هجوم إلكتروني جديد: برمجية “دانتي” التجارية للتجسس تخلف “هاكنج تيم”

كشفت شركة “كاسبرسكي” لأبحاث الأمن السيبراني عن حملة برمجيات خبيثة جديدة، ربطتها بسلالة شركة التجسس الإيطالية الشهيرة “Hacking Team”، والتي أعيد تسميتها مؤخراً. اكتشف الباحثون أيضاً برمجية تجسس تجارية جديدة مرتبطة بنفس الشركة.

تمت تسمية الحملة التي اكتشفها باحثو “كاسبرسكي” بـ “عملية ForumTroll”، واستهدفت منظمات حكومية، ووسائل إعلام، ومؤسسات مالية، وجامعات، ومراكز بحثية في روسيا، بهدف التجسس. وصنفت الحملة كتهديد مستمر ومتقدم (APT)، وهو وصف يُطلق عادة على الجهات الحكومية.

حملة “عملية ForumTroll” وبرمجيات التجسس الجديدة

كانت شركة “Hacking Team”، التي اشتهرت في مجال تقنيات المراقبة، نشطة منذ بداية الألفية وحتى عام 2019، لتُستحوذ عليها لاحقاً وتُعاد تسميتها لتصبح “Memento Labs”. وأوضحت “كاسبرسكي” في تقرير حديث أن موجة من الإصابات بالبرمجيات الخبيثة تم رصدها في شهر مارس الماضي، وتم تتبعها وصولاً إلى عام 2022 وارتباطها بشركة “Memento Labs”.

خلال تحليلهم لهذه البرمجيات الخبيثة، اكتشف الباحثون منتج تجسس تجاري جديد من تطوير “Memento Labs” يُعرف باسم “Dante”. وقد تم اكتشاف هذا المنتج خلال دراسة البرمجيات الخبيثة الحديثة.

آلية عمل الحملة

وفقاً لـ “كاسبرسكي”، كانت الإصابات بالبرمجيات الخبيثة تحدث عندما ينقر الضحايا على روابط تصيد احتيالي شخصية عبر البريد الإلكتروني. تم تصميم الرسائل لتبدو وكأنها دعوات رسمية لحضور منتدى “Primakov Readings” العلمي والخبراء، وهو قمة دولية تتناول السياسة والاقتصاد العالميين.

لم تكن هناك حاجة لاتخاذ أي إجراء إضافي لبدء عملية الإصابة؛ فمجرد زيارة الموقع الخبيث باستخدام متصفح Google Chrome أو أي متصفح آخر يعتمد على Chromium كان كافياً. ولتجنب الكشف، كانت الروابط الخبيثة مصممة بشكل شخصي وذات عمر افتراضي قصير جداً.

استغلال ثغرات أمنية

استغلت الحملة ثغرة “صفر يوم” (Zero-Day) في متصفح Google Chrome، وهي ثغرة غير معروفة سابقاً ولم يتم إصلاحها بعد. وقد قامت شركة جوجل بإصلاح هذه الثغرة بعد أن تم إبلاغها بها، بحسب “كاسبرسكي”.

تُظهر هذه الحادثة مدى تطور وتزايد استخدام البرمجيات الخبيثة، حتى من قبل جهات يُفترض أنها تتجه نحو تقديم حلول قانونية. ورغم اكتشاف هذه الحملة، إلا أن التطور قد يكون بمثابة دفعة لـ “Memento Labs”، خاصة بعد تقارير سابقة عن معاناتها المالية عقب تغيير علامتها التجارية.

صلة “عملية ForumTroll” ببرمجية Dante

أشارت “كاسبرسكي” إلى وجود بعض التداخل بين حملة “عملية ForumTroll” وبرمجية التجسس “Dante”، رغم عدم التطابق التام. وبينما لم يتم رصد استخدام مجموعة “ForumTroll” لبرمجية “Dante” خلال الحملة نفسها، إلا أن استخدامها شوهد في هجمات أخرى مرتبطة بنفس المجموعة.

أبرزت “كاسبرسكي” وجود تشابهات طفيفة بين الهجومين، مثل مسارات نظام الملفات المتشابهة، وآلية الثبات ذاتها، وإخفاء البيانات في ملفات الخطوط، وبعض التفاصيل الصغيرة الأخرى. الأهم من ذلك، تم العثور على أجزاء متشابهة من الكود في كل من الاستغلال (exploit)، والمُحمّل (loader)، وبرمجية “Dante” نفسها.