ببققف56ؤءؤ55drr5tie00001

كاسبرسكي لاب تحدد بنية تحتية لجماعة Crouching Yeti التخريبية

كشفت كاسبرسكي لاب عن بنية تحتية تستخدمها جماعة تخريبية ناطقة بالروسية تُدعى Crouching Yeti، معروفة بالتهديدات المستمرة المتقدمة. وتشتمل البنية التحتية المكتشفة لهذه الجماعة التخريبية التي تُعرف كذلك بالاسم Energetic Bear، على خوادم مخترقة في جميع أنحاء العالم. وأظهرت أبحاث كاسبرسكي لاب أن هذه الجماعة استطاعت أن تضرب العديد من الخوادم في بلدان مختلفة منذ العام 2016، وهو ما مثل في بعض الأحيان وسيلة للوصول إلى موارد أخرى، فيما استخدمت خوادم أخرى، بينها ما يستضيف مواقع روسية، كمنافذ للوصول إلى الشركات وفق الأسلوب المعروف باسم “بِرك الشرب” Watering Holes.

وتعتبر Crouching Yeti جماعة متطورة ناطقة بالروسية تنشط في التهديدات المستمرة المتقدمة، وتقوم كاسبرسكي لاب بتتبع نشاطها منذ العام 2010. ومن المعروف أنها تستهدف القطاعات الصناعية في جميع أنحاء العالم، مع التركيز بشكل أساسي على مرافق الطاقة بهدف سرقة البيانات ذات القيمة الكبيرة من الأنظمة التي تقع ضحية لها. وتتّبع هذه الجماعة أساليب متنوعة من بينها هجمات ما يُعرف بـ “بِرك الشُّرب”، حيث يقوم المهاجمون بإدخال رابط إلى مواقع ويب تُستخدم بكثرة بين موظفي الشركة ليُعيد توجيه الزائرين إلى خادم خبيث.

واكتشفت كاسبرسكي لاب في الآونة الأخيرة عدداً من الخوادم التي تم اختراقها من قبل الجماعة التخريبية، والتي تنتمي إلى شركات عدّة في روسيا والولايات المتحدة وتركيا ودول أوروبية، ولا تقتصر على الشركات الصناعية. ووفقاً للباحثين في الشركة، فقد تم استهداف هذه الخوادم في العامين 2016 و2017 لأغراض مختلفة. ولهذا كانت تُستخدم في بعض الحالات كوسيط لتنفيذ هجمات على موارد أخرى.

واستطاع الباحثون، خلال عملية تحليل أجروها على الخوادم المصابة، تحديد العديد من المواقع والخوادم التي تستخدمها الشركات في روسيا والولايات المتحدة وأوروبا وآسيا وأمريكا اللاتينية، والتي قام المهاجمون بفحصها بأدوات مختلفة، للعثور ربما على خادم يمكن استخدامه كموطئ قدم لاستضافة أدوات المهاجمين ومن ثم شنّ الهجمات انطلاقاً منه. وقد تكون بعض المواقع المفحوصة قد أثارت اهتمام المهاجمين بوصفها مُرشحة لتصبح “برك شرب” للإيقاع بالضحايا. ووجد الباحثون في كاسبرسكي لاب أن مجموعة المواقع والخوادم التي استحوذت على اهتمام المهاجمين كانت واسعة النطاق، وأنهم قد فحصوا كثيراً من المواقع الإلكترونية من مختلف الأنواع، كالمتاجر والخدمات الإلكترونية، والمؤسسات العامة، والمنظمات غير الحكومية، وشركات التصنيع، وغيرها.

كذلك وجد الخبراء أن الجماعة استخدمت أدوات خبيثة متاحة للجمهور ومصممة لتحليل الخوادم وفحصها، وللبحث عن المعلومات وجمعها. كما تمّ، علاوة على ذلك، اكتشاف ملف معدّل من نوع sshd مع منفَذ خلفي سبق تثبيته على الجهاز. وتم استخدام هذا الملف لاستبدال الملف الأصلي به، والذي يمكن تشغيله باستخدام “كلمة مرور رئيسية”.

وفي هذا السياق أكّد ڤلاديمير داشنكو، رئيس مجموعة الأبحاث المتعلقة بالثغرات في فريق الاستجابة لحالات الطوارئ الإلكترونية في نظم الرقابة الصناعية لدى كاسبرسكي لاب، أن الجماعة الناطقة بالروسية Crouching Yeti تتسم بسمعة سيئة لافتاً إلى أنها تنشط منذ عدة سنوات ولا تزال تستهدف بنجاح الشركات الصناعية من خلال هجمات “بِرك الشرب” وأساليب أخرى، وقال: “تُظهر النتائج التي توصلنا إليها أن الجماعة اخترقت أجهزة خادمة لا من أجل إنشاء “برك شرب” للإيقاع بضحاياها فقط، ولكن أيضاً لإجراء مزيد من الفحوصات، كما نشطت في استخدام أدوات مفتوحة المصدر جعلت تحديدها بعد ذلك أمراً صعباً”، وأضاف: “تسخِّر الجماعة أنشطتها، مثل الجمع الأولي للبيانات وسرقة بيانات التحقق من الهوية وفحص الموارد، من أجل شنّ مزيد من الهجمات، ويشير تنوع الخوادم المصابة والموارد المفحوصة إلى أن الجماعة قد تكون عملت لصالح أطراف أخرى”.

وتوصي شركة كاسبرسكي لاب بأن تقوم الشركات بتطبيق نظام شامل للحماية من التهديدات المتقدمة، يتضمن حلولاً أمنية مخصصة للكشف عن الهجمات الموجّهة والتعامل مع الحوادث، بالإضافة إلى اللجوء للخدمات المقدمة من الخبراء والمعلومات المتعلقة بالتهديدات. وتستطيع منصة كاسبرسكي لاب المضادة للهجمات الموجهة، والتي تشكّل جزءاً من الحلّ Kaspersky Threat Management and Defence، أن تكتشف الهجوم في المراحل المبكرة من خلال تحليل نشاط شبكي مشبوه، في حين يتيح حلّ Kaspersky EDR تحسين مستوى الرؤية وإمكانيات التحقيق وأتمتة التعامل مع الحوادث في النقاط الطرفية للأنظمة. ويتم تعزيز ذلك من خلال المعلومات العالمية المتعلقة بالتهديدات، وخبرات كاسبرسكي لاب المتخصصة في مجال اصطياد التهديدات والتعامل مع الحوادث.

يمكن الاطلاع على مزيد من التفاصيل حول أنشطة جماعة Crouching Yeti في موقع الويب التابع لفريق الاستجابة لحالات الطوارئ الإلكترونية في نظم الرقابة الصناعية لدى كاسبرسكي لاب.



لا توجد تعليقات

اضف تعليقك