كشف تقرير حديث عن استخدام شركة “كانديرو” الإسرائيلية للبرمجيات الخبيثة المتطورة، المعروفة باسم “DevilsTongue”، لاستهداف شخصيات رفيعة المستوى في دول متعددة، مما يشكل تهديداً متزايداً لمستخدمي أنظمة ويندوز.
تستخدم الشركة بنية تحتية خبيثة مصممة لنشر برمجيات التجسس على نطاق واسع، وقد تم تحديد ثماني مجموعات عملياتية مختلفة عبر المجر، والمملكة العربية السعودية، وإندونيسيا، وأذربيجان. هذه البرمجيات الخبيثة تمزج بين تقنيات التخفي المتقدمة وقدرات المراقبة الشاملة.
تزايد التهديدات السيبرانية مع برمجيات DevilsTongue
برزت برمجيات DevilsTongue كأداة مقلقة في سوق برمجيات التجسس التجارية، مستفيدة من تقنيات الاستغلال المتقدمة وآليات الثبات المتطورة. تعتمد البرمجية على نواقل إصابة متعددة، وتستغل ثغرات zero-day في متصفحات الويب والمستندات المفخخة لاختراق الأنظمة المستهدفة.
ما يميز هذه البرمجية هو قدرتها على العمل سراً بعد تثبيتها، حيث تقوم بسرقة المعلومات الحساسة مع بقائها غير قابلة للاكتشاف تقريباً بواسطة أدوات الأمان القياسية. هذا يجعلها سلاحاً قوياً في يد الجهات التي تسعى للتجسس على أهداف ذات قيمة.
آلياتعمل متطورة وهيكل تسعير مفترس
قام محللو الأمن في Recorded Future بتحديد بنية تحتية جديدة مرتبطة بمجموعات عمليات Candiru، وكشفوا عن اختلافات كبيرة في كيفية إدارة المجموعات المختلفة لأنظمة ضحاياها. تعمل بعض المجموعات مباشرة، بينما تقوم مجموعات أخرى بتوجيه الأوامر عبر طبقات وسيطة أو شبكة Tor، مما يزيد من تعقيد الجهود الدفاعية.
يسلط هذا الاكتشاف الضوء على استمرار Candiru في تكييف إجراءاتها الأمنية، حتى بعد تعرضها لعقوبات دولية من وزارة التجارة الأمريكية في نوفمبر 2021. نموذج الترخيص الخاص بـ DevilsTongue يؤكد الطبيعة التجارية لهذا التهديد. وفقاً لتسريبات لمقترحات المشاريع، تفرض Candiru رسوماً بناءً على عدد الأجهزة المصابة في نفس الوقت، مما يسمح للعملاء بمراقبة أجهزة متعددة بشكل متزامن.
يبدأ العقد الأساسي بسعر 16 مليون يورو، ويسمح بمحاولات إصابة غير محدودة مع مراقبة عشرة أجهزة متزامنة. بينما تتيح الرسوم الإضافية زيادة السعة والتغطية الجغرافية عبر بلدان مختلفة. هذا الهيكل التسعيري يستقطب العملاء الحكوميين ذوي الميزانيات الكبيرة الذين يبحثون عن قدرات مراقبة مستمرة.
الآليات التقنية للثبات والتخفي
تستخدم برمجيات DevilsTongue تقنيات متطورة للحفاظ على ثباتها وتجنب الكشف عن أنظمة ويندوز المصابة. تستغل البرمجية تقنية COM hijacking عن طريق الكتابة فوق مفاتيح تسجيل COM الموثوقة، وتوجيهها نحو مكتبة DLL من المرحلة الأولى تقع في C:Windowssystem32IME.
هذا الأسلوب يخفي البرمجية بذكاء ضمن مجلدات النظام الشرعية. يسمح برنامج تشغيل طرف ثالث موقّع، يسمى physmem.sys، بالوصول إلى الذاكرة على مستوى النواة، مما يتيح للبرمجية وكيل استدعاءات API وتجنب آليات الكشف. خلال عملية الاختطاف، تقوم DevilsTongue باستعادة مكتبة COM الأصلية من خلال التلاعب بالـ shellcode لقيمة إرجاع LoadLibraryExW، مما يحافظ على استقرار النظام لمنع إطلاق تنبيهات أمنية.
تبقى جميع الحمولات الإضافية مشفرة وتُنفذ حصرياً في الذاكرة، مما يمنع الاسترداد الجنائي. يسمح هذا التصميم للبرمجية باستخراج بيانات الاعتماد من LSASS، والمتصفحات، وتطبيقات المراسلة مثل Signal Messenger، قبل إخفاء آثارها من خلال مسح البيانات الوصفية والتجزئة الفريدة للملفات.