دبي – مينا هيرالد: كشفت “فايرآي”، الشركة الرائدة في مجال التصدي للهجمات الإلكترونية المتطورة في وقتنا الحالي، مؤخراً عن موجة من الهجمات الإلكترونية ضد المصارف في الشرق الأوسط. حيث تعرف برنامج الاستطلاع الديناميكي للتهديدات(DTI) الخاص بالشركة على رسائل بريد إلكتروني تحتوي على مرفقات خبيثة يتم إرسالها لمصارف متعددة في المنطقة. ويبدو أن مصادر التهديد ترسل استطلاعًا أوليًا للجهات المستهدفة، وقد تم افتضاح أمرها لأنها تستخدم برامج نصية فريدة لا تستخدم عادة في حملات برمجيات إجرامية.
أرسل المهاجمون رسائل بريد إلكتروني متعددة تحتوي على ملفات تمكين وحدات الماكرو في برنامج “اكسل” للموظفين العاملين في القطاع المصرفي في منطقة الشرق الأوسط. وتكون مواضيع هذه الرسائل حول البنية التحتية لتكنولوجيا المعلومات، مثل تقرير حول حالة الخادم أو قائمة عن تفاصيل أجهزة “سيسكو آيرون بورت”. وفي إحدى الحالات، بدا محتوى البريد الإلكتروني طبيعياً على شكل محادثة بين عدد من الموظفين، واحتوى أيضاً على بيانات الاتصال لموظفين من عدة مصارف. وقد تم إرسال هذه الرسالة إلى عدة أشخاص، مع إرفاق ملف Excel الخبيث بها.
غالباً ما تستخدم ملفات تمكين وحدات الماكرو الخبيثة في حملات برمجيات الجريمة. ويعود سبب ذلك الى أن إعدادات Office الافتراضية تتطلب عادةً استخدام وحدات الماكرو لتشغيلها، كما يقنع المهاجمون الضحايا بتشغيل هذه الملفات الخطيرة من خلال إبلاغهم أنها ضرورية لعرض “المحتوى المحمي”. وواحدة من التقنيات مثيرة للاهتمام التي لفتت إنتباهنا هي أنه يتم عرض محتوى إضافي بعد تشغيل الماكرو بنجاح. وقد تم ذلك لغرض الهندسة الاجتماعية -على وجه التحديد، لإقناع الضحية أن تشغيل ملف الماكرو له نتيجة في الواقع من خلال “إظهار المحتوى” من جداول البيانات الإضافية. أما في حملات برمجيات الجريمة، نلاحظ عادة عدم عرض أي محتوى إضافي بعد تشغيل ملفات وحدات الماكرو. ومع ذلك، في هذه الحالة، يضيف المهاجمون خطوة اضافية لإخفاء أوراق العمل أو إظهارها عند تشغيل ملف الماكرو وذلك لتبديد أي شكوك.
والتقنية الأخرى المثيرة للاهتمام في هذه البرمجيات الخبيثة هي استخدام نظام أسماء النطاقاتDNS كقناة لاستخراج البيانات. ويتم اعتماد هذه التقنية لأنه غالباً ما يطلب نظام أسماء النطاقات لعمليات الشبكة العادية. فمن غير المحتمل أن يتم حظر بروتوكول DNS ما يسمح بإجراء اتصالات مجانية من الشبكة، كما أنه من غير المرجح أن يثير البروتوكول الشكوك بين المدافعين عن الشبكة.
يجعل التقدم الملحوظ الذي حققته المنطقة كمركز للأعمال المصرفية والتمويل منها هدفاً مغرياً للهجمات الإلكترونية. ورغم أن هذا الهجوم لم يحقق أي ثغرات فورية أو تقنيات متقدمة أخرى، كان من المثير للاهتمام أن نرى كيف استخدم المهاجمون المكونات المختلفة لأداء الأنشطة استطلاعاً لهدف محدد. يوضح هذا الهجوم أيضاً أن البرمجيات الخبيثة لا تزال فعالة حتى اليوم. ويمكن للمستخدمين حماية أنفسهم من مثل هذه الهجمات عن طريق تعطيل وحدات ماكرو في برامج Office من خلال الإعدادات الخاصة بهم، وكذلك بأن يكونوا أكثر يقظة عند تشغيل وحدات الماكرو في الوثائق خاصة عند الطلب، حتى وإن كانت هذه الوثائق تبدو من مصادر موثوقة.