كشفت أبحاث جديدة أن برامج التجسس “بريديتور” (PredatorSpyware) تمتلك قدرات متطورة للكشف عن محاولات القرصنة، بما في ذلك التعرف على سبب فشل العدوى، مما يثير قلق الخبراء الأمنيين. هذه التطورات تشير إلى استراتيجيات أكثر تعقيداً من جانب مشغلي البرنامج.
نجحت مختبرات “جامف” (Jamf Threat Labs) في تحليل عينة من “بريديتور” واكتشفت نظام رموز خطأ يمكن أن ينبه المشغلين إلى سبب عدم نجاح عملية زرع البرنامج الخبيث. تحديداً، يشير “رمز الخطأ 304” إلى أن الجهاز المستهدف كان يشغل أدوات أمنية أو تحليلية، مما يسمح لمشغلي البرنامج بتجنب الجهود المستقبلية.
بريديتور: تقنيات متقدمة لكشف أدوات التحليل الأمني
يعمل نظام رموز الخطأ هذا على تحويل عمليات النشر الفاشلة من مجرد “صندوق أسود” إلى أحداث تشخيصية. عندما يقوم مشغل “بريديتور” بنشر البرنامج على هدف معين، ويتلقى “رمز الخطأ 304″، فإنه يعرف حينها أن الهدف يقوم بتشغيل أدوات أمنية، وليس أن الاستغلال فشل أو أن الجهاز غير متوافق. هذا يوفر معلومات قيمة لتحديد سبب الفشل.
هذه القدرة لها تداعيات مباشرة على الأفراد المستهدفين. فإذا كانت أدوات التحليل الأمني، مثل “فريدا” (Frida)، قيد التشغيل، فإن “بريديتور” سيتوقف عن عملية النشر ويبلغ المشغلين برمز الخطأ 304، مما يمكنهم من تتبع سبب فشل عملية الزرع. هذا يشكل تحدياً إضافياً للمدافعين عن الأمن السيبراني.
من جهة أخرى، فإن القدرة على اكتشاف أدوات أمنية محددة تكشف المزيد عن كيفية عمل “بريديتور”. وجود أداة مثل “نت ستات” (netstat) في قائمة الكشف ملحوظ، حيث يشير إلى أن “بريديتور” يهتم بالمستخدمين الذين قد يراقبون اتصالات الشبكة الخاصة بهم، وليس فقط الباحثين الذين يستخدمون أدوات متخصصة. حتى المستخدم العادي المهتم بالخصوصية والذي يتحقق من اتصالات شبكته سيؤدي إلى اكتشاف البرنامج.
وبالإضافة إلى ذلك، تمكن “بريديتور” من قمع سجلات الأعطال التي يمكن أن تساعد في اكتشاف محاولات العدوى. هذا يعني أن البرنامج لديه آليات فعالة لإخفاء آثاره وجعل اكتشافه أكثر صعوبة. مختبرات “جامف” خلصت إلى أن هذه الخصائص ترفع مستوى التخفي والأمان لدى البرنامج.
القدرات المضادة لإجراءات الكشف
تأتي هذه النتائج بعد وقت قصير من الكشف عن قدرات أخرى تميز “بريديتور”، الذي تصنعه شركة “إنتيليكسا” (Intellexa)، عن المنافسين. هذه هي المرة الثانية خلال شهرين التي تكشف فيها الأبحاث عن تطورات في هذا البرنامج.
تشير نتائج التحليل التي أجرتها “جامف” إلى أن “بريديتور” يسعى بشكل فعال لتجنب اكتشافه من قبل كل من باحثي برامج التجسس والمنتجات الأمنية. وبشكل عام، تشير هذه القدرات إلى أن البرنامج يمتلك إمكانيات مضادة لإجراءات الكشف (anti-analysis capabilities) أكثر تطوراً مما كان موثقاً في السابق. هذا يزيد من صعوبة مواجهة التهديدات التي يمثلها.