كاسبرسكي تكشف ثغرة خطيرة في فلاش

تمكّن نظام كاسبرسكي لاب المتقدم للحمایة من عملیات الاستغلال من اكتشاف عملیة استغلال خبیثة لثغرة أمنیة في برنامج فلاش من أدوبي، تمّت خلال ھجوم وقع یوم 10 أكتوبر الجاري ونفذته مجموعة قرصنة تُعرف باسم BlackOasis.

وجرت عملیة استغلال الثغرة الأمنیة واختراقھا باستخدام ملف “وورد” من مایكروسوفت وقامت بنشر البرمجية الخبيثة التجسسية FinSpy فسارعت كاسبرسكي إلى تحذير أدوبي بشأنها التي بدورها أرسلت تحذير للمستخدمين مع تعليمات سد الثغرة.

وتمكّن باحثون لدى كاسبرسكي لاب من رصد الثغرة الأمنیة 11292-2017-CVE ،خلال ھجوم مباشر، ما جعل الشركة تطلب على الفور من الشركات والجھات الحكومیة المسارعة إلى تثبیت التحدیث الذي قدّمته “أدوبي”.

ویعتقد الباحثون في كاسبرسكي لاب أن المجموعة التي تقف وراء الھجوم كانت مسؤولة أیضاً عن ھجوم وقع في سبتمبر الماضي مستغلاً ثغرة أمنية أخرى تعرف برقم  8759-2017-CVE

وكشف التحلیل الذي أجراه خبراء كاسبرسكي لاب، عن أن الاستغلال الناجح للثغرة یؤدي إلى تثبیت البرمجیة الخبیثة FinSpy المعروفة أيضاً باسم FinFisher على الكمبيوتر المستهدف

وتُعدّ FinSpy برمجیة خبیثة تجاریة عادة ما تُباع إلى
حكومات أو جھات لتطبیق القانون نظراً لإتاحتھا القیام بعملیات مراقبة. وكان استخدام جھات تطبیق القانون للبرمجیات الخبیثة في السابق يجري محليا غالباً لمراقبة أهداف وأشخاص محليون.

إلا أن BlackOasis مثّلت استثناء كبیراً في نھج
الاستخدام ھذا، إذ استخدمته ضد مجموعة واسعة من الأھداف في أنحاء العالم، ما یوحي بأنه یجري حالیاً اللجوء إلى استخدام FinSpy في عمليات استخباراتية بين دول العالم.

وتمثل البرمجیات الخبیثة المستخدمة في الھجوم أحدث نسخة من FinSpy ،وھي مجھزة بأسلوب تقني متعدد الأساليب  لمقاومة القدرات التحلیلیة من أجل تعقید عملیات البحث والتقصي وجعلھا أكثر صعوبة.

وتؤسس البرمجیات الخبیثة، بعد تثبیتھا، نقطة انطلاق لها على الكمبيوتر المستھدف بالھجوم، وترتبط بخوادم قیادة وتحكم موجودة في سویسرا وبلغاریا وھولندا، انتظاراً لمزید من التعلیمات بھدف سرقة البیانات.

تهتم مجموعة BlackOasis بمجموعة كاملة من الشخصیات ذات الصلة بالأوضاع السیاسیة في الشرق الأوسط، تضمّ موظفین بارزین في الأمم المتحدة ومدونین وناشطین من المعارضة، فضلاً عن مراسلین
إعلامیین إقلیمیین، وفقاً لتقدیرات كاسبرسكي.

ویبدو أن للمجموعة مصالح في قطاعات ذات أھمیة خاصة للمنطقة التي تنشط بھا؛ فخلال العام 2016 ،لاحظ باحثون في كاسبرسكي اھتماماً كبیراً لدى المجموعة بأنغولا، بناء على ما اتضح من وثائق
تشیر إلى أھداف مشتبھ في ارتباطھا بالنفط وغسل الأموال وغیرھا من الأنشطة. كما أن لدى المجموعة اھتماماً بناشطین دولیین ومفكرين.

ولوحظ حتى الآن تركّز ضحایا BlackOasis في روسیا والعراق وأفغانستان ونیجیریا ولیبیا والأردن وتونس والمملكة العربیة السعودیة وإیران وھولندا والبحرین وبریطانیا وأنغولا.

وینصح خبراء كاسبرسكي جمیع الشركات والمؤسسات باتخاذ بضعة إجراءات لحمایة أنظمتھا وبیاناتھا من ھذا التھدید:
● استخدام میزة Killbit في برنامج “فلاش” إذا لم تكن مستخدمة، مع الحرص على تعطیلھا تماماً حیثما كان ذلك ممكناً.
● تنفیذ حل أمني متطور متعدد الطبقات یغطي جمیع الشبكات والنظم والأجهزة الملحقة.
● تثقیف الموظفین وتدریبھم على مواجھة تكتیكات الھندسة الاجتماعیة، التي غالباً ما تستخدم لجعل الضحیة یفتح مستنداً أو ملفاً ضاراً أو ینقر على رابط خبیث یعرّض كمبيوتره للإصابة.
● إجراء تقییمات أمنیة دوریة منتظمة للبنیة التحتیة الخاصة بتقنیة المعلومات في الشركة.
● استخدام حل Intelligence Threat من كاسبرسكي، الخاص بالمعلومات الواردة بشأن التھدیدات، والذي یتعقب الھجمات الإلكترونیة والحوادث والتھدیدات ویزوّد العملاء بمعلومات مھمة محدّثة.