الرئيس التنفيذي
أشرف الحادي

رئيس التحرير
فاطمة مهران

خبراء كاسبرسكي يكتشفون الحلقه المفقوده بين الهجوم الرقمي على SolarWinds والمنفذ الخلفي Kazuar

أعلنت FireEye و Microsoft و SolarWinds عن اكتشاف هجوم كبير ومتطور لسلسلة التوريد أدى إلى نشر برنامج ضار جديد غير معروف سابقًا “Sunburst” تم استخدامه ضد عملاء Orion IT من SolarWinds.
استطاع خبراء من كاسبرسكي تحديد العديد من أوجه الشبه في الشيفرات البرمجية بين الإصدارات المعروفة من المنفذ الخلفي Kazuar، أحد البرمجيات الخبيثة التي تتيح الوصول عن بُعد إلى جهاز الضحية، والبرمجية الخبيثة Sunburst، التي استخدِمت في شنّ هجوم واسع ومعقّد من نوع هجمات سلاسل التوريد، استهدف مستخدمي منصة Orion من “سولار ويندز” (SolarWinds). ولم تكن البرمجية Sunburst معروفة قبل هذا الهجوم الذي كشفت عنه “سولار ويندز” في 13 ديسمبر الماضي في إعلان مشترك مع “مايكروسوفت” و”فاير آي”. ومنحت النتائج الجديدة الباحثين قدرة الاطلاع على ما قد يفيدهم في التحقيق في هذا الهجوم.
واكتشف خبراء كاسبرسكي أثناء دراستهم المنفذ الخلفي Sunburst عددًا من المزايا المشتركة مع نظيره Kazuar الذي كان قد حُدّد سابقًا بوصفه منفذًا خلفيًا جرت برمجته باستخدام .NET، وكان أبلغ عنه لأول مرة عن طريق شركة “بالو آلتو” في العام 2017 واستخدم في هجمات تجسس رقمي شُنت في جميع أنحاء العالم. وتشير أوجه الشبه المتعددة في الشيفرة البرمجية إلى وجود علاقة بين Kazuar وSunburst، وإن كانت ذات طبيعة غير محددة.
وتتضمن المزايا المتداخلة بين البرمجيتين وجود خوارزمية إنشاء معرّف UID للضحية، وخوارزمية “التنويم” والاستخدام المكثف لخوارزمية FNV-1a. وفقًا للخبراء، فإن هذه الأجزاء في الشيفرات البرمجية ليست متطابقة تمامًا، ما يشير إلى احتمال وجود علاقة بين Kazuar وSunburst، بالرغم من أن طبيعة هذه العلاقة ما زالت غير واضحة تمامًا.
وبعد استخدام البرمجية الخبيثة Sunburst لأول مرة في فبراير 2020، استمر تطوير Kazuar وأصبحت إصداراته اللاحقة في العام 2020 أكثر تشابهًا في بعض الجوانب مع Sunburst.
وبشكل عام، خلال السنوات التي شهدت تطوّر Kazuar، لاحظ الخبراء تطورًا مستمرًا بإضافة مزايا مهمة تشبه Sunburst. ويمكن أن تُعزى أوجه الشبه الجديرة بالملاحظة هذه بين Kazuar وSunburst إلى الكثير من الأسباب، مثل تطوير Sunburst من قبل المجموعة نفسها التي طوّرت Kazuar، أو أن مطوري Sunburst استلهموا Kazuar في عملهم، أو انتقال أحد مطوري Kazuar إلى فريق تطوير Sunburst، أو حصول كلتا المجموعتين اللتين تقفان وراء Sunburst وKazuar على البرمجية الخبيثة من المصدر نفسه.
وقال كوستين رايو مدير فريق البحث والتحليل العالمي لدى كاسبرسكي، إن العلاقة التي تم تحديدها بين البرمجيتين الخبيثين لا تكشف عمن كان يقف وراء هجوم SolarWinds، ولكنها مع ذلك، تتيح المزيد من الأفكار التي يمكن أن تساعد الباحثين على المضي قدمًا في هذا التحقيق، مؤكدًا أهمية انخراط باحثين آخرين من حول العالم في التحقيق في أوجه الشبه هذه ومحاولة اكتشاف المزيد من الحقائق حول Kazuar وأصل Sunburst، البرمجية الخبيثة المستخدمة في حادث اختراق “سولار ويندز”. وأضاف: “انطلاقًا من التجربة السابقة، وبالنظر مثلًا إلى هجوم WannaCry الشهير، ظهرت في الأيام الأولى أدلة قليلة جدًا تربطه بمجموعة Lazarus. وبمرور الوقت، ظهرت المزيد من الأدلة وسمحت لنا ولآخرين، بثقة عالية، بربط الهجوم بهذه العصابة، لذلك ثمّة حاجة إلى مزيد من البحث حول Kazuar للعثور على الحلقة المفقودة”.
ويمكن الحصول على مزيد من التفاصيل التقنية حول أوجه التشابه بين Sunburst وKazuar في التقرير الخاص على Securelist. كما يمكن الاطلاع على المزيد عن بحث كاسبرسكي عن Sunburst والتعرّف على سبل الحماية التي تتيحها كاسبرسكي لعملائها من هذا المنفذ الخلفي.
وتوصي كاسبرسكي باتباع التدابير التالية لتجنب مخاطر الإصابة بالبرمجيات الخبيثة مثل المنفذ الخلفي Sunburst:
• منح فريق مركز العمليات الأمنية إمكانية الوصول إلى أحدث معلومات التهديدات. وتُعدّ بوابة Kaspersky Threat Intelligence Portal منصة واحدة يمكن للمنشآت عبرها الوصول إلى أحدث المعلومات الخاصة بالتهديدات، حيث تتاح البيانات المتعلقة بالهجمات الإلكترونية والرؤى التي جمعتها كاسبرسكي بشأنها على مدار أكثر من 20 عامًا. ويمكن الوصول إلى المزايا المجانية لهذه المنصة والتي تتيح للمستخدمين تقييم الملفات وعناوين الويب وعناوين بروتوكول الإنترنت.
• المنشآت التي ترغب في إجراء تحقيقاتها الخاصة بإمكانها الاستفادة من Kaspersky Threat Attribution Engine. الذي يطابق بين الشيفرات البرمجية الخبيثة وقواعد بياناتها، ويستطيع بناءً على أوجه الشبه في الشيفرات البرمجية أن ينسبها إلى حملات تخريبية جرى الكشف عنها سابقًا.

أخبار ذات صلة

كاسبرسكي تكشف عن برمجية GhostContainer الجديدة تستهدف خوادم Microsoft Exchange

Nothing تكشف عن هاتفهاالرائد” 3 ” Nothing Phone في متحف المستقبل بدبي

GAMES OF THE FUTURE تستضيف 1,500 رياضي، يتنافسون في 13 تخصصًا رقميًا

تجمع قمة INMerge للابتكار 2025 القادة العالميين والمستثمرين في مجال التكنولوجيا في باكو

تعطل خدمات إنستا باي

جارتنر: نمو شحنات الكمبيوتر الشخصي بنسبة 4.4% خلال الربع الثاني من 2025

مايكروسوفت تزود Windows 11 بميزات غير مسبوقة

هواوي توسّع تجربة المحتوى داخل المركبات مع “أنغامي” و”نبض” لبناء منظومة محتوى عالمية متكاملة لمصنّعي السيارات

آخر الأخبار
جمارك مطار برج العرب الدولى تضبط محاولتي تهريب كمية من الأدوية البشرية مصر للطيران تنظم ورشة عمل لتطوير خدمات ذوي الهمم وزير الخارجية والهجرة يستقبل نظيره السعودي بمدينة العلمين منة شلبى: الحمد لله والدتى بخير.. وأشكر وأطمئن كل من قلق عليها وزارة الأوقاف تختتم دورة إعداد مدربين للواعظات حول قضية الغُرم بالتعاون مع مؤسسة مصر الخير نيسان باترول Patrol الجديدة كليًا تنطلق في مصر: أيقونة القوة والفخامة تضع معاييرًا جديدة للسيارات ال... الصحة: حملة «100 يوم صحة» قدمت أكثر من 2 مليون خدمة طبية مجانية في اليوم الأول لإطلاقها هل لا تزال أوروبا تملك تأثيرًا في مفاوضات أمريكا وإيران؟.. عضو حزب المحافظين البريطاني يكشف خبير ضريبي: رسميا.. ضريبة القيمة المضافة على شركات المقاولات أصبحت 14% بدلا من 5% رئيس الوزراء يتابع الإجراءات التنفيذية لمشروع "مبنى 4 " بمطار القاهرة الدولي أحمد سعد في صدارة يوتيوب تريند بـ٣ أغنيات من "بيستهبل" ٤٩ مليون و١٠٣ ألف جنيه حصيلة البيع بجلسة مزاد اليوم لبضائع وسيارات جمارك القاهرة والإسكندرية ومطروح "القابضة للسياحة" تقرر تكليف "هشام الدميري" قائمًا بأعمال العضو المنتدب التنفيذي لشركة "إيجوث" كاسبرسكي تكشف عن برمجية GhostContainer الجديدة تستهدف خوادم Microsoft Exchange تشغيل خدمة جديدة بعربات ثالثة مكيفة على خط القاهرة – مرسى مطروح الرئيس السيسي يصدق على قانون بتعديل بعض أحكام "الضريبة على القيمة المضافة" وزير السياحة والآثار يستقبل رئيس هيئة قطر للسياحة لبحث سبل تعزيز التعاون السياحي بين البلدين وزير المالية: نسعى لتعزيز دور القطاع الخاص فى كل القطاعات الاقتصادية والإنتاجية أمازون مصر تعلن عن موعد موسم تخفيضات "يوم برايم 2025" محمد عبد الله ضمن قائمة "فوربس الشرق الأوسط" لأقوى الرؤساء التنفيذيين الإقليميين لأكبر الشركات العال...