كشف باحثو شركة كاسبرسكي (Kaspersky) عن حملة هجومية سيبرانية مجهولة المصدر تستخدم برنامج تحميل خبيث (dropper) لم يكن معروفاً من قبل، وهو ما أسموه SharkLoader. اكتُشفت الحملة بالصدفة أثناء التحقيق في هجوم طال جهة دبلوماسية في إندونيسيا، ليتبيّن لاحقاً أنها عملية ممتدة على نطاق عالمي أطلق عليها الباحثون اسم «StrikeShark».
كيف يخترق المهاجمون أهدافهم
يسلك المهاجمون مسارين رئيسيين للوصول إلى ضحاياهم: إما استغلال ثغرات معروفة في التطبيقات المكشوفة على الإنترنت، أو إغراء المستخدمين بتشغيل ملفات خبيثة متنكّرة في هيئة برامج مشروعة. وتمتد قائمة الثغرات المستغَلة لتشمل منتجات كبرى من بينها: SharePoint وExchange Server من مايكروسوفت، وFortiOS من فورتينيت، وIOS XE من سيسكو، وBIG-IP من F5، فضلاً عن Zimbra وApache Shiro وكاميرات هيكفيجن (Hikvision). ويعود بعض هذه الثغرات إلى عام 2016، وجميعها متاح لها شيفرات استغلال (proof-of-concept) عامة، مما يشير إلى أن المهاجمين يعتمدون على أدوات هجومية جاهزة لا يطوّرون خاصتهم.
أما أسلوب إيصال SharkLoader إلى الموظفين مباشرةً فلم يُكشف عنه تماماً، غير أن الباحثين رصدوا أن المهاجمين يخفونه في صورة مثبّت VPN لـ Cisco AnyConnect وأداة تحديث Google. وفي حالات عدة، عرضت البرامج الخبيثة وثائق PDF وهمية مقنعة، منها ما بدا وثيقة تقنية حول تصميم محركات صواريخ سائلة، وأخرى تتعلق بمعالجة بيولوجية.
ماذا يحدث بعد الاختراق
حين يُشغَّل SharkLoader، يبادر إلى تثبيت ما يُعرف بـ Cobalt Strike beacon، وهو أداة اختبار اختراق تجارية تُستخدم للإبقاء على وصول عن بُعد والتحرك الجانبي (lateral movement) داخل الشبكات. ويمضي المهاجمون بعدها في استطلاع شامل وسرقة بيانات الاعتماد، بما في ذلك استخراجها من ذاكرة ويندوز ومن Active Directory، وهو ما يمنحهم قدرة نظرية على التجوّل الحر في شبكة الضحية بأكملها.
وتتميّز البرمجية الخبيثة بقدرة عالية على التخفّي؛ إذ تتظاهر مكوّناتها بأنها ملفات نظام ويندوز اعتيادية، وتُساء استخدام تطبيقات ويندوز الشرعية لتحميلها، كما تعمل جاهدةً على تعطيل سجلات الأمان التي يعتمد عليها المدافعون للكشف عن الاختراقات.
ضحايا الحملة وتحفّظات الإسناد
امتدت الحملة لتطال جهات حكومية في تايوان وشركات تطوير برمجيات في دول متعددة، إضافة إلى كيانات في هونغ كونغ ولبنان وسوريا وكولومبيا ومقدونيا الشمالية ونيبال وصربيا وغيرها. ولاحظ الباحثون أن بعض أدوات ما بعد الاختراق طوّرها مستخدمون ناطقون بالصينية على منصة GitHub، إلا أنهم نبّهوا إلى أن ذلك لا يُعدّ دليلاً قاطعاً على هوية المهاجمين.
وأشار الباحثون إلى احتمال أن تكون الحملة ذات طابع تجسسي يستهدف الحكومات وشركات البرمجيات، لكنهم أبدوا تحفظاً لأن النشاط الملحوظ بعد الاختراق اقتصر أساساً على الوصول إلى بيانات الاعتماد والاستطلاع والتحرك الجانبي، دون رصد واضح لعمليات سرقة بيانات (data exfiltration) حتى الآن. بيد أنهم لفتوا إلى أن أدوات Cobalt Strike تتيح هذه الإمكانية في مرحلة لاحقة. كما عجز الباحثون عن ربط الحملة بأي مجموعة قرصنة معروفة.
توصيات
- **تحديث الأنظمة فوراً**: يعتمد المهاجمون على ثغرات قديمة ذات شيفرات استغلال عامة، لذا فإن تطبيق التحديثات الأمنية بانتظام يُغلق الباب أمام الاختراق الأولي.
- **تقييد وصول التطبيقات المكشوفة**: الحد من ظهور التطبيقات الحساسة كالبريد الإلكتروني وبوابات VPN على الإنترنت المفتوح أو تأمينها بطبقات مصادقة إضافية.
- **مراقبة سلاسل تحميل البرامج**: الحذر من الملفات التنفيذية التي تتنكّر في هيئة برامج مشروعة كمثبّتات VPN أو أدوات تحديث، وتطبيق سياسة تحقق صارمة قبل تشغيل أي برنامج.
- **رصد Cobalt Strike داخل الشبكة**: تعزيز إمكانات الكشف عن استخدام أدوات الاختراق التجارية داخل البنية التحتية، لا سيما أنها قد تمر دون تنبيه في غياب سجلات الأمان.
