رام الله مكس – اكتشفت شركة “فاير آي” مؤخراً، “برمجية خبيثة متطورة للغاية” قادرة على تعطيل عمليات فحص أداء النظام التقليدية، تستخدم من قبل عصابة إلكترونية للوصول إلى بيانات الإجراءات المالية الحساسة.
وتمكنت “مانديانت” وهي مجموعة “فاير آي” الأمنية للكشف عن الهجمات الإلكترونية، من التعرف على إحدى عصابات القرصنة الإلكترونية ذات الدوافع المالية والتي تستهدف السطو على بيانات بطاقات الدفع باستخدام البرمجيات الخبيثة المتطورة التي تنشط قبل إقلاع نظام التشغيل، وفق ما أفادت البوابة العربية للأخبار التقنية.
وتُعرف هذه التقنية، التي قلما تشاهد، باسم “bootkit”، إذ تعمل على إصابة مكونات النظام الأدنى مستوى من حيث الأهمية، مما يجعل من الصعب جداً اكتشافها. إذ بمجرد تثبيت البرمجية الخبيثة في موقعها المحدد يعني أنها ستبقى نشطة وفاعلة، حتى بعد مرحلة إعادة تثبيت نظام التشغيل التي تعتبر من منظور شريحة واسعة من عامة الناس على أنها من أكثر الطرق الفاعلة للتخلص من البرمجيات الخبيثة.
وتبيّن بعد تتبع هذه البرمجية الخبيثة أنها تشغّل عن طريق عصابة إلكترونية تسعى وراء أهداف مالية تعرف باسم FIN1، ويقع مقرها في روسيا أو في بلد يتحدث اللغة الروسية، وذلك استناداً إلى إعدادات اللغة المستخدمة في كثير من وسائل الهجوم الشائعة. وتشتهر هذه العصابة ببراعتها في سرقة البيانات التي يتم الحصول عليها بسهولة من مؤسسات الخدمات المالية مثل البنوك والاتحادات الائتمانية وعمليات أجهزة الصراف الآلي، وشركات إنجاز المعاملات المالية ومزودي الخدمات المالية للشركات.
وتشتمل Nemesis، وهي البيئة الإيكولوجية للبرمجية الخبيثة المستخدمة من قبل عصابة FIN1، على حزمة شاملة من برامج التسلل من الباب الخلفي backdoors التي تدعم طيفاً متنوعاً من بروتوكولات الشبكة وقنوات الاتصال الخاصة بمنصات التحكم والسيطرة. وهي تمنح مجموعة من الإمكانات القوية، بما في ذلك نقل الملفات والتقاط صور للشاشة الرئيسية وتسجيل ضربات لوحة المفاتيح والتلاعب في عمليات الإنجاز وجدولة المهام. وتقوم العصابة باستمرار بتحديث البرمجية الخبيثة أثناء الاختراق المتواصل لبيئات الضحية، وذلك عن طريق نشر بدائل مختلفة للأدوات نفسها وإدخال مهام جديدة بين الأنماط المتكررة.
ويشير الاستخدام الانتقائي لبرمجية bootkit الخبيثة، التي تعمل على توفير منصة اختراق دائمة، إلى أنه من الممكن لبعض مجرمي الإنترنت استخدام وسائل قرصنة إلكترونية أكثر تطوراً وتعقيداً. فقد يقوم مجرمو الإنترنت باستخدام هذه الوسائل الخبيثة المتقدمة على نحو انتقائي في حال كان من الصعب اختراق الشركة الضحية أو في حال كانت البيانات المستهدفة ذات قيمة عالية. ويحرص القراصنة على ضمان توفير بوابة دخول دائم لهم إلى البيئة المخترقة.
ومن أبرز خصائص برمجيات bootkits الخبيثة صعوبة اكتشافها، إذ إنه من الممكن تثبيتها وتفعيلها بشكل تام تقريباً خارج نطاق نظام التشغيل ويندوز. ونظراً لأن منصة تثبيت هذه البرمجية الخبيثة يتم تشغيلها قبل إقلاع نظام التشغيل ويندوز نفسه بشكل كلي، فهي لا تخضع لاختبارات جودة وأداء نظام التشغيل الاعتيادية.
