عملية تجسس تركز على أهداف أمريكية باستخدام برنامج Java

كتبت – إيناس الجبالي:

اكتشف فريق البحوث الأمنية بكاسبرسكي لاب مؤخرا عن تفاصيل أخرى تتعلق بـIcefog، وهي مجموعة صغيرة تعمل في مجال التهديدات المطورة المستمرة وتركز على أهداف في كوريا الجنوبية واليابان، تصيب سلسلة الإمداد للشركات الغربية. وبدأت الحملة في 2011 وتوسعت خلال السنوات الفائتة.

أما Icefog، الذي يعرف أيضا باسم "Dagger Panda" بحسب اتفاقية Crowdstrike للتسمية، فقد قام بإصابة أهداف في كوريا الجنوبية واليابان تحديدا، وتستغرق الهجمة عدة أيام أو أسابيع في العادة، وعندما يحصل المهاجمون على مبتغاهم، يغادرون. بحسب كاسبرسكي لاب، فإن طبيعة "اضرب واهرب" التي يتميز بها هجمات Icefog تبين أن هناك نزعة جديدة بدأت بالظهور: عصابات صغيرة من نوع "اضرب واهرب" تبحث عن المعلومات بدقة.

منذ أن تم وصف حملة Icefog لأول مرة في سبتمبر 2013، غاب مهاجمو Icefog عن الساحة وقاموا بإغلاق جميع خوادم الأوامر والمراقبة. إلا أن المتابعة المتواصلة للحملة دلت الخبراء على وجود رابط بين Java وIcefog، ليشار إليه فيما بعد بـJavafog، مكتشفين جيلا جديدا من برامج backdoor المستخدمة من قبل المهاجمين

وبحسب الباحثين، نظرا لأن برمجيات Java الخبيثة، التي ليست بشهرة برمجيات Windows PE الخبيثة، فإنه يصعب اكتشافها. في الواقع، خلال عملية "حفرة الإغراق" التي أجريت لنطاق "lingdona[dot]com"، وجد الباحثون 8 عناوين IP لثلاث ضحايا Javafog تتواجد جميعها في الولايات المتحدة الأمريكية. وتبين أن أحد هذه الأهداف شركة أمريكية كبيرة مستقلة للنفط والغاز تمارس نشاطها في دول أخرى كثيرة.

في بحث آخر، تناول الفريق هجمة أخرى تبدأ عبر استغلال الثغرات في برامج microsoft office، وبعدها يحاول المهاجمون نشر وتشغيل Javafog.

في تقارير سابقة، أقر الباحون أنه انطلاقا من قائمة عنواين IP المستخدمة في مراقبة البنية التحتية، فإن بعض المهاجمين المشاركين في الحملة تركزوا في 3 بلدان على الأقل: الصين، كوريا الجنوبية واليابان.

لمتابعة أهم وأحدث الأخبار اشترك الآن في خدمة مصراوي للرسائل القصيرة.. للاشتراك ...اضغط هنا