Muddy Water التخريبية تستهدف حكومات عربية

اكتشف باحثون لدى كاسبرسكي لاب يراقبون نشاط عصابة الإنترنت التخريبية Muddy Water، المختصة بالتهديدات الإلكترونية المتقدمة والتي شوهدت تعمل أول مرة في العراق و السعودية خلال العام الماضي في عملية مكثفة تنفذها العصابة على جهات حكومية وخاصة في الأردن وتركيا وأذربيجان وباكستان وأفغانستان، فيما توزّع هذه العصابة في هجماتها المستمرة برمجيات تخريبية عبر حملة شخصية للتصيد الموجّه تستخدم فيها مستندات مكتبية وتطلب من المستخدمين تمكين وحدات الماكرو المضمنة فيها عند فتحها.

وقال أمين حاسبيني، الباحث الأمني الأول في فريق البحث والتحليل العالمي التابع لشركة كاسبرسكي لاب، إن مجموعة Muddy Water شوهدت تنفذ عدداً كبيراً من الهجمات خلال العام الماضي، مشيراً إلى انتهاجها “تطوّراً مستمراً في الأساليب وتقنيات، كما أنهم نشطين ويحرصون على تحسين مجموعة أدواتهم من أجل تقليل تعرّض الحلول الأمنية لها، ما يُرجّح انتشاراً مكثفاً لهذا النوع من الهجمات على المدى القصير.

وتُعتبر Muddy Water مصدر تهديد جديد نسبياً ظهر لأول مرّة في عام 2017 بحملة تركز على أهداف حكومية، واكتشف باحثو  كاسبرسكي لاب موجة مستمرة من رسائل التصيد الموجّه عبر البريد الإلكتروني تستهدف مجموعة أوسع من البلدان التي اعتادت هذه العصابة الخطرة استهدافها، وبلغت الحملة ذروتها في مايو ويونيو الماضيين، ولكنها ما زالت مستمرة.

وتشير محتويات رسائل التصيد الموجه إلى أن الأهداف الرئيسة المقصودة هي جهات حكومية وعسكرية، وشركات اتصالات ومؤسسات تعليمية. وتحمل رسائل البريد الإلكتروني ملف MS Office 97-2003 مرفقاً، ويتم تنشيط الإصابة بمجرد تمكين المستخدم وحدات الماكرو التي يتضمنها الملف.

وتُنشئ البرمجية الخبيثة، بمجرد تنشيط الإصابة، اتصالاً بخادم القيادة الذي تتبعه عن طريق اختيار عنوان ويب URL عشوائي من قائمة مدمجة. وبعد المسح بحثاً عن أية برمجيات أمنية، تقوم البرامج الضارة بإنزال عدد من النصوص البرمجية في جهاز الحاسوب الضحية، فيما تُنشئ الحمولة النهائية المتمثلة بشيفرة PowerShell وظائف “باب خلفي” أساسية مع إمكانيات تخريبية تتمثل بالقدرة على حذف الملفات.

ويمكّن استخدام ملفات “مايكروسوفت” هذه البرمجية الخبيثة من تجاوز أي من قوائم الحظر، نظراً للسلامة الظاهرية لتلك الملفات. وإضافة إلى ذلك، تعمل شيفرة PowerShell على تعطيل مزايا “التحذير من وحدات الماكرو” و”المشاهدة المحمية” لضمان عدم حصول أي تفاعل من المستخدم في أية هجمات مستقبلية. وتشتمل البنية الأساسية للبرمجيات الخبيثة على مجموعة من المضيفين الذين تعرضوا للاختراق.

ولا يُعرف على وجه التحديد ممن تتألف عصابة Muddy Water، التي يعني اسمها “المياه المُوحِلة”، بالرغم من أن هجماتها ذات دوافع جغرافية واضحة، باستهدافها أفراداً ومنظمات حساسة، وتحمل الشيفرة المستخدمة في الهجمات الحالية عدداً من المزايا التي تبدو مصممة لإلهاء المحققين وتضليلهم، كإدخال اللغة الصينية في الشيفرة واستخدام أسماء مثل Leo وPooPak وVendetta وTurk في البرمجية الخبيثة.

وتوصي كاسبرسكي لاب الجهات الحكومية والشركات بأخذ الإجراءات التالية في الاعتبار للحدّ من خطر الوقوع ضحايا لعمليات من هذا القبيل، كتنفيذ نهج شامل للكشف عن الهجمات الموجهة والوقاية منها والتحقيق فيها، بما يشمل استخدام حلول أمنية متقدمة مضادة للهجمات الموجهة، وتدريباً للمعنيين، وتزويد موظفي الأمن بالقدرة على الوصول الفوري إلى أحدث المعلومات المتعلقة بالتهديدات، والكفيلة بتسليحهم بالأدوات المفيدة للوقاية من الهجمات الموجهة واكتشافها، مثل المؤشرات على حدث اختراق أمني وقواعد YARA، والتأكد من تأسيس إجراءات مؤسسية لإدارة الإصلاحات البرمجية، والتحقق من جميع إعدادات النظام وضمان تطبيق أفضل الممارسات، وتعريف الموظفين بكيفية تمييز رسائل البريد الإلكتروني المريبة وكيفية التصرّف بشأنها.