كلنا نعلم آداة التجسس المشهورة جوست رات Gh0st RAT، لم تسمعوا عنها؟! لا بأس سأوضح ذلك فيما بعد خلال حديثنا، والمعتمد على التقرير الجديد من شركة فاير آي، ليًخبرنا أن تلك الآداة مازالت تُستخدم في الهجمات البرمجية الضارة، إليكم التفاصيل المثيرة.
فاير آي – الشركة المتخصصة في الكشف عن البرمجيات الخبيثة malware – كشفتت عن بيانات تم جمعها من المئات من عملائها خلال عام 2012، مما وصل إلى 12 مليون تقرير مختلف عن أي نشاط مشبوه، وكان ما يقارب 2000 حالة تم تصنيفها على اعتبارها أنها من هجمات “التهديدات المستعصية المتقدِّمة” APTs، والتي على مدى تطور المجال الأمني، يصعُب الكشف عن تلك الهجمات التي تستهدف التسلل على المدى الطويل للمنظمات التكنولوجية.
معظم تلك الحالات تمت بواسطة الجوست رات، ولمن لا يعرفها، هي آدات تحكم عن بُعد تم تطويرها في الصين، حيث تسمح للمهاجمين من سرقة المعلومات من اجهزة كمبيوتر الضحية، في عام 2009، أفاد الباحثون العاملون بمركز أبحاث سيك ديف SecSev ومركز مونك للدراسات الدولية في جامعة تورونتو أنه قد تم استهدام أكثر من 1000 جهاز كمبيوتر في 103 دولة باستخدام Gh0st RAT.
وقال روب راتشوولد – كبير مديري أبحاث السوق لفاير آير – أن جوست رات هي “جزء في غاية الأهمية تساهم في أنواع عديدة لهجمات التهديدات المستعصية المتقدِّمة؛ لأنها ببساطة هي الآداة الفعَّالة في ذلك”.
يوضِّح التقرير أنه في عام 2012، قامت فاير آي بنشر منصاتها من الجدران النارية ومضادات الفيروسات وبواباتها الأمنية وتفعيل خاصية رد النداء Callback الكاشفة عن حركات مرور البيانات، كل ذلك على نطاقٍ واسع عبر الآلاف من المستخدمين النهائيين؛ للتعرف على كيفية انتزاع المهاجمين للبيانات من ضحاياهم وسيطرة البرمجيات الخبيثة على اجهزة الكمبيوتر المُصابة، وتبيَّن أن المهاجمين يستخدمون خوادم القيادة والتحكم command-and-control servers لتوفير التعليمات لبرمجياتهم الخبيثة في 184 دولة إلى الآن، أي بزيادة قدرها 42% مقارنة بعام 2010.
وورد في فاير آي أن “كوريا الجنوبية هي واحدة من تلك الواجهات التي تفعل خاصية رد النداء لأنها الأكثر استهدافاً” واطلقت عليها الشركة أنها “معقلاً للهجمات” هي ودول آسيا وشرق أوروبا بشكل عام، وذلك بالنظر إلى معدل أرقام تشغيلهم لأنظمة رد النداء، عندما شكَّلت الصين وكوريا الجنوبية والهند واليابان وهونج كونج ما وصلت نسبته إلى 24% من أنظمة رد النداء العالمية، ولا تتأخر دول شرق أوروبا عن هذه النسبة، والتي بلغت 22%.
وقد أدرج المقرصنون المعلومات المسروقة إلى ملفات الصور JPEG من أجل جعلها تبدو عادية عند نقلها، وقالت فاير آي أنه يتم استخدام البرمجيات الخبيثة على مواقع الشبكات الاجتماعية مثل تويتر والفيس بوك للتحكم وإرسال تعليماتهم للأجهزة المُصابة.
لاحظت الشركة أن هناك تغييرات أخرى في سلوك المتسللين، عادةً، كانوا يستغلون خوادم القيادة والسيطرة من دولة مختلفة عن بلد الضحية، الآن يقومون بالتحكم وإرسال الأوامر من خلال الخوادم الموجودة في نفس البلد من أجل جعل حركة المرور تبدو طبيعية.
لكن بالنسبة لبعض الدول، لم يكترث المتسللون لهذا الأمر أو أن يكلفوا أنفسهم العناء من استخدام خوادم التحكم من بلد المستهدف، حيث كان لدى كندا والمملكة المتحدة على حدٍّ سواء نسب عالية جداً من حركة المرور الذاهبة إلى الخارج، ربما لم يقم المهاجمون بذلك في تلك الدول بسبب أنهم “كانوا يعلمون أنه لن يتم كشفهم” على حد تعبير راتشوولد.
انتهينا من التقرير، وعليكم (كمستخدمين) لشبكة الإنترنت أن تتخيلوا معي كيف سيبدو المستقبل – السعيد! – بعد ذلك!
Ghost rat هو ك BIfrost و SPYnet في هده البرامج يوجد ملايين صحايا يا اخي