اكتشف باحثون في كاسبرسكي لاب منظومة متطورة للتجسس الإلكتروني تنشط على الأرجح منذ ما قبل العام 2013، دون أن تُبدي صلاتٍ واضحة بأي من الجهات التخريبية المعروفة والناشطة في مشهد التهديدات الأمنية العالمي. وتشتمل المنظومة المكتشفة، التي أطلق عليه الباحثون اسم TajMahal، على حوالي 80 وحدة خبيثة وتتضمن وظائف لم يسبق مشاهدتها في التهديدات المستمرة المتقدمة، مثل القدرة على سرقة المعلومات من قوائم انتظار تنفيذ الطباعة في الطابعات، والحصول على الملفات التي سبق مشاهدتها على أداة تخزين محمولة بمجرّد أن يُعاد توصيلها في الجهاز عبر منفذ USB. ولم تكتشف كاسبرسكي لاب حتى الآن سوى ضحية واحدة لهذه المنظومة، هي كيان دبلوماسي تابع لإحدى دول آسيا الوسطى، لكن من المحتمل وفقاً للشركة أن تكون جهات أخرى قد تأثرت.
وعثر الباحثون على منظومة TajMahal للتجسس في أواخر العام 2018، وهي عبارة عن أحد نماذج التهديدات المستمرة المتقدمة المتطورة تقنياً والمصممة لتنفيذ عمليات تجسس إلكتروني شاملة. وأظهر تحليل البرمجيات الخبيثة الذي أجراه الباحثون على هذه المنظومة أن النظام الأساسي قد تمّ تطويره واستخدامه على الأقل خلال السنوات الخمس الماضية، بعدما وُجد أن أقدم عينة من البرمجيات الخبيثة في هذه المنظومة تعود إلى إبريل من العام 2013، في حين أن آخرها وجدت مؤرّخة في أغسطس الماضي. وقد جاء اسم TajMahal الذي أطلقه الباحثون على منظومة التجسّس الفريدة هذه من اسم الملف المستخدم للتسلل إلى البيانات المسروقة.
ويعتقد الباحثون أن إطار المنظومة يشتمل على باقتين رئيستين تحملان الاسمين Tokyo وYokohama؛ الباقة Tokyo هي الصغرى وتمثل المرحلة الأولى وتشتمل على حوالي ثلاث وحدات بجانب وظيفة المنفذ الخلفي الرئيس، وتتصل بانتظام مع خوادم القيادة والسيطرة. وتستفيد باقة Tokyo من اللغة البرمجية PowerShell وتبقى في الشبكة حتى بعد انتقال الاقتحام إلى مرحلته الثانية؛ الباقة Yokohama.
وتشكّل المرحلة الثانية (Yokohama) بُنية تجسس مجهزة تجهيزاً كاملاً، وتشتمل على نظام ملفات افتراضي VFS مزوّد بجميع البرمجيات الإضافية وبمكتبات ملفات خارجية وملفات مفتوحة المصدر لإعداد التهيئات المطلوبة. وثمّة في هذه الباقة ما يقرب من 80 وحدة في المجموع تشمل أدوات التحميل والتنسيق وأدوات الاتصال بخوادم القيادة والسيطرة ومسجلات الصوت ومسجلات لوحات المفاتيح وأدوات مراقبة محتوى الشاشات وكاميرا الويب، علاوة على أدوات سرقة المستندات ومفاتيح التشفير.
ويمكن لمنظومة TajMahal أيضاً الحصول على ملفات تعريف الارتباط المحفوظة في المتصفحات، وجمع قائمة النسخ الاحتياطي في أجهزة Apple المحمولة، وسرقة البيانات من قرص مضغوط كانت نسخت عليه من الجهاز الضحية، فضلاً عن سرقة المستندات الموجودة في قائمة انتظار الطباعة في الطابعات. ويمكن للمنظومة كذلك “طلب” سرقة ملف معين تمت مشاهدته سابقاً على أداة تخرين محمولة، ليُسرق بمجرّد أن يتم توصيل هذه الأداة بالجهاز الضحية عبر منفذ USB مرة أخرى.
وكانت الأنظمة المستهدفة التي عثر عليها كاسبرسكي لاب مصابة بكل من Tokyo وYokohama. ويشير هذا إلى أن Tokyo قد استخدمت للإصابة في المرحلة الأولى، وفيها نفّذت حزمة Yokohama العاملة بكامل طاقتها على الضحايا، ثم تركتها لأغراض النسخ الاحتياطي.
ولم يتمّ حتى الآن ملاحظة سوى ضحية واحدة؛ سفارة تابعة لإحدى دول آسيا الوسطى، أصيبت حوالي العام 2014. إلاّ أن ناقلات التوزيع والإصابة بمنظومة TajMahal غير معروفة حالياً.
وقال أليكسي شولمين محلل برمجيات خبيثة رئيس لدى كاسبرسكي لاب، إن منظومة TajMahal تشكّل اكتشافاً “مثيراً للاهتمام”، مؤكداً أنها “متطورة للغاية” من الناحية التقنية وتتميز بوظائف “لم يسبق رؤيتها من قبل” لدى الجهات التهديد التخريبية المتقدمة، لكنه أشار إلى وجود أسئلة بلا إجابات حول هذه المنظومة، مُستبعِداً أن تكون الجهات التخريبية الكامنة وراءها قد “استثمرت الكثير من الموارد من أجل الهجوم على ضحية واحدة فقط”، وأضاف: “يشير هذا الأمر إلى احتمال وجود ضحايا آخرين لم يتم تحديدهم بعد، أو إصدارات إضافية لا تزال سائبة من هذه البرمجيات الخبيثة، أو ربما كلا الأمرين معاً”.
وأشار شولمين من جهة أخرى، إلى بقاء ناقلات التوزيع والإصابة بهذا التهديد “مجهولة إلى الآن”، بعد أن ظلّت بطريقة ما متخفّية لأكثر من خمس سنوات، وانتهى إلى القول: “يثير هذا التخفّي أسئلة حول أسبابه، فهل كان سببه الخمول النسبي أو أنه يعود لسبب آخر، كما لا توجد أدلة على جهة ما يمكن إسناد هذه المنظومة إليها، وليست هناك أية روابط تصلها بأي من مجموعات التهديد المعروفة”.
يُذكر أن جميع منتجات كاسبرسكي لاب قادرة على اكتشاف هذا التهديد وإيقافه بنجاح. ويوصي باحثو الشركة بتنفيذ التدابير التالية لتجنب الوقوع ضحية لهجوم موجّه من جهات تخريبية معروفة أو مجهولة:
• استخدام أدوات أمنية متقدمة مثل Kaspersky Anti Targeted Attack Platform (KATA) والتأكد من قدرة فرق الأمن الإلكتروني المؤسسي على الوصول إلى أحدث معلومات التهديدات الإلكترونية.
• التأكد من التحديث المنتظم لجميع البرمجيات المستخدمة في المؤسسة، لا سيما عند إصدار الشركات المنتجة لهذه البرمجيات تصحيحات برمجية لثغرات أمنية. وقد تساعد منتجات الأمن المزودة بقدرات تقييم الثغرات الأمنية وإدارة التصحيحات البرمجية في أتمتة هذا الجناب.
• اختيار حل أمني مثبت مثل Kaspersky Endpoint Security مجهز بقدرات اكتشاف تستند على السلوك، لتقديم حماية فعالة من التهديدات المعروفة والمجهولة، مثل عمليات الاستغلال.
• التأكد من أن الموظفين يفهمون مبادئ السلامة الأساسية للأمن الإلكتروني، إذ إن العديد من الهجمات الموجّهة تبدأ من محاولات التصيّد وغيره من أساليب الهندسة الاجتماعية.