كشفت كاسبرسكي لاب عن حملة جديدة من حملات التهديدات المتقدمة المستمرة أثّرت في عددٍ كبير من المستخدمين عبر ما يُعرف باسم هجمات سلاسل التوريد. وتوصلت أبحاث الشركة إلى أن الجهات التخريبية الكامنة وراء الحملة، التي أسميت عملية ShadowHammer، استهدفت مستخدمي أداة ASUS Live Update Utility عن طريق زرع منفذ خلفي فيها، وذلك خلال الفترة التي تراوحت بين يونيو ونوفمبر 2018 على أقلّ تقدير، ما من شأنه تعريض أكثر من مليون مستخدم حول العالم للخطر.
ويُعدّ هجوم سلسلة التوريد أحد أكثر النواقل التخريبية خطورة وفعالية، إذ تزايد استغلاله في العمليات التخريبية المتقدمة خلال السنوات القليلة الماضية، كما حدث في حملات ShadowPad وCCleaner. ويستهدف هذا الهجوم ثغرات محددة في النظم المترابطة للموارد التنظيمية والبشرية والمادية والفكرية المعنية بدورة حياة المنتجات، بدءاً من مرحلة التطوير الأولية إلى المستخدم النهائي. ومع أن البنية التحتية للشركة المنتجة قد تكون آمنة، يمكن أن يكون ثمّة ثغرات في المرافق الإلكترونية التابعة للموردين من شأنها إحداث تخريب في سلسلة التوريد، ما قد يؤدي إلى حدوث اختراق مدمّر وغير متوقع للبيانات.
واستهدفت الجهات التخريبية الكامنة وراء ShadowHammer الأداة ASUS Live Update Utility كمصدر أولي لإحداث الإصابة، وهي أداة مساعدة تأتي مثبتة في معظم أجهزة الحاسوب الجديدة من ASUS، من أجل القيام بالتحديثات تلقائياً لكل من نظام الإدخال والإخراج الأساسي BIOS وواجهة البرمجيات الثابتة الممتدة UEFI وبرمجيات التشغيل والتطبيقات. وعبِث المهاجمون في الإصدارات القديمة من برمجيات ASUS باستخدام شهادات رقمية مسروقة تستخدمها ASUS للتوقيع على الملفات الثنائية Binaries، وزرعوا شيفراتهم البرمجية التخريبية الخبيثة. وقد وقّع المخربون بشهادات أصلية إصدارات من هذه الأداة مُلغَّمة بتروجانات وتم استضافتها وتوزيعها من خوادم ASUS رسمية خاصة بالتحديثات، الأمر الذي جعلها غير مرئية تقريباً للغالبية العظمى من حلول الحماية الأمنية.
وقد ركّزت الجهات التخريبية الكامنة وراء حملة ShadowHammer جهودها على الوصول إلى بضع مئات من المستخدمين الذين كانت لديها معلومات سابقة عنهم، وذلك بالرغم من أنه من المحتمل أن يصبح كل مستخدم للبرمجيات المصابة ضحيّة من ضحايا تلك الجهات. وقد اكتشف باحثو كاسبرسكي لاب أن شيفرة المنفذ الخلفي التي زُرعت في النظام تحتوي على جدول عناوين MAC متضمَّنة، وهي معرِّفات فريدة لمحولات الشبكات تستخدم لتوصيل الحاسوب بالشبكة. وبمجرد تشغيل المنفذ الخلفي على جهاز الضحية يتحقق من وجود عنوان MAC الخاص به في ذلك الجدول، فإذا كان عنوان MAC متطابقاً مع أحد المُدخَلات، تعمل البرمجية الخبيثة على تنزيل المرحلة التالية من الشيفرة البرمجية الخبيثة. وبخلاف ذلك، لا يُظهر خادم التحديثات المخترَق أي نشاط شبكي، ولهذا لا يتمّ اكتشافه لفترة طويلة. وتمكن خبراء الأمن في المجمل من تحديد أكثر من 600 عنوان MAC تم استهدافها بأكثر من 230 شيفرة منفذ خلفي تخريبية فريدة من نوعها ذات شيفرات قشرة مختلفة.
ويشير النهج المعياري والاحتياطات الإضافية المتخذة عند تنفيذ الشيفرات البرمجية لمنع أي تسريب عرَضي للشيفرة أو البيانات إلى أن الجهات التخريبية التي تقف وراء هذا الهجوم المتطور يهمّها أن تظلّ غير مُكتشفة أثناء ضربها بعض الأهداف المحددة بدقة فائقة. ويُظهر التحليل الفني العميق أن ترسانة المهاجمين متقدمة للغاية وتعكس مستوىً عالياً من التطوير داخل المجموعة التخريبية.
وقد كشفت عملية البحث عن برمجيات خبيثة مماثلة الغطاء عن برمجيات تنتجها ثلاث شركات أخرى في آسيا، وقد زُرعت فيها منافذ خلفية بأساليب متشابهة. وقد أبلغت كاسبرسكي لاب شركة ASUS وغيرها من الشركات عن المشكلة.
واعتبر فيتالي كاملوك مدير فريق البحث والتحليل العالمي في منطقة آسيا المحيط الهادئ لدى كاسبرسكي لاب، أن الشركات المستهدفة “تشكل أهدافاً جذابة للغاية للمجموعات القائمة خلف عمليات التهديدات المتقدمة المستمرة والتي قد تكون راغبة في الاستفادة من قاعدة العملاء الواسعة لتلك الشركات”، مشيراً إلى أن الهدف النهائي للمهاجمين “لم يتضح بعد، وما زلنا نبحث عمّن يقف وراء الهجوم”، لكنه قال إن الأساليب المستخدمة لتحقيق تنفيذ التعليمات البرمجية غير المصرح بها، وغيرها من الأعمال المكتشفة، “تشير إلى أن العملية ShadowHammer ربما ترتبط بمجموعة BARIUM APT، التي جرى في السابق ربط العمليات ShadowPad وCCleaner بها”، وأضاف:
“هذه الحملة الجديدة مثال آخر على مدى التعقيد والخطورة التي يمكن أن ينطوي عليها هجوم ذكي من هجمات سلاسل التوريد في الوقت الحاضر”.
تجدر الإشارة إلى أن جميع منتجات كاسبرسكي لاب تكتشف وتحظر بنجاح البرمجيات الخبيثة المستخدمة في عملية ShadowHammer. ويوصي باحثو الشركة بتنفيذ التدابير التالية من أجل تجنب الوقوع ضحية لهجوم موجّه:
• توظيف حلّ أمني مؤسسي يكتشف التهديدات المتقدمة على مستوى الشبكة في مرحلة مبكرة، مثل Kaspersky Anti Targeted Attack Platform، إضافة إلى الحرص على تعزيز الحماية عند النقاط الطرفية.
• توظيف حلول للكشف عن التهديدات عند النقاط الطرفية والاستجابة لها مثل Kaspersky Endpoint Detection and Response أو الاتصال بفريق محترف للاستجابة للحوادث، وذلك من أجل ضمان الكشف عن التهديدات عند مستوى النقاط الطرفية والتحقيق فيها ومعالجة الحوادث المرتبطة بها في الوقت المناسب.
• دمج المعلومات الواردة حول التهديدات بالضوابط الخاصة بأقسام إدارة المعلومات والأحداث الأمنية SIEM والضوابط الأمنية الأخرى من أجل الوصول إلى أهمّ بيانات التهديدات وأدقها وأحدثها بُغية الاستعداد للهجمات المستقبلية.
ومن المنتظر أن تعرض كاسبرسكي لاب النتائج الكاملة المتعلقة بعملية ShadowHammer في مؤتمرها المرتقب “قمة التحليلات الأمنية 2019″، المزمع إقامته في سنغافورة بين 9 و11 إبريل.
ويمكن لعملاء خدمة التقارير المعلوماتي من كاسبرسكي لاب الاطلاع على تقرير كامل عن حملة ShadowHammer.
يمكن أيضاً العثور على موجز للعملية على مدونة كاسبرسكي لاب، وأداة خاصة مصممة للتحقّق مما إذا كانت أجهزة المستخدمين مصابة.