برنامج مكافحة الفيروسات ESET يكتشف المهاجمين الذين استغلوا ثغرة يوم الصفر لنظام التشغيل Windows الأخير لإجراء التجسس السيبراني

التوضيح الأمن السيبراني

اكتشف صانعو برامج مكافحة الفيروسات والأمان الرقمي الشهيرة ESET المهاجمين الذين استغلوا ثغرة يوم الصفر لنظام التشغيل Windows. يُعتقد أن مجموعة القرصنة التي تقف وراء الهجوم تقوم بعمليات تجسس إلكتروني. ومن المثير للاهتمام ، أن هذا ليس هدفًا نموذجيًا أو منهجية للمجموعة التي تحمل اسم 'Buhtrap' ، وبالتالي يشير الاستغلال بقوة إلى أن المجموعة ربما تكون قد تمحورت.

أكدت شركة ESET السلوفاكية المتخصصة في مكافحة الفيروسات أن مجموعة قراصنة تعرف باسم Buhtrap تقف وراء ثغرة أمنية حديثة في نظام التشغيل Windows OS والتي تم استغلالها في البرية. هذا الاكتشاف مثير للاهتمام ومثير للقلق إلى حد ما لأن أنشطة المجموعة تم تقليصها بشدة قبل بضع سنوات عندما تم تسريب قاعدة برمجياتها الأساسية عبر الإنترنت. استخدم الهجوم ثغرة يوم الصفر لنظام التشغيل Windows تم إصلاحها للتو لإجراء تجسس إلكتروني. هذا بالتأكيد تطور جديد مقلق في المقام الأول لأن Buhtrap لم يبد أبدًا اهتمامًا باستخراج المعلومات. تضمنت الأنشطة الأساسية للمجموعة سرقة الأموال. عندما كانت نشطة للغاية ، كانت أهداف Buhtrap الأساسية هي المؤسسات المالية وخوادمها. استخدمت المجموعة برمجياتها ورموزها الخاصة للإضرار بأمن البنوك أو عملائها لسرقة الأموال.

بالمناسبة ، أصدرت Microsoft للتو تصحيحًا لمنع ثغرة نظام التشغيل Windows OS. حددت الشركة الخطأ ووضعته CVE-2019-1132 . كان التصحيح جزءًا من حزمة Patch Tuesday لشهر يوليو 2019.

محاور بوحتراب للتجسس الإلكتروني:

أكد مطورو ESET تورط Buhtrap. علاوة على ذلك ، أضاف صانع مكافحة الفيروسات أن المجموعة متورطة في إجراء تجسس إلكتروني. هذا يتعارض تمامًا مع أي مآثر سابقة لـ Buhtrap. بالمناسبة ، ESET على دراية بأحدث أنشطة المجموعة ، لكنها لم تكشف عن أهداف المجموعة.

ومن المثير للاهتمام ، أن العديد من الوكالات الأمنية قد أشارت مرارًا وتكرارًا إلى أن Buhtrap ليس جماعة قراصنة عادية ترعاها الدولة. الباحثون الأمنيون واثقون من أن المجموعة تعمل بشكل أساسي من روسيا. غالبًا ما تتم مقارنتها بمجموعات القرصنة المركزة الأخرى مثل Turla و Fancy Bears و APT33 و Equation Group. ومع ذلك ، هناك اختلاف واحد جوهري بين Buhtrap والآخرين. نادرا ما تظهر الجماعة أو تتحمل المسؤولية عن هجماتها علنا. علاوة على ذلك ، كانت أهدافها الأساسية دائمًا المؤسسات المالية وكانت المجموعة تسعى وراء المال بدلاً من المعلومات.

تستخدم مجموعة Buhtrap صفر يوم في حملات التجسس الأخيرة: يكشف بحث ESET عن مجموعة إجرامية سيئة السمعة تقوم أيضًا بحملات تجسس على مدار السنوات الخمس الماضية. https://t.co/mvCyy424cg pic.twitter.com/9OJ6nXZ1sT

- شاه شيخ (shah_sheikh) 11 يوليو 2019

ظهرت Buhtrap لأول مرة في عام 2014. أصبحت المجموعة معروفة بعد أن طاردت العديد من الشركات الروسية. كانت هذه الشركات صغيرة الحجم ، وبالتالي لم تقدم عمليات السطو الكثير من العائدات المربحة. ومع ذلك ، بعد تحقيق النجاح ، بدأت المجموعة في استهداف مؤسسات مالية أكبر. بدأ Buhtrap في ملاحقة البنوك الروسية الخاضعة لحراسة جيدة نسبيًا والمؤمنة رقميًا. يشير تقرير من Group-IB إلى أن مجموعة Buhtrap تمكنت من الإفلات بأكثر من 25 مليون دولار. إجمالاً ، داهمت المجموعة بنجاح حوالي 13 مصرفاً روسياً ، ادعى الأمن- شركة سيمانتيك . ومن المثير للاهتمام ، أن معظم عمليات السرقة الرقمية تم تنفيذها بنجاح بين أغسطس 2015 وفبراير 2016. وبعبارة أخرى ، تمكنت Buhtrap من استغلال حوالي بنكين روسيين شهريًا.

توقفت أنشطة مجموعة Buhtrap فجأة بعد باب خلفي Buhtrap الخاص بهم ، حيث ظهرت مجموعة مطورة ببراعة من أدوات البرامج على الإنترنت. تشير التقارير إلى أن بعض أعضاء المجموعة نفسها ربما قاموا بتسريب البرنامج. في الوقت الذي توقفت فيه أنشطة المجموعة بشكل مفاجئ ، سمح الوصول إلى مجموعة أدوات البرامج القوية للعديد من مجموعات القرصنة الصغيرة بالازدهار. باستخدام البرنامج المتقن بالفعل ، بدأت العديد من المجموعات الصغيرة في شن هجماتها. كان العيب الرئيسي هو العدد الهائل من الهجمات التي حدثت باستخدام باب خلفي في Buhtrap.

منذ تسرب الباب الخلفي لـ Buhtrap ، تحولت المجموعة بنشاط إلى شن هجمات إلكترونية بنية مختلفة تمامًا. ومع ذلك ، يدعي باحثو ESET أنهم رأوا تكتيكات التحول الجماعي منذ فترة طويلة في ديسمبر 2015. على ما يبدو ، بدأت المجموعة في استهداف الوكالات والمؤسسات الحكومية ، كما لاحظت ESET ، 'من الصعب دائمًا إسناد حملة إلى ممثل معين عندما شفرة المصدر متاحة مجانًا على الويب. ومع ذلك ، نظرًا لأن التحول في الأهداف حدث قبل تسريب شفرة المصدر ، فإننا نقيم بثقة عالية أن نفس الأشخاص الذين يقفون وراء هجمات البرامج الضارة الأولى من Buhtrap ضد الشركات والبنوك يشاركون أيضًا في استهداف المؤسسات الحكومية '.

من المؤكد أن Buhtrap لديه تطور غريب…. من سرقة 25 مليون دولار من البنوك الروسية ... إلى تنفيذ عمليات التجسس الإلكتروني. هل هذا هو تأثير بوجاتشيف؟ pic.twitter.com/nuQ7ZKPU1Y

- كاتالين سيمبانو (campuscodi) 11 يوليو 2019

نظام 32 المنبثقة

تمكن باحثو ESET من ادعاء يد Buhtrap في هذه الهجمات لأنهم تمكنوا من تحديد الأنماط واكتشاف العديد من أوجه التشابه في طريقة تنفيذ الهجمات. 'على الرغم من إضافة أدوات جديدة إلى ترسانتهم والتحديثات المطبقة على الأدوات القديمة ، فإن التكتيكات والتقنيات والإجراءات (TTP) المستخدمة في حملات Buhtrap المختلفة لم تتغير بشكل كبير على مدار كل هذه السنوات.'

هل تستخدم Buhtrap ثغرة أمنية لنظام التشغيل Windows يمكن شراؤها على شبكة الويب المظلمة؟

من المثير للاهتمام ملاحظة أن مجموعة Buhtrap استخدمت ثغرة أمنية داخل نظام التشغيل Windows والتي كانت حديثة تمامًا. بعبارة أخرى ، قامت المجموعة بنشر ثغرة أمنية يُشار إليها عادةً بـ 'يوم الصفر'. عادة ما تكون هذه العيوب غير مصححة وليست متاحة بسهولة. بالمناسبة ، استخدمت المجموعة نقاط ضعف أمنية في نظام التشغيل Windows من قبل. ومع ذلك ، فقد اعتمدوا عادةً على مجموعات قراصنة أخرى. علاوة على ذلك ، كان لمعظم الثغرات تصحيحات أصدرتها شركة Microsoft. من المحتمل جدًا أن المجموعة أجرت عمليات بحث بحثًا عن أجهزة Windows غير مسبوقة للتسلل.

هذا هو أول مثيل معروف حيث استخدم مشغلو Buhtrap ثغرة أمنية لم يتم إصلاحها. بعبارة أخرى ، استخدمت المجموعة ثغرة يوم الصفر الحقيقية داخل نظام التشغيل Windows. نظرًا لأن المجموعة تفتقر بوضوح إلى مجموعة المهارات اللازمة لاكتشاف العيوب الأمنية ، يعتقد الباحثون بقوة أن المجموعة ربما اشترت نفس الشيء. يعتقد Costin Raiu ، الذي يرأس فريق البحث والتحليل العالمي في Kaspersky ، أن ثغرة يوم الصفر هي في الأساس عيب 'رفع الامتياز' الذي يبيعه وسيط استغلال معروف باسم فولوديا. هذه المجموعة لها تاريخ في بيع ثغرات يوم الصفر لكل من جرائم الإنترنت ومجموعات الدولة القومية.

بوحتراب # البرامج الضارة مع نمط (وحجم) نموذجي من base64 القابل للتنفيذ المشفر مضمن في ملف doc. https://t.co/SOt3XtZ8KH pic.twitter.com/dYBSMLFLx6

- مارك أوشسنماير (ochsenmeier) 11 يوليو 2019

هناك شائعات تزعم أن محور Buhtrap للتجسس الإلكتروني كان يمكن إدارته بواسطة المخابرات الروسية. على الرغم من عدم صحة النظرية ، إلا أنها قد تكون دقيقة. قد يكون من الممكن أن تكون المخابرات الروسية قد جندت Buhtrap للتجسس لصالحهم. يمكن أن يكون المحور جزءًا من صفقة للتسامح مع تجاوزات المجموعة السابقة بدلاً من بيانات الشركة أو الحكومة الحساسة. يُعتقد أن إدارة المخابرات الروسية قد دبرت مثل هذا النطاق الواسع من خلال مجموعات قرصنة تابعة لجهات خارجية في الماضي. زعم باحثو الأمن أن روسيا تجند بشكل منتظم ولكن بشكل غير رسمي أفراد موهوبين لمحاولة اختراق أمن الدول الأخرى.

ومن المثير للاهتمام ، أنه في عام 2015 ، كان يُعتقد أن Buhtrap شارك في عمليات تجسس إلكتروني ضد الحكومات. زعمت حكومات دول أوروبا الشرقية وآسيا الوسطى بشكل روتيني أن المتسللين الروس حاولوا اختراق أمنهم في عدة مناسبات.