تحذير حاسم من كاسبرسكي بشأن برنامج ضار يستهدف أجهزة إنترنت الأشياء

 ذكرت شركة كاسبرسكي أن المجرمين السيبرانيين يتطورون باستمرار في مهاراتهم وأدواتهم ويسعون دائمًا لاستخدام طرق جديدة للإضرار بالأفراد والشركات. 

وفي مدونة Securelist الأخيرة للشركة، تم تفصيل طرق العدوى غير الشائعة التي يستخدمها المهاجمون، بما في ذلك البرنامج الضار RapperBot ضمن فئة ديدان (ميراي) الضارة التي تستهدف أجهزة إنترنت الأشياء. 

ويهدف RapperBot إلى شن هجمات (حجب الخدمة الموزعة) DDoS ضد أهداف لا ترتبط ببروتوكول نقل النص الفائق HTTP. 

وبالإضافة إلى ذلك، تم الإشارة إلى استخدام أدوات سرقة المعلومات، مثل Rhadamanthys و CUEMiner، والتي تنتشر عادةً عبر البرامج الضارة المفتوحة المصدر التي توزع على مواقع مشاركة الملفات، مثل BitTorrent و OneDrive، ويتميز برنامج RapperBot باتباع طريقة الهجمات القوة العمياء الذكية intelligent brute forcing، والتي تعمل على تسريع عملية الاختراق وتقليل قائمة بيانات الاعتماد المطلوبة. 

وفي الربع الأخير من عام 2022، تم رصد أعلى عدد من الأجهزة المصابة ببرنامج RapperBot في تايوان وكوريا الجنوبية والولايات المتحدة. وتم الإشارة أيضًا إلى برنامج ضار آخر وهو CUEMiner الذي يتضمن عامل تعدين ذاتي ويستخدم في إطلاق عمليات ثقيلة على حواسيب الضحايا.

ويعتمد برنامج CUEMiner على برنامج ضار مفتوح المصدر ظهر لأول مرة على Github في عام 2021، وتم الكشف عن الإصدار الأخير منه في شهر تشرين الأول/ أكتوبر 2022. 

ويتميز هذا البرنامج بوجود عامل تعدين ذاتي والمسمى "المراقب"، والذي يستخدم لمراقبة نظام معين وتنفيذ بعض العمليات الثقيلة مثل لعبة فيديو على حاسوب الضحية. وتشير هذه الاكتشافات إلى أن المجرمين السيبرانيين يستخدمون تقنيات متطورة ومتنوعة للتسلل إلى أنظمة الأفراد والشركات والإضرار بها، مما يؤكد على الحاجة الملحة لتعزيز الأمن السيبراني واتخاذ إجراءات وقائية فعالة للحد من هذه الهجمات.

أثناء التحقيق الذي قامت به كاسبرسكي بشأن CUEMiner، لاحظت وجود طريقتين لنشر البرنامج الضار، إحداهما عبر برنامج مخترق تروجاني يتم تنزيله عبر BitTorrent، والآخر عبر برنامج مخترق تروجاني يتم تنزيله من خدمة مشاركة الملفات OneDrive. وعلى الرغم من عدم توفر روابط مباشرة للتنزيلات في الوقت الحالي، إلا أنه يتم الإشارة إلى قنوات خوادم Discord لإجراء المزيد من المناقشات، مما يشير إلى وجود أشكال للتفاعل البشري والهندسة الاجتماعية. 

وتستخدم هذه البرامج الضارة "المفتوحة المصدر" بكثرة من قبل مجرمي الإنترنت الهواة أو الغير المهرة، حيث تسمح لهم بشن حملات ضخمة. ومن خلال القراءات التي تم جمعها من شبكة كاسبرسكي الأمنية، تم تحديد البرازيل والهند وتركيا كأكبر الدول المتضررة. وفيما يتعلق ببرنامج Rhadamanthys، فإن مدونة كاسبرسكي توفر معلومات جديدة حوله، حيث يتم استخدام إعلانات جوجل كوسيلة لتوزيع البرامج الضارة وإيصالها، وتم الكشف عن أنه يرتبط بشكل وثيق بـ Hidden Bee miner الذي يستهدف مباشرة أنشطة تعدين العملات المشفرة.

يستخدم كلا النموذجين الصور لإخفاء الحمولة داخلهما، ويشتملان على رموز خارجية متشابهة للتنظيم الذاتي. كما يتم استخدام "أنظمة الملفات الافتراضية في الذاكرة" ولغة البرمجة (لوا) Lua لتحميل الإضافات والوحدات. 

وأوضح جورنت فان دير فيل، كبير الباحثين الأمنيين في فريق البحث والتحليل العالمي لدى شركة كاسبرسكي، أن المجرمين الإلكترونيين يستخدمون على نطاق واسع البرامج الضارة مفتوحة المصدر وإعادة استخدام التعليمات البرمجية وإعادة تصميم العلامة التجارية، وهذا يعني أن المهاجمين الأقل مهارة يمكنهم الآن تنفيذ حملات واسعة النطاق واستهداف الضحايا في جميع أنحاء العالم. ولتجنب هذه الهجمات وحماية شركتك من التعرض للاختراق، يجب عليك أن تكون على دراية كافية بما يجري في مجال الأمن السيبراني واستخدام أحدث أدوات الحماية المتاحة.

وينصح باتباع القواعد التالية المقترحة من كاسبرسكي لحماية نفسك وعملك من هجمات برامج الفدية:

• تجنب تعريض خدمات سطح المكتب البعيد، مثل بروتوكول سطح المكتب البعيد RDP، للشبكات العامة، ما لم يكن ذلك ضروريًا للغاية، واستخدم دائمًا كلمات مرور قوية.
• ثبت التصحيحات المتاحة لحلول الشبكة الخاصة الافتراضية VPN التجارية حالًا، لتوفير الوصول للموظفين البعيدين وحماية شبكتك.
• ركز استراتيجيتك الدفاعية على اكتشاف الحركات الجانبية وسحب البيانات إلى الإنترنت، وانتبه بشكل خاص لحركة المرور الصادرة لكشف أي اتصالات يقوم بها المجرمون السيبرانيون.
• انسخ البيانات احتياطيًا وبانتظام، وتأكد من أنه يمكنك الوصول إليها بسرعة في حالات الطوارئ.
• استخدم الحلول الفعالة، مثل Kaspersky Endpoint Detection and Response Expert وخدمة Kaspersky Managed Detection and Response، التي تساعد على تحديد الهجمات والعمل على إيقافها في المراحل المبكرة، قبل أن يصل المهاجمون إلى أهدافهم النهائية.
• استخدم معلومات التهديدات الأحدث للبقاء على دراية بالتقنيات والإجراءات والاختبارات الفعلية التي يستخدمها المهاجمون. ويوفر Kaspersky Threat Intelligence Portal نقطة شاملة لمعلومات التهديدات من كاسبرسكي، حيث يتم جمع البيانات والأفكار ذات الصلة بالهجمات الإلكترونية على مدار 25 عامًا.

وأعلنت كاسبرسكي عن توفر معلومات مستقلة ومحدثة باستمرار من مصادر عالمية حول الهجمات الإلكترونية والتهديدات المستمرة، وذلك لمساعدة الشركات على تمكين الدفاعات الفعالة في هذه الأوقات المضطربة، ويمكن الحصول على هذه المعلومات المجانية عن طريق زيارة الرابط المتاح.