اكتشف خبراء كاسبرسكي برنامجا خبيثا شديد التعقيد، والذي لم يكن معروفا حتى الآن، وأُطلق عليه اسم "الذبابة المخططة" (StripedFly)، والذي انتشر على نطاق عالمي. فمنذ عام 2017 على الأقل، تمكن ‘ستريبد فلاي’ من إصابة أكثر من مليون ضحية. في البداية، كان يبدو أنه يعمل كأداة تعدين للعملات المشفرة، قبل أن يتضح بأنه برنامج خبيث جِدُّ معقد ومزود ببنية تحتية متعددة الوظائف وقابل للاستنساخ ذاتيا.

في 2022، اكتشف فريق البحث والتحليل العالمي لدى كاسبرسكي (GreAT) عنصرين غير متوقعين داخل تطبيق بدء تشغيل النظام WININIT.EXE، ناتجين عن أجزاء شيفرة تمت ملاحظتها سابقا في البرنامج الخبيث Equation. منذ سنة 2017 على الأقل، نجح "ستريبد فلاي" في الالتفاف على كافة التحاليل السابقة، التي اعتبرته، عن خطأ، بأنه مجرد أداة تعدين (mineur) للعملات المشفرة. وبعد معالجة عميقة للمشكلة، تم اكتشاف أن أداة التعدين للعملات المشفرة لم تكن سوى كون لهيئة أكبر: بنية تحتية خبيثة جد معقدة متعددة الوظائف ومتعددة أدوات التوصيل. وتتضمن حمولة البرنامج الخبيث العديد من النماذج، مانحا للمهاجم القدرة على التصرف كتهديد مستمر متقدم (APT)، أو كأداة تعدين للعملات المشفرة، بل وحتى كمجموعة برمجيات طلب الفدية. هذه التعددية في الاستخدامات تعمل على توسيع الحوافز الممكنة للمهاجم، مرورا من البحث عن مكاسب مالية إلى التجسس. ونسجل بشكل خاص أن العملة المشفرة التي تم تعدينها عبر هذا النموذج بلغت قيمتها القصوى 542.33 دولار يوم 9 يناير 2018، بينما كانت قيمتها في 2017 حوالي 10 دولارات.  في 2023، حافظة على قيمتها في 150 دولار. وأبرز خبراء كاسبرسكي الدور الأساسي لنموذج التعدين، الذي يبقى العامل الرئيسي الذي حال دون اكتشاف البرنامج الخبيث لمدة طويلة.

طور المهاجم الذي كان وراء هذه العملية كفاءات جد متقدمة للتجسس بشكل متستر على ضحاياه. يقوم البرنامج الخبيث بالتقاط بيانات الدخول كل ساعتين، ويختلس البيانات الشخصية مثل بيانات تسجيل الدخول للموقع والوايفاي، بالإضافة إلى البيانات الخاصة للضحية، كاسمه وعنوانه، ورقم هاتفه والمقاولة التي يشتغل فيها ومركزه الوظيفي. فضلا على ذلك يستطيع البرنامج الخبيث أخذ صور للشاشة على جهاز الضحية من دون اكتشاف ذلك، التحكم بشكل كبير في الجهاز بل وتسجيل مداخيل المايكروفون.

ظل ناقل العدوى غير معروف إلى أن كشف التحقيق المعمق الذي أجراه كاسبرسكي استغلال ثغرة EternalBlue 'SMBv1' المصممة على المقاس بغرض اختراق الأنظمة المعلوماتية للضحايا. ورغم الإعلان للعموم عن ثغرة EternalBlue في 2017، ثم نشر مايكروسوفت بعد ذلك لتصحيح(أطلقت عليه MS17-10)، إلا أن التهديد الذي يمثله ظل قائما ومهما بسبب العدد المرتفع للمستعملين الذين لم يقوموا بتحيين أنظمتهم المعلوماتية.

خلال التحليل التقني للحملة، لاحظ خبراء كاسبرسكي تشابها مع البرنامج الخبيث Equation. ويتعلق الأمر على الخصوص بالمؤشرات التقنية مثل التوقيعات ذات الصلة بالبرنامج الخبيث Equation، بالإضافة إلى أسلوب التشفير والممارسات الشبيهة بتلك التي تمت ملاحظتها في البرنامج الخبيث StraitBizzare (SBZ). حسب عدادات التحميل المعروضة من قبل النظام المرجعي حيث تم إيواء البرنامج الخبيث، تم تقدير عدد الذين استهدفهم ستريبدفلاي أكثر من مليون ضحية عبر العالم أجمع.

حجم المجهودات المبدولة لإنشاء هذه البنية التحتية مثير للدهشة بالفعل، واكتشافها كان مفاجئا حقا. شكل قابلية التأقلم والتطور المتواصل للفاعلين في مجال التهديدات السيبرانية تحديا مستمرا بالنسبة لنا. لذلك من المهم لدينا، كباحثين، أن نحافظ على جهودنا للتعرف على التهديدات السيبرانية العالية التقنية وإبطالها، ومن الأساسي أيضا بالنسبة للمستعملين أن لا يغفلوا عن أهمية التوفر على حماية كاملة »، يقول سيرجي لوزخين، الباحث الرئيسي في الأمن ضمن فريق البحث والتحليل العالمي (GreAT) لدى كاسبرسكي.

للاطلاع على المزيد حول "الذبابة المخططة" (ستريبدفلاي)، تصفحوا Securelist.com.

لتفادي الوقوع ضحية هجوم مستهدف من قبل فاعل في مجال التهديدات السيبرانية معروف أو غير معروف، يوصي الباحثون في كابرسكي باتخاذ التدابير التالية:

التحيين المنتظم لنظام الاستغلال، وتطبيقاتكم وبرنامج مكافحة الفيروسات، حتى تتمكنوا من علاج الاختلالات المعروفة.

خذوا حدركم من الرسائل الإلكترونية والرسائل النصية والمكالمات التي تطلب منكم الإدلاء ببيانات حساسة. تأكدوا من هوية المرسَل قبل الإدلاء بالبيانات الشخصية أو النقر على الروابط المشبوهة.

مكنوا فريقكم في مركز العمليات الأمنية من المعلومات الأحدث فيما يتعلق بالاستخبارات حول تهديدات (تكنولوجيا المعلومات). بهذا الصدد تشكل بوابة استخبارات كاسبرسكي حول التهديدات مصدرا مركزيا للمعطيات حول التهديدات الموجهة للمقاولة، موفرة معطيات حول الهجمات السيبرانية إضافة إلى المعطيات التي تم تجميعها من قبل كاسبرسكي منذ أزيد من 20 عاما.

طوروا كفاءات فريقكم المكلف بالأمن السيبراني من أجل مواجهة آخر التهديدات التي تستهدفكم بفضل التكوين عن بعد الذي يوفره كاسبرسكي، والذي تم تطويره من قبل خبراء فريق البحث والتحليل العالمي (GreAT).

للكشف على مستوى الأجهزة الطرفية، والتحري والمعالجة السريعة للتعديدات، استعملوا حلول EDR  من قبيل حل كاسبرسكي لتشخيص وحماية نقطة النهاية Kaspersky Endpoint Detection and Response.

حول كاسبرسكي

"كاسبرسكي"، شركة عالمية، تأسست  سنة 1997، وهي متخصصة في مجال الأمن الإلكتروني وحماية الحياة الرقمية الشخصية. وتعمل كاسبرسكي باستمرار على تسخير خبرتها الكبيرة في مجال "الرصد الذكي للتهديدات" وأمن تكنولوجيا المعلومات في سبيل إغناء الحلول والخدمات الأمنية الموجهة لحماية الشركات والبنيات التحتية الحيوية، والسلطات العمومية والأفراد في جميع أنحاء العالم. وتشمل مجموعة الحلول الأمنية الواسعة النطاق لـ "كاسبرسكي" حماية شاملة لأجهزة التشغيل النهائية، إضافة إلى حلول وخدمات أمينة مخصصة من أجل مكافحة التهديدات الرقمية العالية الدقة والتي تتطور باستمرار. كما تساعد تكنولوجيا "كاسبرسكي" أكثر من 400 مليون مستخدم و240.000 مقاولة على حماية الأشياء التي يعتبرونها قيمة ومهمة بالنسبة لهم.