بسم الله الرحمن الرحيم
الصلاة والسلام على اشرف المرسلين صلى الله عليه وسلم
السلام عليكم ورحمة الله
الشركات العالمية و البرمجيات الخبيثة Winnti Malware Rampages
وقع عدد من الشركات الدولية الكبرى ضحية لشكل من أشكال البرمجيات الخبيثة المعروفة منذ فترة طويلة أنها مفضلة من قبل مجموعات القرصنة الصينية. تم العثور على نوع من البرامج الضارة يسمى Winnti ، والذي يستخدم للتصفية الهادئة طويلة الأمد لبيانات الشركة القيمة ، على أنظمة ما لا يقل عن اثنتي عشرة شركة رئيسية تقوم بأعمال تجارية على المستوى الدولي. معظم الشركات التي أصيبت ببرنامج Winnti الخبيث في هذا الأخير كانت مقرها في ألمانيا ، ولكن تم استهداف شركات من سويسرا والولايات المتحدة واليابان وإندونيسيا أيضًا.
ماذا تفعل برامج Winnti الضارة؟
يرتبط Winnti بمجموعة قرصنة صينية راسخة تحمل نفس الاسم. وفقًا لتقرير بحثي لـ Kaspersky Labs ، تم اكتشاف هذا البرنامج الضار لأول مرة في عام 2009. وقد لفت انتباه باحثي الأمن في جميع أنحاء العالم في عام 2011 عندما تم نشره لسرقة كود من الألعاب الشهيرة عبر الإنترنت في ألمانيا واليابان وكوريا الجنوبية ، يتم اكتشافها فقط عندما تنتقل عن طريق الخطأ من خوادم ناشر اللعبة إلى أنظمة المشغل أثناء التحديث.
في السنوات الأولى من وجودها ، ركزت مجموعة Winnti على التجسس الجماعي لشركات ألعاب الفيديو. برنامج Winnti malware هو حصان طروادة كان الأول من نوعه لإصدار 64 بت من Windows. مرة واحدة على النظام ، فإنه يعطي بهدوء قدرات الإدارة عن بعد المهاجم التي تستخدم عادة لتسرب بيانات الشركة الحساسة على مدى فترة طويلة من الزمن.
من غير الواضح ما إذا كانت مجموعة Winnti تعمل دائمًا لصالح الحكومة الصينية ؛ يلاحظ كاسبيرسكي أنه منذ أيامه الأولى ، كانت المجموعة تستخدم نوعًا من الهجمات المستترة التي كانت تستخدم سابقًا فقط ضد نشطاء التبت. من الواضح أن المجموعة تخرجت منذ ذلك الحين إلى أعلى مستويات التجسس التجاري الدولي. هناك الآن العديد من فرق Winnti التي لديها اتصالات مع المخابرات الصينية من حيث نمطها طويل المدى لاختيار الهدف والتقنيات التي يستخدمونها. كما ارتبطت المجموعة بالتجسس الرقمي على حكومة هونج كونج.
هذا الحالي لبرامج Winnti الخبيثة رفع رأسه لأول مرة في ألمانيا في أبريل ، عندما أعلن عملاق Bayer أنه تم استهدافهم من قبل المتسللين وأن البرامج الضارة كانت موجودة على أنظمتهم منذ أوائل عام 2018. يبدو أن باير كانت على علم بها ما يكفي لمنع تسلل البيانات ودراستها ، وتتبع أصولها إلى الصين.
يبدو أن هذا الإنذار المبكر من Bayer جاء متأخرا للغاية بالنسبة لعدد من الشركات الألمانية الأخرى: عملاق الكيماويات BASF ، تكتل التصنيع الصناعي Siemens ، شركة الكيماويات والسلع الاستهلاكية Henkel ، شركة البرامج TeamViewer GmbH و Bayer التابعة Covestro من بينها.
تشمل المجموعات الأخرى التي تعرضت للهجوم باستخدام برنامج Winnti للبرامج الضارة مؤخرًا فندق ماريوت في الولايات المتحدة وشركة الألعاب عبر الإنترنت Valve وشركة الرعاية الصحية السويسرية Roche. كما تم استهداف شركة سوميتومو التجارية اليابانية وشركة كيمي-شين إيتسو ، بالإضافة إلى شركة طيران ليون إير ومقرها إندونيسيا.
تم تحديد معظم هذه الهجمات من خلال تحقيق مشترك أجرته اثنتان من كبرى وسائل الإعلام الألمانية ، BR و NDR. أظهر رمز خاص الشركات التي تم اختراقها بواسطة Winnti malware ، لكن التقرير يشير إلى أن الشركات المذكورة قد تكون بعيدة عن القائمة الكاملة للشركات المصابة. وقال خبير أمن تكنولوجيا المعلومات الذي تم استشارته لتحليل البرامج الضارة مازحا أن "أي شركة DAX لم يهاجمها Winnti يجب أن تكون قد ارتكبت خطأ" ، وقال مسؤول ألماني لم يذكر اسمه استخدم كمصدر أن "عدد الحالات هي محيرة للعقل ".
الحماية ضد Winnti
برامج Winnti الضارة ليست عشوائية. تميل المجموعة التي تنشرها إلى استهداف أكبر الشركات في العالم ، وخاصة تلك التي لها وجود مادي في دوسلدورف على وجه التحديد. تتوافق اهتماماتهم مع مصالح المخابرات الصينية والمخاوف الصناعية ، ويبدو أنها تعطي الأولوية للأسرار الصناعية. هذا لا يعني أن الشركات التي تقع خارج هذا التركيز هي واضحة ، ومع ذلك - يشير استهداف Winnti لشركات مثل Marriott و Valve و Lion Air إلى أنها مهتمة بالتتبع الدولي لتحركات أشخاص معينين.
بغض النظر عن مدى احتمالية أن تجذب أي شركة فردية انتباه Winnti ، فإن الدفاع عنها يقع في نطاق أفضل ممارسات الأمن السيبراني القياسية. تبدأ هجمات Winnti للبرامج الضارة عمومًا برسالة تصيد قياسية إلى حد ما تحتوي على رابط ضار. ينقر بعض الموظفين التعساء على الرابط ، ولدى المجموعة موطئ قدم في الشبكة ينتقلون بسرعة لتوسيعه. من المعروف أن مجموعة Winnti تستهدف إدارة الموارد البشرية وشركات التوظيف كنقطة دخولهم الأولية ، وغالبًا ما تقدم نفسها كمتقدم لوظيفة مع روابط للمؤهلات التي تؤدي إلى صفحات تثبيت البرامج الضارة.
بمجرد الدخول إلى الشبكة ، فإن نمط هجوم Winnti هو نموذج للأسلوب "المنخفض والبطيء". إنهم يرسمون بهدوء بنية الشبكة ويبحثون عن البرامج الشائعة الاستخدام في جميع أنحاء الشركة ، ويضيفون إليها أسطر التعليمات البرمجية الضارة لتوسيع وصولهم. وصف أحد المساهمين في التقرير الألماني المجموعة بأنها "تعاني من ضعف الأمان التشغيلي" ، ويبدو أنها لا تهتم إذا تم التعرف عليهم بمجرد حصولهم على البيانات التي أتوا إليها - وهو مؤشر جيد آخر على أن المجموعة مدعومة من الحكومة الصينية.
يهاجم برنامج Winnti الخبيث أنظمة Windows و Linux. نسخة لينكس منه هي تطور جديد نسبيًا ، شوهد لأول مرة في في عام 2015 واستخدم بشكل مقتصد إلى حد ما منذ ذلك الحين.
تم اختراق Bayer بواسطة Winnti #malware التي تم العثور عليها موجودة على أنظمتهم منذ أوائل عام 2018 مع أصول تعود إلى الصين. #respectdata
قد يكون ل Winnti هذا التركيز المحدد على ألمانيا بسبب ثقافة الأعمال المستعصية في البلاد والتي تركز بشدة على التقاليد وتتخلف بشدة عن معظم دول الاتحاد الأوروبي الأخرى في مجال الأمن السيبراني. الموقف تجاه تكنولوجيا المعلومات غامض بعض الشيء ، لأنه يتعارض تمامًا مع الفلسفة الألمانية الأسطورية تجاه الدقة الهندسية والابتكار. مهما كانت الحالة ، فإن اللوائح التي تفرضها اللائحة العامة لحماية البيانات تساعد إلى حد ما هنا ولكنها لا تستطيع إجبار الأفراد على ممارسة النظافة الجيدة للأمن السيبراني.
المشاركات
ليست هناك تعليقات:
إرسال تعليق
(( مَا يَلْفِظُ مِنْ قَوْلٍ إِلَّا لَدَيْهِ رَقِيبٌ عَتِيدٌ))