Kazuar والمنفذ الخلفي لـ SolarWinds خبراء يعثرون على الروابط المشتركة بين هجوم

36
اكتشفت شركات FireEye وMicrosoft وSolarWinds، بتاريخ 13 دجنبر الماضي هجوماً متطوراً استهدف شبكاتهم الحاسوبية، واستهدف سلسلة التوريد.
الهجوم الجديد اعتمد على برمجيات جديدة تُسمى «Sunburst» يجريي استخدامها من أجل استهداف زبناء الأجهزة الحاسوبية من Orion التابعة لشركة البرمجيات SolarWinds.
خبراء شركة « كاسبرسكي » الرائدة عالميا في مكافحة الفيروسات، كشفوا عن أوجه تشابه مختلفة في التعليمات البرمجية المحددة بين Sunburst والإصدارات المعروفة من Kazuar (المنفذ الخلفي) – وهو نوع من البرمجيات الخبيثة التي يمكنها الوصول عن بُعد إلى جهاز الضحية والتحكم فيه. 
هذه المعلومات الجديدة التي تم الوصول إليها من شأنها أن تميط اللثام عن معلومات إضافية للباحثين الذين لا يزالون يحققون في الهجوم.
واكتشف خبراء كاسبرسكي خلال دراسة الباب الخلفي من برمجية « Sunburst »  العديد من النقاط المشتركة هجوم مماثل جرى تحديده في وقت سابق، ويتعلق الأمر بالباب الخلفي المعتمد في « Kazuar » الذي جرى تطويره اعتمادا على نفس التركيبة.
 وجرى سنة 2017 لأول مرة الإبلاغ عن « NET » من لدن « بالو آلتو »، وعلى امتداد هذه السنوات ومنذ ذلك الوقت تم استخدامه في العديد من حملات التجسس الإلكتروني في مختلف أنحاء العالم.
 ونظرا إلى أوجه التشابه الكثيرة في شفرة، هناك احتمالية وجود ارتباط بين Kazuar وSunburst، على الرغم من أن طبيعة هذا الأخير لا تزال غير محددة بشكل كلي.
وتشمل أوجه التشابه بين Sunburst وKazuar خوارزمية توليد معرّف المستخدم الخاص بالضحية (UID) وخوارزمية الاستعداد والاستخدام المكثف لتجزئة FNV-1a التي تُعد ميزة بسيطة تجعل من الممكن حجب قابلية رصد أوجه المقاربة بين السلاسل.
 وحسب ما خلص إليه الخبراء المتخصصون، هذه الأجزاء الرمزية ليست متطابقة بنسبة 100%، وهو ما يشير إلى Kazuar وSunburst مرتبطان، حتى ولو لم تكن الروابط المذكورة واضحة حتى الآن.
ومباشرة بعد الاستخدام الأول للبرمجية الضارةSunburst  في فبراير 2020، استمر Kazuar في التطور، وأضحت إصداراته شبيهة مع العينات الخاصة بـSunburst. والتي جرى تحليلها.
ولاحظ الخبراء في المُجمل خصائص محددة في  Kazuar مع أوجه التشابه مع عينات Sunburst.
تتمثل النقاط الشائعة من أجل شرح أوجه التشابه في:
  • برمجيات Kazuar وSunburstet لهما نفس الأصل المشترك الذي جرى تطويره من لدن نفس المجموعة
  • مطوري Sunburst يستلهمون طريقة عملهم من Kazuar
  • فكرة انضمام أحد مطوري Kazuar إلى فريق سانSunburst
  • حصول Sunburst وKazuar على البرمجيات الخبيثة من المصدر ذاته.
وفي هذا الصدد، قال كوستين رايو، مدير فريق البحث والتحليل العالمي لدى شركة كاسبركي : »الروابط التي تم التعرف عليها لا تكشف عن الجهة التي تقف وراء هجوم SolarWinds ، ولكنها في المقابل تقدم المزيد من المعلومات لمساعدة الباحثين على المضي قدماً في الحصول على معلومات أوفى أثناء التحقيق. نعتقد أنه من المهم جدا أن يقوم خبراء آخرون بالتحقيق في أوجه التشابه القائمة، والعمل على محاولة معرفة المزيد عن البرمجيات الخبيثة Kazuar وأصل Sunburst ، المستخدمة في هجوم SolarWinds ».
وأضاف المتحدث ذاته : »من خلال الإطلاع على التجارب المتشابهة التي وقعت سابقا، مثل هجوم « واناكراي »، فخلال بداية التحقيق كان بين أيدينا بيانات قليلة  للربط بينها وبين مجموعة Lazarus. لكن، ومع مرور الوقت، وجدنا أدلة جديدة سمحت لنا بتحديد أصل الهجوم، على وجه اليقين. ومن ثم، فمن الأهمية بمكان مواصلة البحث عن هذا الهجوم للوصول إلى المعطيات اللازمة ».
يمكن الإطلاع على التقرير المتوفر على موقع « Securelist » « للحصول على معلومات أوفى حول التفاصيل التقنية المرتبطة بأوجه التشابه بين Sunburst وKazuar التي جرى تحليلها بواسطة فرق كاسبرسكي.
ومن أجل الحصول على معلومات أكثر حول كيفية حماية « كاسبرسكي » لزبنائها من Sunburst، اضغطوا هنا.
وبغية تفادي مخاطر بالإصابة بالبرمجيات مثل « المنفذ الخلفي »في هجون SolarWinds، توصي كاسبرسكي بتتبع الخطوات التالية:
  • امنح فريق SOC حق الوصول إلى أحدث المعلومات حول تهديدات الكمبيوتر، ذلك أن بوابة معلومات التهديدات من كاسبرسكي تتيح إمكانية الوصول إلى آلاف البيانات حول الهجمات الإلكترونية والمعلومات التي جمعتها كاسبركسي على امتداد أزيد من عشرين سنة لكل فرق تكنولوجيا المعلومات في الشركة. ويمكن في هذا الصدد الاستفادة مجانا من بعض ميزات المدخل التي تسمح للمستخدمين بالتحقق من الملفات وعناوين الانترنت وعناوين بروتوكول الانترنت.
  • يمكن للشركات الراغبة في إجراء تحقيقاتها الخاصة أن تستخدم محرك إسناد التهديدات من كاسبرسكي، الذي يعمل على المقارنة بين الرموز الخبيثة التي تم اكتشافها وقواعد بيانات البرامج الضارة، ويقوم، استنادًا إلى أوجه التشابه بين الرموز، بتعيينها إلى حملات APT التي تم الكشف عنها بالفعل.
محمد خليل
Facebook Comments

vous pourriez aussi aimer Plus d'articles de l'auteur

Les commentaires sont fermés.