الرئيسية / أخبار تقنية / تستخدم البرامج الضارة المكتشفة حديثًا في بروتوكول BITS المدمج بويندوز للاتصال والتسلل إلى البيانات المخفية

تستخدم البرامج الضارة المكتشفة حديثًا في بروتوكول BITS المدمج بويندوز للاتصال والتسلل إلى البيانات المخفية

اكتشف باحثو الأمن السيبراني فيروسًا جديدًا للكمبيوتر مرتبطًا بمجموعة التجسس الإلكتروني التي ترعاها الدولة Stealth Falcon والتي تنتهك مكونًا مدمجًا في نظام التشغيل ويندوز للتسلل إلى البيانات المسروقة إلى الخادم الذي تسيطر عليه المهاجمين.

 تمارس Stealth Falcon نشاطًا منذ عام 2012 وهي مجموعة متطورة للقرصنة معروفة باستهداف الصحفيين والناشطين والمعارضين الذين لديهم برامج تجسس في الشرق الأوسط وخاصة في الإمارات العربية المتحدة.

 تقوم البرامج الضارة التي يطلق عليها اسم Win32 / StealthFalcon والتي سميت على اسم مجموعة الاختراق بتوصيل وإرسال البيانات التي تم جمعها إلى خوادم التحكم عن بعد (C&C) الخاصة بها باستخدام خدمة النقل الذكي في الخلفية لـ Windows (BITS).

BITS هو بروتوكول اتصال في ويندوز يأخذ عرض النطاق الترددي للشبكة غير المستخدمة لتسهيل نقل الملفات بشكل غير متزامن وترتيب الأولويات ومخنق بين الأجهزة في المقدمة أو الخلفية دون التأثير على تجربة الشبكة.

يشيع استخدام BITS من قِبل محدّدي البرامج بما في ذلك تنزيل الملفات من خوادم مايكروسوفت أو أقرانهم لتثبيت التحديثات على نظام التشغيل ويندوز 10 والمراسلين والتطبيقات الأخرى المصممة للعمل في الخلفية.

ووفقًا لباحثي الأمن في شركة ESET للأمان الإلكتروني نظرًا لأن مهام BITS مسموح بها على الأرجح بواسطة جدران الحماية القائمة على المضيف وأن الوظيفة تقوم تلقائيًا بضبط معدل نقل البيانات فهي تتيح للبرامج الضارة العمل خلسة في الخلفية دون رفع أي أعلام حمراء.

ويقول الباحثون في تقرير نُشر اليوم: “بالمقارنة مع الاتصالات التقليدية عبر وظائف API يتم كشف آلية BITS من خلال واجهة COM وبالتالي يصعب على منتج الأمان اكتشافه”.

 “يستأنف النقل تلقائيًا بعد انقطاعه لأسباب مثل انقطاع الشبكة أو تسجيل خروج المستخدم أو إعادة تشغيل النظام.”

بالإضافة إلى ذلك بدلاً من اختبار البيانات المجمعة بنص عادي تقوم البرامج الضارة أولاً بإنشاء نسخة مشفرة منها ثم تحميل النسخة إلى خادم C&C عبر بروتوكول BITS.

بعد النجاح في اختبار البيانات المسروقة يقوم البرنامج الضريبي تلقائيًا بحذف جميع السجلات والملفات التي تم جمعها بعد إعادة كتابتها ببيانات عشوائية لمنع التحليل الجنائي واستعادة البيانات المحذوفة.

كما هو موضح في التقرير ولم يتم تصميم Win32 / StealthFalcon مستتر فقط لسرقة البيانات من الأنظمة المخترقة بل يمكن أيضًا استخدامه من قبل المهاجمين لزيادة نشر المزيد من الأدوات الضارة وتحديث التكوين الخاص بها عن طريق إرسال الأوامر عبر خادم C&C.

“يسمح الباب الخلفي Win32 / StealthFalcon الذي يبدو أنه تم إنشاؤه في عام 2015 للمهاجم بالتحكم في جهاز الكمبيوتر الذي يتعرض للخطر عن بعد ولقد رأينا عددًا صغيرًا من الأهداف في الإمارات العربية المتحدة والمملكة العربية السعودية وتايلاند وهولندا ؛ وفي الحالة الأخيرة  والهدف كان مهمة دبلوماسية لبلد شرق اوسطي “

وبحسب الباحثين يشارك هذا البرنامج الخبيث الذي تم اكتشافه مؤخرًا خوادم C&C وقاعدة الرموز الخاصة به مع مستتر يستند إلى PowerShell يعزى إلى مجموعة Stealth Falcon وتتبعها Citizen Lab في عام 2016.

عن فدوى

شاهد أيضاً

فيسبوك يعلق “عشرات الآلاف” من التطبيقات بسبب الاستخدام غير الصحيح للبيانات

في أعقاب فضيحة Cambridge Analytica وعد موقع فيسبوك بالتحقيق في التطبيقات الأخرى من خلال الوصول …

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *