايين من الدولارات. نأمل في أن يصبح المدراء التنفيذيون في البنوك والكازينوهات وشركات الاستثمار حول العالم على دراية وحذر من اسم عصابة "Lazarus".
تكتشف منتجات كاسبرسكي لاب وتتبع بنجاح البرمجيات الخبيثة المستخدمة من قبل عصابة "Lazarus" الإلكترونية من خلال أسماء الصيغ المكتشفة التالية:
* HEUR:Trojan-Banker.Win32.Alreay
* Trojan-Banker.Win32.Agent
كما ستصدر الشركة قريباً أيضاً مؤشرات الاختراق "IOC" المهمة وبيانات أخرى حيوية بهدف مساعدة الشركات في العثور على أدلة حول هجمات هذه العصابة في شبكاتها. لمزيد من المعلومات، يرجى زيارة الموقع: Securelist.com.
نوصي جميع الشركات بإجراء مسح دقيق لشبكاتها للتأكد من خلوها من برمجية "Lazarus" الخبيثة، و، في حال الكشف عنها، العمل على إزالة الإصابة من أنظمتها والإبلاغ عن الإصابة إلى هيئة انفاذ القانون وفرق الاستجابة السريعة في حالات الطورائ.

انقر هنا لقراءة الخبر من مصدره.