"كاسبرسكي" تكتشف فيروس "ميني ديوك" مستغل ملفات "بي دي إف"-الأخبار

"كاسبرسكي" تكتشف فيروس "ميني ديوك" مستغل ملفات "بي دي إف"

	نشر بواسطة: Adminstrator
	الأحد 03-03-2013

أعلن الخبراء في شركة «كاسبرسكي لاب»، اكتشاف برنامج خبيث متطور جداً أطلقوا عليه اسم «ميني ديوك»، يستغل ثغرة أمنية في ملفات «بي دي إف» للدخول إلى جهاز المستخدم وتوفير مدخل للمخترقين للوصول إلى ملفات الضحية ونقلها أو إزالتها.

وكانت مختبرات «فاير آي»، المختصة بأمن المعلومات، أعلنت في منتصف فبراير الماضي اكتشاف ثغرة أمنية خطيرة في برنامج «أدوبي ريدر»، المخصص لقراءة مستندات من نوع «بي دي إف»، تم استغلالها لزراعة برنامج خبيث متطور لم يتم الكشف عنه سابقاً، أطلق عليه الخبراء في مختبرات «كاسبرسكي» اسم «إتاديوك».

وقال الفريق العالمي للأبحاث والتحليل في مختبرات «كاسبرسكي» إنهم، ومنذ الإعلان عن هذه الثغرة الخطيرة، رصدوا هجمات متعددة جديدة تستخدم الثغرة ذاتها لزرع برنامج خبيث، وفي تلك الأثناء رصد الفريق أيضاً حادثتين مثيرتين للريبة دفعتاه لإجراء دراسة معمقة.

وتعاون فريق مختبرات «كاسبرسكي» ، بحسب "الإمارات اليوم"، مع مختبر «كرايسيس» من أجل إجراء دراسة معمقة وتحليل دقيق للحادثتين اللتين أثارتا الكثير من الشكوك، وتوصل الباحثون إلى وجود برنامج خبيث آخر، جديد من نوعه، لم يتم التعرف إليه سابقاً، أطلقت «كاسبرسكي» عليه اسم «ميني ديوك».

وذكر خبراء «كاسبرسكي» في التقرير الأمني الصادر في الأسبوع المنصرم، والذي يحلل جميع جوانب البرنامج الخبيث «ميني ديوك»، إنه تم استخدامه لشن هجمات على مؤسسات ومنظمات حكومية عدة في مختلف أنحاء العالم خلال النصف الثاني من فبراير الماضي، مشيراً إلى أن عدداً كبيراً من الأهداف ذات الأهمية البالغة سبق أن تعرضت لهجمات بواسطة البرنامج الخبيث «ميني ديوك»، بما فيها المؤسسات الحكومية في أوكرانيا وبلجيكا والبرتغال ورومانيا والتشيك وايرلندا، هذا إضافة إلى مؤسسة بحثية في هنغاريا، ومؤسسة بحثية ومركزين للعلوم وموفر خدمات صحية في الولايات المتحدة.

وقال المدير العام ومؤسس «كاسبرسكي لاب»، يوجين كاسبرسكي: «إنها هجمة إلكترونية غير مألوفة أبداً، وهذا النمط من برمجة البرامج الخبيثة انتشر منذ أواخر التسعينات وبداية الألفية الجديدة، ثم اختفى، والآن يعود بعد سبات أكثر من عقد لينضم إلى فريق المجرمين الإلكترونيين الناشطين على الساحة الإلكترونية حاليا»، لافتاً إلى أن «هذه النخبة من مبتكري البرمجيات الخبيثة كانت فاعلة للغاية في الماضي، وقد ابتكرت فيروسات معقدة جداً، والآن تستغل مهاراتها في تعديل البرامج الخبيثة المطورة حديثاً واستخدامها لمهاجمة المؤسسات الحكومية أو المراكز البحثية في مختلف البلدان». وأضاف كاسبرسكي: «تمت كتابة البرنامج الخبيث (ميني ديوك)، المعدل بشكل كبير بواسطة لغة معروفة تدعى (أسيمبلار)، ليكون حجمه صغيراً جداً لا يزيد على ‬20 كيلوبايت، إن البرامج الخبيثة التي ابتكرها هؤلاء النخبة من مطوري البرمجيات الخبيثة تعد خطيرة للغاية، لاسيما مع استخدامها البرمجيات الخبيثة الحديثة واستغلالها أدوات الهندسة الاجتماعية».

وتوصل خبراء «كاسبرسكي لاب» إلى نتائج أولية من البحث الذي أجروه لتحديد معالم هذا التهديد الأمني الخطير، أبرزها أن الجهات التي تقف وراء «ميني ديوك» نشطة في الوقت الراهن، وأنها ابتكرت أخيراً برامج خبيثة بداية من يوم ‬20 فبراير ‬2013، استخدمت فيها أساليب فاعلة للغاية، شملت إرسال مستندات من نوع «بي دي إف» خبيثة إلى ضحاياها تتمتع بمظهر لائق، وتشمل معلومات ملفقة حول ندوة تتعلق بحقوق الإنسان، وخطط السياسة الخارجية لأوكرانيا، والعضوية في الناتو، لكن هذه المستندات كانت مرفقة بالبرامج الخبيثة التي تستهدف برنامج «أدوبي ريدر» بإصداراته ‬9، ‬10 و‬11، وتتفادى تقنية «ساندبوكس»، التي تحدد كيفية استخدام البرمجيات غير الموثوقة، أما الأدوات التي استخدمت في إعدادها، فيبدو أنها ذاتها التي استخدمت في الهجمة الأخيرة التي رصدتها مختبرات «فاير آي»، إلا أن البرامج الخبيثة التي استخدمت في هجمات «ميني ديوك» كانت لأغراض أخرى ولها برنامجها الخبيث المعدل الخاص بها.

ولاحظت نتائج البحث أنه في حال إصابة الجهاز، يتم زرع البرنامج الخبيث الصغير الحجم في القرص الصلب للجهاز المستهدف، وبعدها يستخدم البرنامج مجموعة من الحسابات الرياضية لتحديد البصمة الخاصة بالحاسوب، ليستخدم فيما بعد هذه البيانات لتشفير اتصالاته.

كما أنه مبرمج لتفادي تحليله ورصده من قبل مجموعة من الأدوات الخاصة، وفي حال وجد أياً من هذه المؤشرات، فإنه يصبح ساكناً في هذه البيئة بدلاً من الانتقال إلى المرحلة الأخرى، وهذا يدل على أن مبتكري البرمجيات الخبيثة يدركون تماماً ما يقوم به مكافح الفيروسات وخبراء أمن تقنية المعلومات لدى تحليل البرنامج الخبيث وكشفه.

وفي حال كانت بيئة العمل ملائمة له، يبدأ «ميني ديوك» الاتصال بموقع «تويتر» للبحث عن تغريدات في حسابات خاصة معدة مسبقاً، وتحتوي هذه التغريدات على أوسمة «هاشتاغ» وروابط إنترنت مشفرة تسمح بفتح أبواب خلفية في جهاز الضحية، يمكن من خلالها إرسال أوامر وفتح مزيد من الأبواب الخلفية عبر ملفات صور من نوع «جيف»، ما يمكن المخترقين من الوصول إلى الملفات ونقلها أو إزالتها.

وتوصلت النتائج الأولية من البحث إلى أن هذا البرنامج الخبيث يتصل بخادمين، أحدهما موجود في باناما، والآخر في تركيا، لتسلم توجيهات من المهاجمين.

يشار إلى أن نظام الحماية الخاص بمختبرات «كاسبرسكي» قادر حالياً على اكتشاف وتعطيل مفعول «ميني دوك».