«فاير آي» تكشف تفاصيل تضليل برمجيات APT الصينية

أصدرت إحدى الشركات الرائدة في تقديم حلول مكافحة الهجمات الإلكترونية، تقريرها الجديد لاستقصاء التهديدات الإلكترونية بعنوان «التضليل الخادع: فاير آي تكشف تفاصيل تضليل برمجيات APT الصينية».
وتعاون قسم «استخبارات التهديدات» في شركة فاير آي ومركز استخبارات التهديدات التابع لشركة مايكروسوفت لإجراء بحث عن أسلوب جديد للتضليل في اتصالات «القيادة والسيطرة» C2، الذي تم استخدامه في بوابة (Microsoft TechNet) وهي بوابة إلكترونية للمتخصصين في مجال تكنولوجيا المعلومات.
وتوصلت فاير آي إلى أن برمجيات APT17 هي عبارة عن مجموعة خبيثة تمثل تهديدات متطورة ومستمرة يرجع مَنشَؤُها إلى الصين، حيث يتم نشرها على المنتديات وتُنشِئ صفحات تعريفية لاستضافة عناوين آي بي (IP Addresses) المشفرة، ثم تقوم بتوجيه برنامج «BLACKCOFFEE» الخبيث للتسلل إلى خادم C2 الخاص بها. والجدير بالذكر أن نظام الأمن في بوابة TecNet ليس مزوداً بإمكانية التعامل مع هذا الأسلوب، ويمكن لهذا الأسلوب أيضاً أن يؤثر على منتديات ولوحات أخرى.
وسُجلت حوادث سابقة لاستهداف برمجيات APT17 كيانات حكومية أمريكية ومنظمات دولية غير حكومية وشركات خاصة في جميع أنحاء العالم، بما في ذلك قطاع الدفاع والشركات الحكومية وشركات تكنولوجيا المعلومات وشركات التعدين. وتُعد هذه المجموعة من البرمجيات بين عدد قليل من البرامج، التي تشهد تزايداً مع مرور الوقت، التي تستخدم الأغراض المشروعة للمواقع الإلكترونية العامة لتشفير اتصالات (C2) الخاصة بتلك المواقع. ومن الملاحظة أن برمجيات APT17 كانت تستخدم في السابق محركات البحث العامة «جوجل» و»بنج» لإخفاء أنشطتها واستضافة مواقع تابعة للمتخصصين في مجال أمن المعلومات.