اخبار التقنيه كاسبرسكي تنشر نتائج التحقيق الداخلي المتعلق بحادثة الشيفرة المصدرية للبرمجية الخبيثة Equation APT

في أوائل شهر تشرين الأول/أكتوبر الماضي، نشرت صحيفة وول ستريت جورنال تقريرًا ذكرت فيه أن برنامجًا لمكافحة الفيروسات من كاسبرسكي لاب اُستخدم من أجل تحميل بيانات سرية من حاسب أحد موظفي وكالة الأمن القومي الأمريكية.

وردًا على التقرير قالت الشركة الروسية الرائدة في مجال أمن المعلومات إنها “تعاملت مع هذه الادعاءات بجدية عالية، حيث قامت بإجراء تحقيق داخلي شامل لجمع الحقائق حول هذا الأمر ومعالجة أي مخاوف ناجمة عنه”.

وقد تم نشر النتائج الأولية للتحقيق في 25 تشرين الأول/أكتوبر الماضي، إذ سلط التقرير الضوء على النتائج العامة التي توصلت إليها الشركة بحثًا عن أية أدلة مرتبطة بالحادثة المزعومة التي نشرتها وسائل الإعلام.

واليوم نشرت كاسبرسكي تقريرًا جديدًا قالت إنه يؤكد النتائج الأولية، ويقدم معلومات ورؤى إضافية للتحليل الخاص بآلية القياس التي تعتمدها حزمة برامج كاسبرسكي لاب المتعلقة بالحادثة المذكورة. وتصف آلية القياس لهذا النشاط المشبوه المسجل على الحاسب المعني ضمن الإطار الزمني للحادثة التي وقعت في العام 2014.

وجاء في التقرير الجديد أنه في 11 أيلول/سبتمبر 2014، أبلغ برنامج كاسبرسكي لاب، الذي تم تنزيله على جهاز حاسب مستخدم في الولايات المتحدة، عن إصابة الجهاز بما يبدو أنه نوع جديد ومختلف من البرمجيات الخبيثة، التي تستخدمها مجموعة Equation APT، الناشطة في مجال الهجمات الإلكترونية المتطورة، والتي تخضع أنشطتها وممارساتها للتحقيق منذ شهر آذار/مارس 2014.

وذكرت الشركة أنه يبدو أن المستخدم قام في وقت لاحق بتنزيل وتثبيت أحد البرامج المقرصنة على الجهاز، وتحديدًا ملف Microsoft Office ISO، وأداة تفعيل حزمة برامج Microsoft أوفيس 2013 غير قانونية (تعرف باسم “keygen”). ولتثبيت النسخة المقرصنة من حزمة برامج أوفيس 2013، يبدو أن المستخدم قام بإيقاف عمل برنامج كاسبرسكي لاب على الحاسب الخاص به، نظرًا لعدم إمكانية تشغيل أداة التفعيل المقرصنة وغير القانونية أثناء عمل برنامج مكافحة الفيروسات.

وأضافت كاسبرسكي أن أداة التفعيل غير القانونية المدرجة ضمن حزمة برامج أوفيس 2013 كانت تحتوي على برمجية خبيثة، وبذلك أصيب المستخدم بهذه البرمجية الخبيثة لفترة غير محددة من الزمن، وهي الفترة التي تم خلالها إيقاف عمل برنامج كاسبرسكي لاب. هذه البرمجية الخبيثة كانت تحتوي على ثغرات خفية ومفتوحة تسمح لأطراف ثالثة أخرى بالوصول إلى جهاز المستخدم.

وعند إعادة تشغيله، قالت الشركة إن برنامج كاسبرسكي لاب اكتشف البرمجية الخبيثة الضارة التي تحمل اللاحقة Backdoor.Win32.Mokes.hvl، وقام بحظرها لمنع أي عملية اتصال بخادم الأوامر والتحكم. وكان أول رصد لبرنامج الإعداد الخبيث بتاريخ 4 أكتوبر 2014.

وبالإضافة إلى ذلك، كشف برنامج مكافحة الفيروسات أيضًا عن أشكال جديدة وأخرى معروفة مسبقًا من البرمجية الخبيثة الشهيرة Equation APT. وقد كان أحد الملفات التي اكتشفها البرنامج نسخة جديدة ومختلفة عن البرمجية الخبيثة Equation APT، وهو على شكل ملف أرشيف مضغوط يحمل الاسم 7zip، تم إرساله إلى مختبرات فحص الفيروسات لدى شركة كاسبرسكي لإجراء المزيد من عمليات التحليل وفقا لإتفاقية المستخدم النهائي ورخصة كاسبرسكي لأمن الشبكات.

واكتشفت عمليات التحليل احتواء ملف الأرشيف على عدة ملفات، بما فيها مجموعة من الأدوات المعروفة والمجهولة الخاصة بمجموعة Equation، وشيفرة المصدر، إلى جانب مستندات سرية. وعليه، أبلغ المحلل الرئيس التنفيذي بأمر هذه الحادثة. واستنادًا إلى توجيهات الرئيس التنفيذي، تم حذف ملف الأرشيف، وشيفرة المصدر، وأية بيانات سرية في غضون أيام من كافة أنظمة الشركة. ومع ذلك، يتم الاحتفاظ بالملفات الثنائية للبرمجيات الخبيثة المشروعة لدى شركة كاسبرسكي لاب. ولم يتم مشاركة ملف الأرشيف مع أي طرف ثالث.

أما الأسباب التي استعدت قيام شركة كاسبرسكي لاب بحذف هذه الملفات، وحذفها لكافة الملفات المماثلة لها في المستقبل، فتستند، وفقًا للشركة، إلى شقين، الأول أن الشركة تحتاج للبرمجيات الخبيثة الثنائية فقط للعمل على تحسين مستوى الحماية، والثاني وجود مخاوف ترتبط باحتمالية التعامل مع ملفات سرية.

وبسبب هذا الحادث، طرحت كاسبرسكي لاب سياسة جديدة لكافة محللي البرمجيات الخبيثة، وتتمثل في وجوب حذف أي ملفات يمكن أن تصنيف كلمات سرية يتم جمعها عن طريق الخطأ خلال الأبحاث الخاصة بمكافحة البرمجيات الخبيثة. ولم يكشف التحقيق عن أية حوادث مماثلة أخرى خلال العام 2015، أو 2016، أو 2017. وحتى الآن، لم يتم الكشف عن أي تدخل لطرف ثالث باستثناء Duqu 2.0 ضمن شبكات كاسبرسكي لاب.

ولتحقيق مستوى أعلى من الموضوعية حيال مسألة التحقيق الداخلي، حرصت كاسبرسكي لاب على الاستعانة بالعديد من المحللين، بمن فيهم محللون من أصول غير روسية، ويعملون خارج روسيا، لتجنب أي اتهامات محتملة بشأن التدخل في مسار التحقيق.

وأفادت أبرز الاكتشافات الرئيسية الأولية في مسار التحقيق أن جهاز الحاسب المذكور كان مصابًا بالبرمجية الخبيثة Mokes backdoor، التي تتيح لقراصنة الإنترنت الوصول عن بعد إلى الجهاز. وكجزء من التحقيق، أجرى خبراء شركة كاسبرسكي لاب تحليلًا أعمق لهذه البرمجية الخفية، وعلى غيرها من المؤشرات التي لا تنتمي لمجموعة Equation المرتبطة بهذا التهديد، التي تم إرسالها من جهاز الحاسب.

وتشتهر برمجية Mokes backdoor الخبيثة (المعروفة أيضًا باسم Smoke Bot أو Smoke Loader) بأنها ظهرت على صفحات المنتديات الروسية ضمن شبكة الإنترنت الخفية، حيث تم طرحها للشراء في العام 2011. وقد أظهرت أبحاث شركة كاسبرسكي لاب أنه خلال الفترة بين شهري سبتمبر ونوفمبر 2014، تم تسجيل ربط خوادم الأوامر والتحكم الخاصة بهذه البرمجيات الخبيثة مع كيان صيني محتمل يحمل الاسم Zhou Lou. كما أظهرت نتائج عمليات التحليل الأعمق، التي قامت بها شركة كاسبرسكي لاب، أن برمجية Mokes backdoor الخبيثة قد لا تكون البرمجية الخبيثة الوحيدة التي أصابت جهاز الحاسب المعني وقت الحادثة، حيث تم الكشف عن وجود غيرها من أدوات التفعيل الـ keygens غير القانونية على نفس الجهاز.

وعلى مدى شهرين، أبلغ البرنامج عن 121 تنبيه ترتبط ببرمجيات خبيثة لا تنتمي لمجموعة Equation، بما فيها برمجيات التسلسل backdoors، والاحتيال exploits، والـ Trojans، والـ AdWare. وتشير جميع هذه التنبيهات، إلى جانب عدد محدود من عمليات الاستقصاء عن بعد، إلى أنه عند قيام البرنامج برصد هذه البرمجيات الخبيثة والتهديدات، من المستحيل معرفة وتحديد فيما إذا كانت قد بدأت العمل خلال الفترة التي تم إيقاف البرنامج فيها.

وتواصل شركة كاسبرسكي لاب بحث ودراسة عينات البرمجيات الخبيثة الأخرى، حيث ستقوم بنشر المزيد من النتائج بمجرد الانتهاء من عمليات التحليل.

أما بالنسبة للاستنتاجات العامة للتحقيق حتى الآن، فتشمل أن البرنامج عمل كما هو متوقع منه، حيث قام بإخطار خبراء ومحللو الشركة بالتنبيهات بناءً على النسخة المعتمدة، والكشف عن البرمجية الخبيثة الخاصة بمجموعة Equation APT، التي كانت بالفعل قيد التحقيق منذ ستة أشهر. كل هذا وفقا لوصف وظيفة المنتج المعلنة، والسيناريوهات، والمستندات القانونية التي وافق عليها المستخدم قبل تثبيت البرنامج.

كما تم سحب ما يعتقد بأنها بيانات سرية محتملة، نظرًا لإدراجها ضمن ملف الأرشيف الذي تم نشره بإشارة من برمجية Equation APT الخبيثة. وإلى جانب البرمجيات الخبيثة، احتوى ملف الأرشيف أيضًا فيما ما يبدو على شيفرة المصدر الخاصة برمجية Equation APT الخبيثة، مع أربعة ملفات “وورد” نصية مصنفة بعلامات تبويب “سرية”. ولا تمتلك شركة كاسبرسكي لاب معلومات حول محتوى هذه الملفات، فقد تم حذفها خلال أيام.

ولا تستطيع شركة كاسبرسكي لاب التقييم فيما إذا كانت البيانات قد “تم التعامل معها بشكل مناسب أم لا ” (وفقًا لمعايير وقواعد الحكومة الأمريكية)، حيث لم يتم تدريب خبراء ومحللو الشركة للتعامل مع المعلومات السرية الخاصة بالولايات المتحدة، كما أنه لا تقع على عاتقهم أية مسؤولية أو التزام قانوني للقيام بذلك. فالمعلومات لم تتم مشاركتها مع أية جهة ثالثة.

وخلافًا لما أشار إليه عدد من وسائل الإعلام، لم يتم العثور على أي دليل على محاولة خبراء وباحثي شركة كاسبرسكي لاب، وفي أي وقت من الأوقات، إصدار تراخيص “غير نشطة” تهدف إلى البحث عن ملفات “وورد” نصية تحتوي على كلمات مثل “سري للغاية” و”سرية”، وغيرها من الكلمات المشابهة.

وتشير الإصابة بالبرمجية الخبيثة Mokes backdoor، واحتمالية الإصابة بغيرها من البرمجيات الخبيثة الأخرى التي لا تنتمي لمجموعة Equation، إلى احتمال تسريب بيانات المستخدم إلى عدد غير معروف من الأطراف الثالثة، وذلك نتيجة الوصول عن بعد إلى جهاز الحاسب.

وانطلاقًا مما قالت كاسبرسكي لاب إنها سياسة الشفافية المطلقة التي تنتهجها، فإنها على استعداد لتقديم تفاصيل إضافية حول التحقيق بطريقة مسؤولة إلى الأطراف المعنية من الهيئات الحكومية، والعملاء ذوي الصلة، حول التقارير التي قامت وسائل الإعلام بنشرها حديثًا.

اشترك فى النشرة البريدية لتحصل على اهم الاخبار بمجرد نشرها

تابعنا على مواقع التواصل الاجتماعى