أعلنت شركة “إسيت” ESET المتخصصة في أمن تكنولوجيا المعلومات عن أحدث أبحاثها والذي قام الباحثون من خلاله بتحليل حملات متعددة، نُسبت لاحقًا إلى مجموعة Gelsemium للتجسس السيبراني، وتم تعقب أحدث نسخة من البرامج الضارة الرئيسية Gelsevirine منذ عام 2014 حتى منتصف العام الماضي وأثناء التحقق، وجد باحثو “إسيت” إصدارًا جديدًا من Gelsevirine يتميز بكلا من النمطية والتعقيد، ويقع ضحايا حملاتها في شرق آسيا وكذلك الشرق الأوسط ومن بينهم الحكومات والمنظمات الدينية ومصنعي الإلكترونيات والجامعات. ولفي الوقت الحاضر، تمكنت المجموعة الضارة من البقاء مختبئة في أغلب الأوقات، وتمت مناقشة هذا البحث حصريًا في مؤتمر إسيت العالمي السنوي هذا الأسبوع.
وفقًا لقياس “إسيت” عن بُعد، يستهدف Gelsemium ضحاياه وبالتالي أعدادهم قليلة.
وبالنظر إلى قدراته، يشير هذا إلى الاستنتاج بأن المجموعة متورطة في التجسس الإلكتروني. حيث لديها عدد كبير من المكونات القابلة للتكيف. يوضح الباحث “توماس دوبوي” الباحث في برامج Gelsemium: “قد تبدو سلسلة Gelsemium بأكملها بسيطة للوهلة الأولى، ولكن العدد الهائل من التكوينات، المزروعة في كل مرحلة، يمكن أن تعدل الإعدادات السريعة للحمولة النهائية، مما يجعل من الصعب فهمها”.
ويستخدم Gelsemium ثلاث مكونات ونظام إضافي لمنح المشغلين مجموعة من الاحتمالات لجمع المعلومات: dropper Gelsemine، وloader Gelsenicine، والبرنامج المساعد الرئيسي لـ Gelsevirine.
يعتقد باحثو “إسيت” أن Gelsemium وراء هجوم سلسلة التوريد ضد BigNox الذي تم الإبلاغ عنه سابقًا باسم عملية NightScout، و كان هذا هجومًا لسلسلة التوريد، تم الإبلاغ عنه بواسطة “إسيت”، والذي أدى إلى اختراق آلية التحديث الخاصة بـ NoxPlayer ، وهو محاكي لنظام التشغيل أندرويد لأجهزة الكمبيوتر الشخصية وأجهزة Mac ، وجزء من مجموعة منتجات BigNox ، مع أكثر من 150 مليون مستخدم حول العالم. وكشف التحقيق عن بعض التداخل بين هجوم سلسلة التوريد ومجموعة Gelsemium لأن الضحايا الذين تعرضوا للخطر في الأصل بسبب هجوم سلسلة التوريد تم اختراقهم لاحقًا بواسطة Gelsemine.
لمزيد من التفاصيل التقنية حول Gelsemium، اقرأ المدونة “Gelsemium: عندما يذهب المهاجمون إلى زراعة البرامج الضارة” على موقع WeLiveSecurity. تأكد من متابعة أبحاث “إسيت” على تويتر للحصول على آخر الأخبار.