الخميس، فبراير 26، 2015

برنامج خبيث ينتقل عبر منتديات الأخبار

 حذرت شركة متخصصة في مجال أمن تقنية المعلومات المستخدمين في الشرق الأوسط وتركيا من برنامج خبيث ينتقل عن طريق منتديات الأخبار أو التواصل الاجتماعي الموجهة سياسياً، وخاصة المرتبطة بالأحداث في سورية.
وأوضحت شركة (كاسبرسكي لاب) في تصريح صحافي ان المهاجمين الذين يعتمدون أساسا على "الهندسة الاجتماعية" يستغلون ثقة المستخدمين في هذه المنتديات وفضولهم لمعرفة آخر الأخبار المتعلقة بالصراع في سورية، إضافة إلى غياب الوعي حول مفهوم أمن الإنترنت.
ونبهت الشركة إلى أنه بمجرد تمكن مجرمي الإنترنت من إصابة جهاز الكمبيوتر بهذا البرنامج الخبيث، يتمكنون من الدخول إلى أجهزة الضحية والسيطرة على جميع الملفات المخزنة فيها.
ولفتت الانتباه إلى أن من أكثر الدول المستهدفة من قبل هذا البرنامج الخبيث المملكة إلى جانب كل من سورية وتركيا ولبنان، مقدرة عدد الضحايا بنحو ألفي ضحية.
وأوضحت الشركة أن خبراءها يحذرون الآن من ملفات خبيثة وجدت على مواقع الناشطين ومنتديات التواصل الاجتماعي، مشيرة إلى أنه تم الإبلاغ عن بعضها من قبل مؤسسات إقليمية مثل (CyberArabs).
وأفادت بأن جميع تلك الملفات تكون مخبأة خلف أداة الإدارة عن بعد (RAT)، والتي تمتلك القدرة الكاملة على التحكم بأجهزة وأدوات الضحية ومراقبة أي أنشطة.
وذكرت أن مطوري البرنامج الخبيث يلجأون إلى استخدام تقنيات متعددة لدس ملفاتهم وإغواء الضحايا لتشغيلها.
هذا وسلط خبراء كاسبرسكي لاب الضوء على أمثلة الهندسة الاجتماعية المستخدمة من قبل مجرمي الإنترنت، وذلك بعد تحليلهم المئات من العينات المتعلقة بهذا البرنامج الخبيث، ومن تلك الأمثلة طريقة (Clean your Skype!)، والتي يتم من خلالها تثبيت البرنامج الخبيث عندما يعد المستخدمين بأنه سيقدم لهم وسيلة تنظيف من أجل "حماية وتشفير اتصالاتهم عبر (Skype)، وطريقة (Let us fix your SSL vulnerability) لحماية وإصلاح نقاط الضعف الكامنة في (SSL).
كما سلطوا الضوء على طريقة (Did you update to the latest VPN version? )، والتي يتم من خلالها ذكر اسم (Psiphon)، وهو تطبيق نظامي يستخدم في جميع أنحاء العالم لحماية سرية البيانات، لكنه فعلياً يدس برنامجاً خبيثاً)، وطريقة "دعنا نتحقق من وجود رقم هاتفك بين الأرقام التي تخضع للمراقبة"، وكذلك "تطبيق تشفير حساب الفيسبوك".
ونبهوا أيضاً إلى طريقة السؤال عن "ما هو برنامج الحماية المفضل لديك؟، والذي يتم من خلاله استخدام اسم "كاسبرسكي لاب" من قبل مجرمي الإنترنت في محاولة لإغواء الضحية لفتح الملفات التي يقوم المجرمون بتسليمها، ويقوم بعد ذلك مجرمو الإنترنت بتسليم أداة (TDSSKiller) المجانية والفعالة من "كاسبرسكي" لتتبع وإزالة أدوات الجذر (Rootkits)، من طريق قنواتهم المثبتة في برنامجهم الخبيث.
وأوضحت الشركة أن أدوات الجذر (Rootkits) تعتبر برامج تعمل على إخفاء البرامج الخبيثة في النظام؛ ونظراً لأن أداة الإدارة عن بعد RAT ليست "rootkit"، فلا يتم التعرف عليها بواسطة هذه الأداة).
وحذرت الشركة من أن موقع (thejoe.publicvm.com) يرتبط بالكثير من هذه النماذج، وربما يعتبر من أكثر المواقع الخبيثة النشطة حديثاً، وقد أوقع عدداً كبيراً من الضحايا الذين يقدر عددهم بالآلاف، سواء المستهدفين منهم أو غير المستهدفين.
كما حذرت من أنه إلى جانب الأمثلة التي وردت سابقاً، يستخدم (Joe) قناة Youtube وهمية في الأماكن التي يدس فيها أفلام فيديو الهندسة الاجتماعية الجديدة، ويوزع ملفات البرنامج الخبيث تحت اسم "أسود الثورة - Lions of the revolution".
وتوقع خبراء "كاسبرسكي لاب" استمرار هذه الهجمات وتطورها من حيث الجودة والكمية. وتعتمد البرمجيات الخبيثة السورية بقوة على الهندسة الاجتماعية والتطوير الفاعل لبدائل البرنامج الخبيث. ومع ذلك، فإن معظم الملفات تكشف وبشكل سريع عن طبيعة تلك البرمجيات الحقيقية عندما يتم فحصها بعناية. يتعين على المستخدمين في المنطقة توخي المزيد من الحذر حول نوع الملفات التي يقومون بتحميلها، وينبغي عليهم الحصول على حلول الحماية الشاملة على الإنترنت.

تهديدات نقاط الاتصال ومعالجتها من خلال الجمع بين خاصية التسجيل المتواصل لنشاطات نقاط الاتصال والاستجابة الحيّة للتهديدات

تعتبر الشبكة من أهم العناصر الإلكترونية في هذه الأيام، وفي حالة تعطلها سيتضرر العمل بالكامل لأنها هي التي تربط أجهزة المنظمة ببعضها، وأيضاً تربط المنظمة بالعالم الخارجي، لذا من المهم أن يتم الكشف مبكراً عن تهديدات نقاط الاتصال ومعالجتها من خلال الجمع بين خاصية التسجيل المتواصل لنشاطات نقاط الاتصال والاستجابة الحيّة للتهديدات.
لذا من المهم أن يتم تزويد أنظمة الشبكات بمجموعة من المزايا والتقنيات الحديثة التي تعزّز جاهزية وإستعداد المؤسّسات لمواجهة الخروقات الأمنية من خلال التسجيل المتواصل لنشاطات نقاط الاتصال والاستجابة السريعة لأي حدث أمني عن طريق عزل التهديدات الناتجة عن نقاط الإتصال على الفور والقضاء على الهجمات ومعالجة الخلل في نقاط الاتصال.
وإذا كان هذا كله يرتبط عبر منصة للاتصال عن بعد بأي نقطة اتصال في المؤسّسة سيساعد كثيراً على الكشف عن التهديدات الإلكترونية والقضاء عليها ومعالجتها بوتيرة سريعة وفي فترة زمنية قصيرة، ومن الأنمثلة التي تعمل بهذه الطرقة نظام "كاربون بلاك 5.0".
وتنحصر مميزات هذه الحلول في أربعة عناصر مبتكرة هي أولاً الاستجابة الحيّة حيث من خلال هذه الخاصية يمكن للمحللين والخبراء في مراكز عمليات الحماية (SOC) الآن الكشف المبكر عن السبب الرئيسي لأي هجمة وبالتالي العمل الفوري على الحد من انتشارها والقضاء عليها ومعالجة الآلات المتضرّرة واستخدام أدوات الاستجابة للحوادث الأمنية من طرف ثالث، وذلك كلّه عبر منصة واحدة فقط، وأيضاً عزل نقاط الاتّصال بنقرة واحدة وهذا يتيح إمكانية الإيقاف الفوري للاختراقات النشطة من خلال عزل نقطة اتصال واحدة أو أكثر من الشبكة مع الحفاظ على حركة اتّصال النظام بالخادم، وتكمل أهمية ذلك في احتواء تهديدات نقاط الاتصال فور اكتشافها إلى الحد من الأضرار أو فقدان البيانات، بالإضافة إلى مساعدة فرق إدارة الأزمات المالية على البحث والتحقّق بصورة أكثر دقة وتفصيلاً من نقاط الاتصال المعزولة وفي نفس الوقت إزالة المخاطر الناتجة عن البرمجيات الخبيثة والحد من انتشارها ومنع اختراق البيانات.
وإضافة إلى ذلك يمكن التحقّق من أي نقطة اتّصال لمعرفة وضعها الحالي ويتم ذلك عبر الاتصال عن بعد للتعرّف على جميع العمليات الجارية ومعرفة كيفية تخزين الملفات والإطلاع على نشاط الشبكة وإعدادات التسجيل، بالإضافة إلى استرجاع الملفات والأدوات وتسليمها إلى المضيف عن بعد، وأيضاً إجراء التعديلات على نقاط الاتّصال لمعالجة الهجمات بما في ذلك إزالة البرمجيات الخبيثة وتنظيف إعدادات التسجيل والتخلّص من الملفات الضارّة والتأكّد من نجاح عملية المعالجة.
وثانياً استخدام لوحات عرض بيانات مؤشّرات الأداء الرئيسية للاطلاع الفوري على نقاط الاتصال حيث تسمح لوحات عرض البيانات الجديدة للمستخدمين الحصول الفوري على المعلومات حول نقطة الاتصال ومؤشرات الأداء الخاصة بالاستجابة للأحداث الأمنية في جميع أقسام المؤسّسة، بما يتيح للمؤسّسات معرفة الوضع الحالي لخدمات الكشف عن نقاط الاتّصال ومعالجتها.
وثاثاً الاستقصاء والكشف والإنذار عن التهديدات حيث تعمل هذه الأنظمة ومن بينها نظام "كاربون بلاك 5.0" على تحسين آليات الكشف عن التهديدات في المؤسّسات بإستخدام أحدث المزايا والتطوّرات المضافة إلى السحابات الإلكترونية مثل "سحابة بت9 + كاربون بلاك لاستقصاء التهديدات" والتي تشمل مجموعة واسعة من أحدث المعلومات المتعلّقة بالتهديدات، وتتيح المعلومات الجديدة عن التهديدات مراقبة ودراسة مختلف الجوانب والنشاطات الجارية في النظام، بما في ذلك الكشف عن الملفات النشطة في "سلّة المحذوفات" وكذلك عن الأسماء أو الملحقات المشبوهة وعمليات تثبيت برامج الاختراق وبرامج الفدية والتعديلات على ملف المضيف والهجمات المشبوهة وغيرها من التهديدات المحتملة.
ورابعاً استخدام أنظمة الإنذار والتتبّع حيث يواجه العديد من المؤسّسات مشكلة إجهاد أنظمة الإنذار وعدم معرفة عمّا تبحث بالضبط في حال تشغيل الإنذار. وتعمل أنظمة الكثف عن التهديدات في الشبكة على تمكين الفرق الأمنية من تحويل أجهزة الإنذار المزعجة إلى آليات فعّالة للكشف عن التهديد حيث يمكن للمستخدمين تصنيف وضبط مستوى خطورة التنبيهات وتتبّع عملية المعالجة عبر منصةٍ واحدةٍ فقط. كما ويتيح النظام إدارة عمليات الكشف بصورةٍ أكثر فعالية ودقّة لضمان اكتشاف التهديدات والتحقّق منها بسرعة.
 شكّل نظام "كاربون بلاك 5.0" نقلةً نوعيةً تقلب المقاييس في عالم إدارة أمن المعلومات. ففي وقت يستغرق المستخدمون ساعات وأيام وأسابيع في جمع البيانات اللازمة للتمكّن من الإستجابة للتهديدات، يعمل نظام "كاربون بلاك 5.0" الأوّل من نوعه في السوق العالمية على تعزيز الجاهزية.تزخر السوق العالمية بالعديد من مزوّدي خدمات حماية نقاط الاتصال الذين يقدّمون مجموعةً واسعةً من الحلول المتخصّصة في الكشف عن التهديدات وتحليلها واحتوائها والقضاء عليها؛ غير أن جميع هذه الحلول لا تجمع بين القدرة على التسجيل المتواصل لنشاطات نقاط الإتصال وإستكشاف التهديدات الخبيثة والقضاء عليها بإستخدام أحدث آليات الاستجابة والمعالجة." وعند الحديث عن العملية الأمنية للحدّ من التهديدات والكشف عنها ومعالجتها، تعد خدمات الاستجابة الحيّة للتهديدات وعزل المضيف بنقرة واحدة عمليةً مهمةً جداً لتمكين المؤسّسات من التعامل بشكل استباقي مع التهديدات المتنامية بسرعة.