“المقلاع” أداة تجسسية استهدفت الأفراد طوال 6 سنوات

جدة: كشف باحثون كاسبرسكي لاب عن تهديد متطور استُخدم للتجسس الإلكتروني في منطقة الشرق الأوسط وإفريقيا منذ العام 2012 على أقل تقدير وحتى شهر فبراير الماضي تحمل اسم “سلينجشوت” Slingshot (المقلاع)، وتصيب الضحايا من خلال بعض أجهزة التوجيه الشبكية الرديئة، ويمكن أن تعمل في النمط الجوهري Kernel Mode، ما يمنحها سيطرة كاملة على الأجهزة الضحية.

ويُعد كثير من الأساليب المستخدمة من قبل هذه البرمجية فريدة من نوعها، في الجمع الخفي للمعلومات، والقدرة على إخفاء حركتها ضمن حزم البيانات الملحوظة التي يمكنها اعتراضها دون العثور على أي أثر للاتصالات اليومية التي تُجريها.

بعد الإصابة، تقوم “سلينجشوت” بتحميل عدد من الوحدات على الجهاز الضحية، بما في ذلك وحدتان ضخمتان وقويتان هما Cahnadr وGollumApp، وتأتيان متصلتين ومتعاونتين في مداومة العمل على جمع المعلومات وتسريب البيانات.

ويبدو أن الهدف الرئيسي لبرمجية “سلينجشوت” هو التجسس الإلكتروني. إذ يُشير التحليل إلى أنها تجمع لقطات الشاشة وبيانات من لوحة المفاتيح وبيانات شبكية وكلمات مرور ووصلات USB وأنشطة أخرى على سطح المكتب وبيانات الحافظة الإلكترونية وغيرها، فوصول البرمجية الخبيثة إلى جوهر النظام يعني أن بإمكانها سرقة كل ما تريد.

وتعمل برمجية “سلينجشوت” كخادم خلفي سلبي؛ إذ لا تحتوي على عنوان ضمني لمركز القيادة والسيطرة ولكنها تحصل عليه من المشغل عبر اعتراض جميع حزم البيانات الشبكية في الوضع الجوهري والتحقق من الوضع لمعرفة ما إذا كان هناك اثنان من الثوابت السحرية المضمنة في مقدمة القطعة البرمجية، بعد ذلك، تُنشئ “سلينجشوت” قناة اتصال مشفرة تصلها بمركز القيادة والسيطرة وتبدأ في نقل البيانات من أجل تسريبها.

ويتضمن التهديد المتقدم والمستمر عدداً من الأساليب لمساعدة البرمجية الخبيثة في تجنب الكشف عنها؛ وتشمل تلك تشفير جميع السلاسل الكامنة في وحداته، واستدعاء خدمات النظام مباشرة من أجل تجاوز المنتجات الأمنية، واستخدام عدد من أساليب مكافحة تصحيح الأخطاء البرمجية Anti-debugging، وتحديد العملية التي تريد الدخول فيها اعتماداً على عمليات الحلول الأمنية المثبتة على الجهاز والمشغلة، وأكثر من ذلك.

ووضع الباحثون علامة Version 6.x (الإصدار 6.x) على العينات الخبيثة التي تم التحقيق فيها، ما يشير إلى أن التهديد قائم منذ مدة طويلة، ومن المحتمل أن تكون المهارات والتكلفة المرتبطة بإنشاء مجموعة أدوات “سلينجشوت” المعقدة عالية، فضلاً عن تطلب تطويرها وقتاً طويلاً، وفي ذلك دلالات تُرجّح أن المجموعة الكامنة وراء هذه البرمجية مجموعة عالية التنظيم والاحترافية، وربما تحظى برعاية حكومية، فيما تشير الدلائل النصية في الشفرة البرمجية إلى أن لغة هذه المجموعة هي الإنجليزية.

وشاهد الباحثون، حتى الآن، حوالي 100 ضحية لبرمجية “سلينجشوت” والوحدات المرتبطة بها، تقع في كينيا واليمن وأفغانستان وليبيا والكونغو والأردن وتركيا والعراق والسودان والصومال وتنزانيا، ويبدو أن معظم الضحايا المستهدفين أفراد لا مؤسسات، لكن بعضهم من الشركات والمؤسسات الحكومية.

أليكسي شولمين، المحلل الرئيسي للبرمجيات الخبيثة في كاسبرسكي لاب، ذكر بأن “سلينجشوت” عبارة عن “تهديد متطور” يلجأ إلى استخدام مجموعة واسعة من الأدوات والأساليب، بما في ذلك وحدات النمط الجوهري التي ظهرت حتى الآن فقط في الهجمات الأكثر تقدماً، وتُعد هذه الوظيفية ثمينة ومربحة للمهاجمين، ما يُفسر سبب وجودها لمدة ست سنوات على الأقل”.

ضحايا “سلينجشوت”  
كينيا
اليمن
أفغانستان
ليبيا
الكونغو
الأردن
تركيا
العراق
السودان
الصومال
تنزانيا

الضحايا المستهدفين  
100 ضحية لبرمجية “سلينجشوت”
معظم الضحايا أفراد لا مؤسسات
بعض الضحايا ينتمون للشركات والمؤسسات الحكومية.

فريق الموقع
نتفرّد بنقل الأفضل!