اكتشف باحثو كاسبرسكي في منتصف العام 2021 موجة من الهجمات الجديدة شنتها عصابة DeftTorero الرقمية المختصة بالتهديدات المتقدمة المستمرة، والتي يطلق عليها أيضًا اسم Volatile Cedar. وكانت هذه العصابة قد اكتشفت في العام 2012، وتنشط في استهداف القطاعات الحكومية والعسكرية والتعليمية وقطاعات الشركات والاتصالات في دولة الإمارات والمملكة العربية السعودية ومصر والكويت ولبنان والأردن وتركيا.
واستخدمت Volatile Cedar كثيرًا في السابق تروجانًا معدّلًا للوصول عن بُعد يُسمى Explosive، زرعته في أهداف مثل خوادم الويب والأنظمة الداخلية التي يمكن للجمهور الوصول إليها، وذلك لجمع المعلومات الحساسة. واختارت العصابة عددًا قليلًا من الأهداف لتجنّب الانكشاف. وكانت، بمجرد السيطرة على خادم مكشوف على الإنترنت، تسارع إلى اختراق الشبكة الداخلية عبر وسائل مختلفة، بينها حشو كلمات المرور أو إعادة استخدامها.
وراقب باحثو كاسبرسكي العصابة Volatile Cedar، التي يُشتبه في أنها لبنانية المنشأ، منذ العام 2015، لكنها دخلت في مرحلة صمت ولم يُبلّغ عن أية معلومات أو عمليات اختراق تتعلق بها حتى العام 2021، عندما اشتبه خبراء كاسبرسكي في حدوث تحوّل محتمل في التكتيكات والأساليب والإجراءات التي تتبعها العصابة لتمويه نشاطها التخريبي باستخدام برمجيات خبيثة بلا ملفات والحفاظ على قدرتها على عدم الانكشاف.
وأظهر تحقيق لكاسبرسكي أن العصابة ربما استغلت نموذج تحميل ملف أو ثغرة أمنية في زرع أوامر تطبيق ويب، أو كليهما، في موقع ويب وظيفي أو مرحلي مستضاف على خادم ويب مستهدف لتثبيت webshell. وفي حالات أخرى، من المحتمل أن تكون مكونات إضافية مثبتة مسبقًا من قبل مسؤولي الخادم قد جرى استغلالها، واستُخدِمت بيانات اعتماد الخادم من الأنظمة في المؤسسة نفسها لتسجيل الدخول عبر بروتوكول سطح المكتب البعيد لنشر برمجيات نصية/webshell خبيثة. وبمجرد أن وجدت العصابة طريقة لتحميل هذه البرمجية، تحاول إسقاط أدوات إضافية لاختراق الأنظمة الداخلية. وقد أظهر تحليل كاسبرسكي لعملية التسلّل هذه، أن جميع واجهات الويب المنشورة جماعيًا نشأت من حساب GitHub، واستُخدمت كما هي أو بعد إخضاعها لتعديل طفيف.
وقال أرييل جونغيت الباحث الأمني الأول في فريق البحث والتحليل العالمي لدى كاسبرسكي، إن عصابات التهديدات المتقدمة المستمرة معروفة بقدرتها على ابتكار طرق للبقاء متخفية لسنوات، مشيرًا إلى أن الوقت أثبت أن الأدوات مفتوحة المصدر والهجمات الخالية من الملفات والتعديل على الأدوات “لا تزال تُستخدم لاختراق الأنظمة بنجاح، بالرغم من أن DeftTorero لم تكن تتمتع بمستوى عالٍ من البراعة التقنية في الماضي”. وأضاف: “تستطيع العصابة العثور على “بوابات دخول” إلى أهدافها، باستخدام المنافذ الخلفية، كما يمكنها عبر هذه المنافذ الاتصال بخوادم أخرى. ونظرًا لأن مثل هذه الهجمات تتطور بسرعة ولا تُكتشف في الغالب، فمن الضروري الحرص على منعها أو التخفيف من حدّتها في المراحل المبكرة، ونصيحتنا هنا تكمن في مراقبة المؤسسات باستمرار للثغرات الأمنية الناشئة في تطبيقات الويب التي يمكن للجمهور الوصول إليها، بالإضافة إلى مراقبة سلامة ملفات تطبيقات الويب”.\
ويوصي باحثو كاسبرسكي باتباع التدابير التالية لكي تتجنب المؤسسات الوقوع ضحية لهذه العصابة:
· إجراء تقييم شامل لثغرات الويب يتضمن مراقبة سلامة الملفات على خوادم الويب.
· فحص النسخ الاحتياطية لخادم الويب بانتظام، فقد لاحظ الخبراء أن بعض أدوات التهديد كانت موجودة في النسخ الاحتياطية، لتتمكّن العصابة من استعادة الوصول واستئناف نشاطها التخريبي عندما تتمّ استعادة النسخ الاحتياطية.
· يجب أن يكون مسؤولو تقنية المعلومات على دراية بسطح الهجوم المكشوف مثل تطبيقات الويب وخوادم FTP وغيرها.
يمكن زيارة الموقع Securelist.com لمعرفة المزيد عن العصابة DeftTorero أو Volatile Cedar.