كشفت دراسة أمنية حديثة عن شبكة تجسس قادرة على اختراق ملايين المستخدمين عبر متصفحات الويب الشهيرة، مثل كروم وإيدج وفايرفوكس. تُعرف هذه الحملة باسم “DarkSpectre”، ويُعتقد أنها تقف وراء إصابة أكثر من 8.8 مليون مستخدم ببرمجيات خبيثة على مدار سبع سنوات، مما يسلط الضوء على التحديات الأمنية المتزايدة في الفضاء الرقمي.
وبحسب الباحثين، فإن هذه المجموعة، التي يُرجح أنها صينية، أظهرت مستوى عالٍ من التنظيم والقدرة على شن هجمات متزامنة ومتعددة الأهداف. تتراوح هذه الأهداف بين الاحتيال على المستهلكين والتجسس على الشركات، مما يدل على استراتيجية واسعة النطاق.
عمليات DarkSpectre: حملات متعددة تحت مظلة واحدة
تمتد عمليات “DarkSpectre” عبر ثلاث حملات رئيسية وثقت خلالها الجهات البحثية إصابة أعداد كبيرة من المستخدمين. الحملة الأولى، “ShadyPanda”، استهدفت حوالي 5.6 مليون مستخدم. تلتها حملة “Zoom Stealer” الجديدة نسبيًا، والتي نجحت في إصابة 2.2 مليون مستخدم. أما حملة “GhostPoster”، فقد أثرت على 1.05 مليون مستخدم. اللافت للنظر أن هذه الحملات ليست منفصلة، بل هي في الواقع جهود متكاملة لمنظمة إجرامية واحدة ذات موارد كبيرة وتخطيط استراتيجي متقدم.
من الأساليب المثيرة للقلق التي تتبعها “DarkSpectre” هو الصبر والتخطيط طويل الأمد. حيث تحافظ المجموعة على امتدادات متصفح تبدو شرعية لفترات طويلة، قد تصل إلى خمس سنوات أو أكثر، قبل تفعيل حمولتها الخبيثة.
ربط الحملات ببعضها
بدأ الربط بين هذه الحملات المتشعبة عندما اكتشف محللو “Koi” بنية تحتية مرتبطة بحملة “ShadyPanda”. وجدوا أن المجموعة كانت تستخدم نطاقين شرعيين، infinitynewtab.com و infinitytab.com، لتشغيل ميزات حقيقية في الامتدادات مثل خدمات الطقس وصفحات التبويب الجديدة.
لكن المفاجأة كانت أن هذه النطاقات نفسها كانت تتصل ببنى تحتية مختلفة تمامًا للقيادة والتحكم، ومخصصة للأعمال الخبيثة. هذه التقنية المزدوجة، التي تجمع بين الوظائف الشرعية والتعليمات البرمجية الخبيثة المخفية، كانت الخيط الذي ربط جميع العمليات الثلاث معًا.
تتبع الباحثون هذا المسار المعقد، حيث قادهم نطاق واحد إلى امتدادات، وكشفت هذه الامتدادات عن نطاقات جديدة، والتي بدورها اتصلت بامتلدادات إضافية يديرها ناشرون لديهم أدوات خبيثة أخرى. توسعت العملية لتشمل أكثر من 100 امتداد مترابط عبر أسواق المتصفحات المختلفة.
مع استمرار التحقيق، لاحظ الباحثون أن بعض الامتدادات المكتشفة حديثًا كانت تتواصل مع نطاقات تم رصدها سابقًا في تحقيقات أخرى. وهذا ما أكد لهم أن “ShadyPanda” و”GhostPoster” و”Zoom Stealer” تمثل جميعها لاعبًا واحدًا يعمل على نطاق واسع.
تكتيكات خداع الانتباه واستغلال الوقت
أحد الجوانب الأكثر إثارة للقلق في منهجية “DarkSpectre” يتمثل في تقنيات المثابرة المتطورة والتهرب من الكشف. تستخدم المجموعة ما يصفه الباحثون بـ “امتدادات القنبلة الموقوتة” – وهي أدوات خبيثة تبقى خاملة لفترات طويلة قبل تفعيل حمولتها.
على سبيل المثال، امتداد باسم “New Tab – Customized Dashboard” يتبع هذا النهج. ينتظر الامتداد ثلاثة أيام بعد تثبيته قبل الاتصال بخوادم القيادة والتحكم لتحميل وشفرته الخبيثة الفعلية.
خلال عملية المراجعة التي تجريها متاجر الامتدادات لتقييم سلامتها، يبدو هذا الامتداد شرعيًا تمامًا. لا يتمكن مراجعو المتصفح من اكتشاف السلوك الخبيث لأنه ببساطة لا ينشط أثناء الاختبار. يبدأ الامتداد أنشطته الضارة فقط بعد اجتياز جميع فحوصات الأمان والوصول إلى متصفح المستخدم الحقيقي.
ولزيادة التهرب من الاكتشاف، لا يتم تفعيل البرمجية الخبيثة هذه إلا في حوالي عشرة بالمائة من تحميلات الصفحات، مما يجعل اكتشافها صعبًا للغاية أثناء الاختبارات الروتينية أو التحليلات.
عملية توصيل الحمولة نفسها تظهر تقنيات تمويه متقدمة. تقوم “DarkSpectre” بإخفاء الأكواد البرمجية الخبيثة كملفات صور PNG، وهي تقنية تُعرف بالتشفير الخفي (steganography). يقوم الامتداد بتحميل شعاره الخاص، ثم يستخرج شفرة JavaScript المخفية المضمنة داخل ملف الصورة، وينفذها بصمت في الخلفية.
تُحاط شفرة JavaScript بطبقات متعددة من الحماية، بما في ذلك التشفير المخصص، وتشفير XOR، والأكواد المعبأة المصممة خصيصًا للتغلب على أدوات الكشف الآلية. بمجرد تفعيلها، يقوم الامتداد بتنزيل حوالي سبعة وستين كيلوبايت من شفرة JavaScript إضافية مشفرة من خوادم المشغلين، مما يمنح الجهات الفاعلة الخبيثة سيطرة كاملة على ما يتم تنفيذه في متصفح المستخدم دون الحاجة لتحديث الامتداد، والذي قد يؤدي مرة أخرى إلى إجراءات المراجعة.
هذا النهج القائم على التكوين يمثل الابتكار الحقيقي في عملية “DarkSpectre”. فبدلاً من دفع تحديثات لتغيير الوظائف – والتي من شأنها تنبيه المراجعين والمستخدمين – يقوم المشغلون ببساطة بتعديل ما تعيده خوادمهم عندما تتصل الامتدادات. لذلك، لا يمكن للمدافعين مكافحة التهديد عن طريق حظر تحديث خبيث واحد، لأن الجهة الفاعلة تغير الحمولة على خوادم الواجهة الخلفية الخاصة بها بشكل ديناميكي، محافظة بذلك على مرونة تشغيلية كاملة.