أثار رعب واشنطن وتل أبيب.. من هو إبراهيم عقيل الذي اغتالته إسرائيل؟    وزير الخارجية: تقسيم السودان خط أحمر، وقضية مياه النيل حياة أو موت، وخسائرنا بسبب انخفاض عائدات قناة السويس 6 مليارات دولار، لا بد لإسرائيل أن تنسحب من رفح ومحور فيلادلفيا    موعد الشباب ضد التعاون في دوري روشن السعودي والقنوات الناقلة    حدث ليلا.. تطورات جديدة بشأن حزب الله وإسرائيل والحرب على غزة (فيديو)    موعد مباراة يوفنتوس ضد نابولي في الدوري الإيطالي والقنوات الناقلة    عاجل.. فيفا يعلن منافسة الأهلي على 3 بطولات قارية في كأس إنتركونتيننتال    موعد انكسار الموجة الحارة وتوقعات حالة الطقس.. متى تسقط الأمطار؟    حبس متهم مفصول من الطريقة التيجانية بعد اتهامه بالتحرش بسيدة    رسميا.. رابط الواجبات المنزلية والتقييمات الأسبوعية ل الصف الثاني الابتدائي    مدحت العدل يوجه رسالة لجماهير الزمالك.. ماذا قال؟    فلسطين.. شهيد وعدة إصابات جراء قصف الاحتلال لمنزل في خان يونس    ضبط 12شخصا من بينهم 3 مصابين في مشاجرتين بالبلينا وجهينة بسوهاج    عمرو أديب: بعض مشايخ الصوفية غير أسوياء و ليس لهم علاقة بالدين    هل يؤثر خفض الفائدة الأمريكية على أسعار الذهب في مصر؟    فصل التيار الكهرباء عن ديرب نجم بالشرقية لأعمال الصيانة    النيابة تأمر بإخلاء سبيل خديجة خالد ووالدتها بعد حبس صلاح التيجاني    تعرف على مواقيت الصلاة اليوم السبت 21-9-2024    أرباح أكثر.. أدوات جديدة من يوتيوب لصناع المحتوى    مريم متسابقة ب«كاستنج»: زوجي دعمني للسفر إلى القاهرة لتحقيق حلمي في التمثيل    هاني فرحات: جمهور البحرين ذواق للطرب الأصيل.. وأنغام في قمة العطاء الفني    وفاة والدة اللواء محمود توفيق وزير الداخلية    موعد إجازة 6 أكتوبر 2024 للموظفين والمدارس (9 أيام عطلات رسمية الشهر المقبل)    عاجل - رياح وسحب كثيفة تضرب عدة محافظات في العراق وسط تساؤلات حول تأجيل الدراسة    "حزب الله" يستهدف مرتفع أبو دجاج الإسرائيلي بقذائف المدفعية ويدمر دبابة ميركافا    وزير الخارجية: الجهد المصري مع قطر والولايات المتحدة لن يتوقف ونعمل على حقن دماء الفلسطينيين    محامي يكشف مفاجآت في قضية اتهام صلاح التيجاني بالتحرش    مواصفات فورد برونكو سبورت 2025    في احتفالية كبرى.. نادي الفيوم يكرم 150 من المتفوقين الأوائل| صور    الشركة المتحدة للخدمات الإعلامية تعزى وزير الداخلية فى وفاة والدته    عبد المنعم على دكة البدلاء| نيس يحقق فوزا كاسحًا على سانت إيتيان ب8 أهداف نظيفة    مواصفات هاتف Realme P2 Pro الجديد ببطارية كبيرة 5200 مللي أمبير وسعر مميز    ملف يلا كورة.. تأهل الزمالك.. رمز فرعوني بدرع الدوري.. وإنتركونتيننتال في قطر    نائب محافظ المركزي المصري يعقد لقاءات مع أكثر من 35 مؤسسة مالية عالمية لاستعراض نجاحات السياسة النقدية.. فيديو وصور    صرف فروقات الرواتب للعسكريين 2024 بأمر ملكي احتفاءً باليوم الوطني السعودي 94    حفل للأطفال الأيتام بقرية طحانوب| الأمهات: أطفالنا ينتظرونه بفارغ الصبر.. ويؤكدون: بهجة لقلوب صغيرة    "ألا بذكر الله تطمئن القلوب".. أذكار تصفي الذهن وتحسن الحالة النفسية    «الإفتاء» توضح كيفية التخلص من الوسواس أثناء أداء الصلاة    وصلت بطعنات نافذة.. إنقاذ مريضة من الموت المحقق بمستشفى جامعة القناة    بدائل متاحة «على أد الإيد»| «ساندوتش المدرسة».. بسعر أقل وفائدة أكثر    ضائقة مادية.. توقعات برج الحمل اليوم 21 سبتمبر 2024    وزير الثقافة بافتتاح ملتقى «أولادنا» لفنون ذوي القدرات الخاصة: سندعم المبدعين    أول ظهور لأحمد سعد وعلياء بسيوني معًا من حفل زفاف نجل بسمة وهبة    راجعين.. أول رد من شوبير على تعاقده مع قناة الأهلي    إسرائيل تغتال الأبرياء بسلاح التجويع.. مستقبل «مقبض» للقضية الفلسطينية    وزير الخارجية يؤكد حرص مصر على وحدة السودان وسلامته الإقليمية    بعد قرار الفيدرالي الأمريكي.. سعر الدولار أمام الجنيه المصري اليوم السبت 21 سبتمبر 2024    مستشفى قنا العام تسجل "صفر" فى قوائم انتظار القسطرة القلبية لأول مرة    عمرو أديب يطالب الحكومة بالكشف عن أسباب المرض الغامض في أسوان    تعليم الفيوم ينهي استعداداته لاستقبال رياض أطفال المحافظة.. صور    أخبار × 24 ساعة.. انطلاق فعاليات ملتقى فنون ذوي القدرات الخاصة    حريق يلتهم 4 منازل بساقلتة في سوهاج    انقطاع الكهرباء عن مدينة جمصة 5 ساعات بسبب أعمال صيانه اليوم    تعليم الإسكندرية يشارك في حفل تخرج الدفعة 54 بكلية التربية    ريم البارودي تنسحب من مسلسل «جوما» بطولة ميرفت أمين (تفاصيل)    أكثر شيوعًا لدى كبار السن، أسباب وأعراض إعتام عدسة العين    أوقاف الفيوم تفتتح أربعة مساجد اليوم الجمعة بعد الإحلال والتجديد    آية الكرسي: درع الحماية اليومي وفضل قراءتها في الصباح والمساء    الإفتاء: مشاهدة مقاطع قراءة القرآن الكريم مصحوبة بالموسيقى أو الترويج لها محرم شرعا    







شكرا على الإبلاغ!
سيتم حجب هذه الصورة تلقائيا عندما يتم الإبلاغ عنها من طرف عدة أشخاص.



مطاردة "Lazarus": تقفّي أثر عصابة إلكترونية خطيرة لمنع عمليات سطو هائلة تستهدف أرصدة البنوك
مروة رزق نشر في محيط يوم 04 - 04 - 2017

نشرت كاسبرسكي لاب نتائج تحقيقاتها التي استمرت لأكثر من عام حول نشاط "Lazarus" – وهي عصابة إلكترونية خطيرة يزعم أنها المسؤولة عن سرقة 81 مليون دولار من بنك بنغلاديش المركزي في العام 2016.
وأثناء تحليل المختبر الجنائي لبعض الدلائل التي خلفتها العصابة الإلكترونية في بنوك تقع في جنوب شرق آسيا وأوروبا، تمكنت كاسبرسكي لاب من تكوين فهم عميق للأدوات الخبيثة التي تستخدمها العصابة وطريقة تشغيلها أثناء مهاجمة المؤسسات المالية والكازينوهات ومطوري البرامج لشركات الاستثمار والمؤسسات التي تستخدم العملات المشفرة في جميع أنحاء العالم. وقد ساعدت المعلومات المجمّعة في التصدي لعصابتين أخرتين على الأقل كان هدفهما سرقة مبالغ ضخمة من المؤسسات المالية.
في فبراير من العام 2016، حاولت عصابة من القراصنة (مجهولي الهوية في ذلك الوقت) سرقة 851 مليون دولار أمريكي، وتمكنت من تحويل 81 مليون دولار أمريكي من بنك بنغلاديش المركزي. واعتبرت هذه إحدى أكبر عمليات السطو الإلكتروني الأكثر نجاحا على الإطلاق. وكشفت تحقيقات أخرى أجراها باحثون من مختلف شركات أمن تكنولوجيا المعلومات بما فيها كاسبرسكي لاب بأن هناك احتمال كبير بأن تكون الهجمات قد شنت عن طريق "Lazarus"- وهي عصابة سيئة السمعة تشن هجمات تجسس وتخريب إلكترونية والمسؤولة عن سلسلة من الهجمات العادية والمدمرة، وتشتهر بأسلوبها الإجرامي في مهاجمة شركات التصنيع ووسائل الإعلام والمؤسسات المالية في 18 دولة على الأقل حول العالم منذ العام 2009.
وعلى الرغم من أن عصابة "Lazarus" الإلكترونية قد بقيت خاملة لعدة أشهر في أعقاب هجوم بنغلاديش، إلا أنها لاتزال نشطة. بل كانت العصابة تحضر لعملية جديدة تستهدف السطو على الأموال من بنوك أخرى، وفي الوقت الذي استكملت تحضيراتها لشن الهجوم، كانت العصابة قد تمكنت مسبقاً من دسّ برمجيتها الخبيثة في شبكات إحدى المؤسسات المالية في جنوب شرق آسيا. وبعد أن تم كشفها ومنعها من قبل منتجات كاسبرسكي لاب واستناداً إلى نتائج التحقيقات، عادت العصابة إلى تعليق هجماتها لبضعة أشهر أخرى، ثم قررت فيما بعد تغيير سيناريو الهجوم بالانتقال إلى أوروبا. إلا أن جهودها باءت بالفشل حيت تم الكشف عنها ومنعها مجدداً هنا عن طريق برنامج كاسبرسكي لاب الأمني ومنصة الاستجابة السريعة لحالات الاختراق والتحليلات الجنائية والهندسة العكسية لباحثي كاسبرسكي لاب.
صيغة "Lazarus"
استنادا إلى نتائج تحليل المختبر الجنائي لهذه الهجمات، تمكن باحثو كاسبرسكي لاب من فك لغز طريقة عمل هذه العصابة.
عملية الاختراق الأولي: يتم العمل على اختراق نظام فردي داخل أحد البنوك إما باستخدام شيفرة ضعيفة يمكن الوصول إليها عن بعد (أي على خادم الويب) أو من خلال هجوم (Watering Hole) عن طريق استغلال ثغرة أمنية غير مكتشفة مندسّة في إحدى المواقع الإلكترونية النظامية. وما أن تتم زيارة ذلك الموقع الإلكتروني المصاب، سرعان ما تصاب الضحية (موظف البنك) بالبرمجية الخبيثة التي تجلب معها المزيد من المكونات الإضافية.
الانتهاء من تلغيم جهاز الضحية بالبرمجية الخبيثة: تقوم العصابة بعد ذلك بالانتقال إلى بيئات مضيفة لبنوك أخرى وتنشر برنامج التسلل المستمر من الباب الخلفي (Backdoor)، كما تتيح لها هذه البرمجية الخبيثة الدخول والخروج وقتما تشاء.
الاستطلاع الداخلي: بعد ذلك تقضي العصابة أياماً وأسابيع لتعلم آلية عمل الشبكة وتحديد الموارد القيمة. وقد يكون أحد هذه الموارد خادم النسخ الاحتياطي، حيث يتم فيه تخزين معلومات المصادقة، أو خادم البريد، أو وحدة التحكم بكامل النطاق "Domain" المزودة بمفاتيح لكل "منفذ متاح" في الشركة، بالإضافة إلى الخوادم التي تخزن أو تعالج سجلات المعاملات المالية.
نشر البرمجية الخبيثة وسرقة الأموال: وأخيرا، تقوم العصابة بنشر البرمجية الخبيثة القادرة على تخطي وسائل الكشف والمنع المثبتة في نظام الأمن الداخلي للبرامج المالية وإصدار معاملات عشوائية نيابة عن البنك.
نطاق التوزع الجغرافي والإسناد
استمرت الهجمات التي حقق فيها باحثو كاسبرسكي لاب لأسابيع. ومع ذلك، استطاع المهاجمون العمل بعيداً عن أعين الرادار لعدة أشهر. فعلى سبيل المثال، اكتشف الخبراء أثناء تحليل إحدى الحالات الأمنية في جنوب شرق آسيا أن القراصنة تمكنوا من اختراق شبكة البنك منذ ما لا يقل عن سبعة أشهر قبل اليوم الذي طلب فيه فريق الأمن التابع للبنك طلب العون من فريق الاستجابة للحالات الأمنية الطارئة. وفي الواقع، كانت لدى العصابة القدرة على الدخول إلى شبكة ذلك البنك حتى قبل اليوم الذي وقعت فيه حادثة بنغلاديش.
وفقا لسجلات كاسبرسكي لاب، بدأ ظهور عينات البرمجية الخبيثة المتعلقة بنشاط عصابة "Lazarus" في المؤسسات المالية والكازينوهات ومطوري البرمجيات لشركات الاستثمار والمؤسسات التي تستخدم العملات المشفرة في كوريا وبنغلاديش والهند وفيتنام واندونيسيا وكوستاريكا وماليزيا وبولندا والعراق وإثيوبيا وكينيا ونيجيريا وأوروغواي وغابون وتايلند وعدة دول أخرى منذ ديسمبر 2015. كما تم الكشف عن العينات الأحدث المعروفة لكاسبرسكي لاب في مارس 2017، مما يشير إلى أن المهاجمين ليس لديهم نية لوقف أنشطتهم.
وعلى الرغم من أن المهاجمين كانوا حذرين بما فيه الكفاية لإزالة أي أثر يدل على وجودهم، كان هناك خادم واحد على الأقل قامت العصابة باختراقه لاستخدامه في هجوم آخر. وقد احتوى هذا الخادم على خطأ فادح ودليل آخر مهم خلفته العصابة وراءها. وأثناء التحضير للعملية، تم تعريف الخادم كمركز للسيطرة والتحكم في البرمجية الخبيثة. وكان مصدر الاتصال الذي تم إجراؤه في يوم تعريف الخادم يعود إلى عدد من خوادم الشبكات الافتراضية الخاصة، مما يشير إلى وجود فترة اختبار لخادم السيطرة والتحكم. ومع ذلك، كان هناك اتصال واحد قصير في ذلك يعود مصدره إلى مجموعة عناوين "IP" نادرة جدا في كوريا الشمالية.
ووفقا للباحثين، فقد يعني هذا الأمر عدة أمور:
* المهاجمون متصلون من عنوان ال"IP"عينه في كوريا الشمالية
* المهاجموت قد قامو بالتظاهر بالخاطئ لتضليل أعمالهم
* قد زار شخص ما الرابط في كوريا الشمالية عن طريق الخطأ
تستثمر عصابة "Lazarus" الإلكترونية بشكل كبير في أنماط جديدة متنوعة لبرمجياتها الخبيثة. وكانت العصابة تحاول منذ أشهر أن تتوصل إلى ابتكار جملة أدوات خبيثة غير مرئية ويتعذر اكتشافها من قبل منصات الحماية الأمنية، إلا أنه في موازاة قيامهم بذلك، يتمكن خبراء كاسبرسكي لاب من تحديد الخصائص الجديدة التي تمكنهم من معرفة كيفية برمجة رموز الشيفرة التي تضعها العصابة الإلكترونية، مما يتيح لكاسبرسكي لاب مواصلة تتبع كافة الأنماط الهجومية الخبيثة المستجدة. واليوم، يبدي المهاجمون هدوءاً نسبياً، وهو ما يعني على الأرجح، أنهم يستعدون لإعادة هيكلة ترسانتهم الهجومية.
وقال فيتالي كاملوك، رئيس فريق الأبحاث والتحليلات العالمي لدول آسيا المحيط الهادئ في كاسبرسكي لاب، "نحن على ثقة بأن هذه العصابة ستعود مجدداً وفي القريب العاجل. وعموماً، تظهر الهجمات، مثل تلك التي شنتها عصابة "Lazarus" الإلكترونية بأن أي خطأ بسيط في عملية التعريف قد يؤدي إلى حدوث اختراق أمني كبير يكبد الشركة المستهدفة خسائر مالية بمئات الملايين من الدولارات. نأمل في أن يصبح المدراء التنفيذيون في البنوك والكازينوهات وشركات الاستثمار حول العالم على دراية وحذر من اسم عصابة "Lazarus".
تكتشف منتجات كاسبرسكي لاب وتتبع بنجاح البرمجيات الخبيثة المستخدمة من قبل عصابة "Lazarus" الإلكترونية من خلال أسماء الصيغ المكتشفة التالية:
* HEUR:Trojan-Banker.Win32.Alreay
* Trojan-Banker.Win32.Agent
كما ستصدر الشركة قريباً أيضاً مؤشرات الاختراق "IOC" المهمة وبيانات أخرى حيوية بهدف مساعدة الشركات في العثور على أدلة حول هجمات هذه العصابة في شبكاتها. لمزيد من المعلومات، يرجى زيارة الموقع: Securelist.com.
نوصي جميع الشركات بإجراء مسح دقيق لشبكاتها للتأكد من خلوها من برمجية "Lazarus" الخبيثة، و، في حال الكشف عنها، العمل على إزالة الإصابة من أنظمتها والإبلاغ عن الإصابة إلى هيئة انفاذ القانون وفرق الاستجابة السريعة في حالات الطورائ.

انقر هنا لقراءة الخبر من مصدره.