ايتي نيوز (FinSphy Spyware) – في إطار مؤتمر قمة محللي الأمان، يُسلط باحثو كاسبرسكي الضوء على آخر التحديثات المرتبطة ببرنامج التجسس (FinSphy Spyware) الذي يستهدف نظام ويندوز وماك أو إس (Mac OS) ولينكس (Linux) والمثبتات التابعة له.
وترصد نتائج التحقيق الذي دام لمدة تزيد عن 8 أشهر التغيرات في برنامج التجسس الذي يشمل 4 مستويات من التشويش، وتقنيات متقدمة لمكافحة التحليل، فضلا عن استخدامه مجموعة من المواد الأولية من فيروس “UEFI” من أجل إلحاق الضرر بضحاياه المحتملين.
ويعتمد برنامج التجسس على حسب النتائج المستخلصة على تقنيات التشويش، ما يجعل منه واحدا من أصعب أجهزة التجسس التي يُمكن رصدها في الوقت الراهن.
برنامج ” FinFisherest” المعروف أيضا باسمين اثنين هما ” FinSpy” أو ” Wingbird”، هو برنامج تجسس عملت شركة “كاسبرسكي” الرائدة في مجال الحماية من الفيروسات منذ 10 سنوات على تتبعه، وتبين أنه قادر على جمع مختلف المعلومات المتعلقة بالهوية، وقوائم الملفات، والملفات المنجزة، وغير ذلك من أنواع الوثائق، فضلا عن قدرته على جمع المعلومات المتعلقة بالتدفق الحي أو تسجيل البيانات ويمكنه رصد كاميرات الويب والميكروفون أيضا للوصول إلى الصوت.
وإلى غاية سنة 2018، اكتشف فريق “كاسبرسكي” تواجد برمجية التجسس في أجهزة ويندوز وتمت دراسته عدة مرات قبل أن يختفي بشكل كلي من الرادار.
وفي وقت لاحق، اكتشفت شركة “كاسبرسكي” أن المتبثات المشبوهة لتطبيقات مشروعة على غرار TeamViewer و VLC Media Player و WinRAR كانت تضم مواد مشفرة لا يمكن ربطها بأي نوع من أنواع البرمجيات الخبيثة المعروفة.
استمر الوضع إلى ما هو عليه إلى حين اكتشف فيه باحثو كاسبرسكي موقعًا على شبكة الإنترنت باللغة البورمية يحتوي على مثبتات وعينات من FinFisher للأندرويد، ووصل الباحثون إلى خلاصة تفيد أن برنامج التجسس كان يخفي حصانًا ثالثًا من نفس برنامج التجسس.
الاكتشاف الذي وصل إليه الباحثون دفعهم إلى المضي قدما في تحقيقاتهم، وخلافا للإصدارات السابقة التي أصابت حصان طروادة بشكل مباشر في التطبيق المصاب، فإن العينات الجديدة كانت محمية بمكونين: وحدة التحقق المسبق غير الثابتة ووحدة التحقق اللاحقة.
العنصر الأول يعمل على إجراء عدة فحوصات أمنية للتأكد من أن الجهاز المصاب لا علاقة له بأي باحث أمني، وبمجرد اكتمال هذه الفحوص الأمنية يعمل الخادم على توفير عنصر ما بعد التحقق، والتأكد أن الجهاز هو نفسه الذي يستهدفه المخترق. وبناء على ما سبق، يطلب الخادم نشر حصان طروادة بشكل كلي.
ويعمل برنامج التجسس FinFisher وفق 4 مستويات من التشويش، كل واحدة مصممة خصيصا على حسب الطلب، فالوظيفة الأولى تتمثل مهمتها في إبطاء عملية تحليل التجسس،، في حين يعمل حصان طروادة وفق وسائل محددة على جمع المعلومات معتمدا في ذلك على أدوات مثل المتصفحات لاعتراض حركة المرور المحمية بواسطة بروتوكول نقص النص التشعبي الآمن HTTPS.
نموذج حول خصائص المهام المجدولة
وفي نفس الوقت، اكتشف الباحثون أيضا عينة من برنامج التجسس FinFisher بدلا من شاحن التشغيل Windows EEFI، وهو عنصر يتولى مهمة حجز نظام التشغيل مع مكون آخر خبيث بعد إطلاق البرمجية الخبيثة.
هذه الطريقة تسمح للمهاجمين بتثبيت نظام bootkit دون الحاجة إلى تجاوز الضوابط الأمنية الخاصة بالبرنامج الدائم، كما يُعد من النادر جدا الإصابة بعدوى فيروس (UEFI)، ومن الصعب عموما الاضطلاع فيه، لقدرته الكبيرة على الهروب والإصرار على الاستمرارية.
وفي هذا الصدد، قال إيغور كوزنيتسوف، الباحث الأمني ضمن فريق البحث والتحليل العالمي في كاسبرسكي:”لا نخفيكم أن الجهود المبذولة من لدن مطوري برنامج التجسس FinFisher الرامية إلى جعله غير متاح للباحثين الأمنيين مثيرة للقلق والإعجاب أيضا. من خلال التتبع يظهر لنا أنهم يضعون نفس القدر من الطاقة في تدابير التشويش ومكافحة التحليل كما هو الحال في حصان طرواده نفسه. وبناء على ذلك، فإن قدرة البرنامج على الإفلات من الكشف والتحليل تجعل من الصعب تحقيق عملية ناجحة في مرحلتين التتبع والرصد. والواقع أن تعميم البرنامج بدقة فائقة واستحالة تحليله تقريباً يعني أن ضحاياه ضعفاء وأنه يُشكل تحدياً كبيراً للباحثين في مجال الأمن الحاسوبي، لكونه يحتاج إلى تخصيص قدر كبير من الموارد لفك التشابك بين كل عينة. أظن جازما أن التهديدات المعقدة مثل FinFisher تبرهن على أهمية التعاون والتبادل المعمق والكبير بين الباحثين. كما يسلط الضوء على الحاجة إلى الاستثمار في أنواع جديدة من الحلول الأمنية التي يمكن أن تتصدى وتقف في وجه مثل هذه التهديدات “.
من أجل الإطلاع على التقرير الكامل حول FinFisher يُرجى الضغط على الرابط أسفله:
https://securelist.com/finspy-unseen-findings/104322/
وتقدم شركة “كاسبرسكي” العالمية العديد من التوصيات من أجل حماية المستخدمين من التهديدات الالكترونية مثل FinFisher:
• تنزيل التطبيقات والبرامج من المواقع الموثوق بها.
• تحديث النظام التشغيلي وجميع البرامج بانتظام، وبفضل ذلك يتم حل العديد من مسائل السلامة من خلال تحديث البرمجيات.
• اتخاذ الحيطة والحذر من الملحقات، ومن الضروري التفكير جيدا قبل فتح الرابط أو الملف، والإجابة عن الكثير من الأسئلة مثل: هل أعرف الشخص جيدا؟ هل هو مصدر موثوق؟ هل تم تحرير البريد الإلكتروني بطريقة جيدة؟
- تفادي تثبيت البرمجيات من مصادر غير معروفة، لكنها تحتوي في مرات كثيرة على ملفات خبيثة.
• استخدام حل أمني مثبت على جميع الحواسيب والأجهزة النقالة ، مثل نظام كاسبرسكي لأمن الإنترنت لأجهزة أندرويد أو كاسبرسكي للأمن الكلي.
ومن أجل ضمان حماية الشركات، توصي كاسبرسكي بالخطوات التالية:
- إعداد استراتيجية أمنية لاستخدام البرمجيات خارج محيط الشركة.
- إبلاغ الموظفين بالمخاطر المرتبطة بتنزيل الطلبات غير المأذون بها من مصادر غير موثوق بها.
• تقديم تكوين للموظفين في مجال الأمن الحاسوبي، على اعتبار أن العديد من الهجمات المستهدفة تستخدم ناقلات مثل التصيد الاحتيالي أو غيرها من تقنيات الهندسة الاجتماعية. - تثبيت anti-APT و EDR من شأنهم اكتشاف التهديدات والتحقيق في الحوادث وإصلاحها بسرعة.
- تزويد فريق مركز العمليات الأمنية بإمكانية الوصول إلى أحدث المعلومات المتعلقة بالتهديدات وتقديم تكوينات بشكل دائم. جميع هذه الإجراءات متاحة في framework Kaspersky Expert Security.
- إلى جانب توفير الحماية الكافية في نقاط النهاية، يمكن للخدمات المكرسة أن تساعد على التصدي للهجمات. وتساعد دائرة كاسبرسكي للكشف والتحكم على تحديد الهجمات والتحكم فيها في مرحلة مبكرة، قبل أن يتاح للقراصنة الوقت لتحقيق أهدافهم الخبيثة.
نبذة حول “كاسبيرسكي“
تأسست شركة “كاسبرسكي” العالمية للأمن السيبراني عام 1997. الشركة معروفة بخبرتها الكبيرة في مجال أمن التهديدات وأمن تكنولوجيا المعلوميات، وتعمل دائما على إنشاء حلول وخدمات أمنية لحماية الشركات والبنيات التحتية الحيوية، والسلطات العامة والأفراد في جميع أنحاء العالم.
تضمن مجموعة الحلول الأمنية الواسعة لـ “كاسبرسكي” حماية شاملة ونهائية للهواتف وإضافة إلى حلول وخدمات أمنية مخصصة لمكافحة التهديدات الرقمية المتطورة باستمرار.
كما تساعد تقنيات “كاسبيرسكي” أكثر من 400 مليون مستخدم و240.000 زبون على حماية الأشياء الأكثر أهمية بالنسبة لهم.
للحصول على معلومات أكثر، يمكنكم زيارة موقعنا عبر النقر على الرابط أسفله: