كاسبرسكي لاب تكتشف ثغرة أمنية في "أدوبي فلاش"

تمكّن نظام كاسبرسكي لاب المتقدم للحماية من عمليات الاستغلال من اكتشاف عملية استغلال خبيثة لثغرة أمنية في برنامج "فلاش" من "أدوبي" Adobe Flash، تمّت خلال هجوم وقع يوم 10 أكتوبر الجاري ونفذته جهة تهديد تُعرف باسم BlackOasis. وجرت عملية استغلال الثغرة الأمنية واختراقها باستخدام ملف "وورد" من مايكروسوفت Microsoft Word قام بنشر برمجية FinSpy التجارية الخاصة بالتجسس. وقامت كاسبرسكي لاب، على الأثر، برفع تقرير بشأن الثغرة وحالة الاختراق إلى شركة "أدوبي"، التي سارعت إلى نشر بيان تحذيري للمستخدمين تضمّن إرشادات بشأن ما يجب فعله لإصلاح الثغرة.

وتمكّن باحثون لدى كاسبرسكي لاب من رصد الثغرة الأمنية CVE-2017-11292، خلال هجوم مباشر، ما جعل الشركة تطلب على الفور من الشركات والجهات الحكومية المسارعة إلى تثبيت التحديث الذي قدّمته "أدوبي".

ويعتقد الباحثون في كاسبرسكي لاب أن المجموعة الكامنة وراء الهجوم كانت مسؤولة أيضاً عن هجوم وقع في سبتمبر الماضي مستغلاً ثغرة أمنية أخرى (CVE-2017-8759). وقال الخبراء إنهم واثقون من أن جهة التهديد المنفذة للهجوم هي BlackOasis، التي بدأ فريق البحث والتحليل العالمي التابع لكاسبرسكي لاب بتتبعها في العام 2016.

وكشف التحليل الذي أجراه خبراء كاسبرسكي لاب، عن أن الاستغلال الناجح للثغرة يؤدي إلى تثبيت البرمجية الخبيثة FinSpy (المعروفة كذلك باسم FinFisher) على جهاز الحاسوب المستهدف. وتُعدّ FinSpy برمجية خبيثة تجارية عادة ما تُباع إلى حكومات أو جهات لتطبيق القانون نظراً لإتاحتها القيام بعمليات مراقبة. وكان استخدام جهات تطبيق القانون للبرمجيات الخبيثة في الماضي يتم على الصعيد المحلي في غالب الأحيان، بُغية مراقبة أهداف محلية. بيد أن BlackOasis مثّلت استثناء كبيراً في نهج الاستخدام هذا، إذ استخدمته ضد مجموعة واسعة من الأهداف في أنحاء العالم، ما يوحي بأنه يجري حالياً اللجوء إلى استخدام FinSpy في عمليات استخبارية عالمية بين الدول. ويرى مختصون أن الشركات التي تقوم بتطوير برامج المراقبة مثل FinSpy تسهم في احتدام "سباق التسلح" هذا.

وتمثل البرمجيات الخبيثة المستخدمة في الهجوم أحدث نسخة من FinSpy، وهي مجهزة بأسلوب تقني متعدد الأوجه لمقاومة القدرات التحليلية من أجل تعقيد عمليات البحث الجنائية وجعلها أكثر صعوبة.

وتؤسس البرمجيات الخبيثة، بعد تثبيتها، موطئ قدم على الحاسوب المستهدف بالهجوم، وترتبط بخوادم قيادة وتحكم موجودة في سويسرا وبلغاريا وهولندا، انتظاراً لمزيد من التعليمات بهدف سرقة البيانات.

وتشمل مصالح BlackOasis، التي يعني اسمها "الواحة السوداء"، مجموعة كاملة من الشخصيات ذات الصلة بالأوضاع السياسية في الشرق الأوسط، تضمّ موظفين بارزين في الأمم المتحدة ومدونين وناشطين من المعارضة، فضلاً عن مراسلين إعلاميين إقليميين، وفقاً لتقديرات كاسبرسكي لاب. ويبدو أن للمجموعة مصالح في قطاعات ذات أهمية خاصة للمنطقة التي تنشط بها؛ فخلال العام 2016، لاحظ باحثون في كاسبرسكي لاب اهتماماً كبيراً لدى المجموعة بأنغولا، بناء على ما اتضح من وثائق تشير إلى أهداف مشتبه في ارتباطها بالنفط وغسل الأموال وغيرها من الأنشطة. كما أن لدى المجموعة اهتماماً بناشطين دوليين وبمفكرين ومراكز للفكر.

ولوحظ حتى الآن تركّز ضحايا BlackOasis في روسيا والعراق وأفغانستان ونيجيريا وليبيا والأردن وتونس والمملكة العربية السعودية وإيران وهولندا والبحرين وبريطانيا وأنغولا.

وفي هذا السياق، قال أنتون إيڤانوڤ كبير محلّلي البرمجيات الخبيثة لدى كاسبرسكي لاب، إن الهجوم الذي استغلّ الثغرة المكتشفة حديثاً "هو ثالث حادث نشهد فيه توزيع برمجية FinSpy التجسسية هذا العام عبر ثغرات أمنية"، مشيراً إلى أن الجهات التي تقف وراء نشر هذا النوع من البرمجيات الخبيثة "استغَلت في السابق مشاكل حرجة في برنامج "وورد" من مايكروسوفت ومنتجات أدوبي". ورأى الخبير أن عدد الهجمات المعتمدة على برنامج FinSpy والمستغلة للثغرات "سوف يستمر في النمو".

لكن في المقابل، تواصل حلول كاسبرسكي لاب الأمنية النجاح في اكتشاف الهجمات التي تعتمد على الثغرات الأمنية المكتشفة حديثاً، ومنعها. وينصح خبراء الشركة جميع الشركات والمؤسسات باتخاذ بضعة إجراءات لحماية أنظمتها وبياناتها من هذا التهديد:

• استخدام ميزة Killbit في برنامج "فلاش" إذا لم تكن مستخدمة، مع الحرص على تعطيلها تماماً حيثما كان ذلك ممكناً.
• تنفيذ حل أمني متطور متعدد الطبقات يغطي جميع الشبكات والنظم والنقاط الطرفية.
• تثقيف الموظفين وتدريبهم على مواجهة تكتيكات الهندسة الاجتماعية، التي غالباً ما تستخدم لجعل الضحية يفتح مستنداً أو ملفاً ضاراً أو ينقر على رابط خبيث يعرّض حاسوبه للإصابة.
• إجراء تقييمات أمنية دورية منتظمة للبنية التحتية الخاصة بتقنية المعلومات في الشركة.
• استخدام حل Threat Intelligence من كاسبرسكي لاب، الخاص بالمعلومات الواردة بشأن التهديدات، والذي يتعقب الهجمات الإلكترونية والحوادث والتهديدات ويزوّد العملاء بمعلومات مهمة محدّثة. يمكن معرفة المزيد من خلال مراسلة البريد الإلكتروني intelreports@kaspersky.com.

تجدر الإشارة إلى أنه يمكن الحصول على تفاصيل تقنية تشمل مؤشرات وقوع الاختراقات الأمنية الإلكترونية وقواعد YARA، عبر قراءة المدونة على Securelist.com.