اكتشاف برمجية (النحلة الطنانة) الخبيثة للتسلل والتنقل بين الأنظمة المخترقة
اكتشفت «بالو ألتو نتوركس» أداتين جديدتين للتسلل الخلفي تدعيان “تراي فايف” TriFive و”سناجي” Snugy، إضافة إلى أداة خبيثة جديدة لتمرير الأوامر عبر الويب تدعى النحلة الطنانة (BumbleBee)، وقد أطلقت هذه التسمية على الأداة نظرا لاعتماد تصميم واجهتها على ألوان الأبيض والأسود والأصفر.
وقد عمدت الجهة التي تقف وراء البرمجيات الخبيثة الجديدة إلى استخدام أداة توجيه الأوامر “النحلة الطنانة” لتحميل وتنزيل ملفات من وإلى خادم البريد الإلكتروني المخترق، والأهم كان استغلالها لتنفيذ أوامر مكنت الجهة المعادية من اكتشاف المزيد من الأنظمة والتنقل بين خادم وآخر على الشبكة الخاصة بالمؤسسة الكويتية. حيث وجدت بالو ألتو نتوركس أنه تم زرع أداة “النحلة الطنانة” كذلك الأمر على خادم الإنترنت في الشبكة المخترقة ذاتها المرتبطة بخادم البريد الإلكتروني المذكور، إضافة إلى خادمي إنترنت داخليين في مؤسستين أخريين في الكويت. ولم تتمكن بالو ألتو نتوركس بعد من تحديد القطاع الذي تم استهدافه في اختراق خادم البريد الإلكتروني.
كما قامت بالو ألتو نتوركس برصد الجهة المعادية ذاتها أثناء تفاعلها المباشر مع أداة “النحلة الطنانة” على خادم البريد الإلكتروني المخترق في المؤسسة الكويتية، إذ تبين أن الوصول إلى الخادم متاح من شبكة الإنترنت. وقد استخدمت الجهة المعادية خدمات الشبكات الافتراضية الخاصة (VPN) التي توفرها شركة “برايفت إنترنت أكسس” Private Internet Access عند محاولة ولوج أداة “النحلة الطنانة” من خوادم يمكن الوصول إليها عبر الإنترنت. وقد تعمدت الجهة المعادية تكرار الدخول انطلاقا من نقاط مختلفة بهدف تغيير عنوان بروتكول الإنترنت الخارجي IP الذي يجري تدوينه عادة في سجلات الخوادم. حيث قامت الجهة المعادية على وجه التحديد بتغيير عنوان بروتكول الإنترنت لتبدو أنها من دول عديدة مختلفة شملت بلجيكا وألمانيا وأيرلندا وإيطاليا ولكسمبورج وهولندا وبولندا والبرتغال والسويد والمملكة المتحدة. وتعتقد بالو ألتو نتوركس أن ذلك محاولة لتجنب الرصد وجعل تعقب وتحليل الأنشطة الخبيثة أكثر صعوبة على المعنيين بالأمن. كما وقفنا على حقيقة قيام الجهة المعادية بتبديل أنظمة التشغيل والمتصفحات المستخدمة في الدخول، والتي كانت تحديدا متصفحات موزيلا فايرفوكس أو جوجل كروم على أنظمة ويندوز 10 وويندوز 8.1 أو أنظمة لينوكس. وهذا يشير إلى أن الجهة المعادية لديها إمكانية الوصول إلى أنظمة متعددة تستخدمها لجعل التحليلات الأمنية اللاحقة أكثر صعوبة، أو ذلك ربما يشي بوجود عدة جهات معادية لديها تفضيلات متنوعة بين الأنظمة والمتصفحات.
الجدير بالذكر أن عملاء جدار الحماية من الجيل الجديد لدى «بالو ألتو نتوركس» يتمتعون بالوقاية من الهجمات المرتبطة بحملة “إكس هانت” عبر الاشتراكات بمنصات مكافحة التهديدات وفلترة عناوين الإنترنت وأمن أنظمة أسماء النطاقات.