LABSCON - سكوتسديل ، أريزونا. - ممثل تهديد جديد أصاب شركة اتصالات في الشرق الأوسط والعديد من مزودي خدمات الإنترنت والجامعات في الشرق الأوسط وأفريقيا ، وهو مسؤول عن منصتين للبرامج الضارة "شديدة التعقيد" - ولكن الكثير عن مجموعة لا تزال يكتنفها الغموض ، وفقًا لبحث جديد تم الكشف عنه هنا اليوم.
قام باحثون من SentintelLabs ، الذين شاركوا نتائجهم في أول مؤتمر أمان لـ LabsCon ، بتسمية المجموعة Metador ، بناءً على عبارة "أنا ميتا" التي تظهر في الشفرة الخبيثة وحقيقة أن رسائل الخادم عادةً ما تكون باللغة الإسبانية. يُعتقد أن المجموعة كانت نشطة منذ ديسمبر 2020 ، لكنها نجحت في الطيران تحت الرادار على مدار السنوات القليلة الماضية. قال خوان أندريس غيريرو-سعادة ، كبير مديري SentinelLabs ، إن الفريق تبادل المعلومات حول Metador مع باحثين في شركات أمنية أخرى وشركاء حكوميين ، لكن لم يعرف أحد شيئًا عن المجموعة.
نشر الباحثان في Guerrero-Saade و SentinelLabs Amitai Ben Shushan Ehrlich و Aleksandar Milenkoski بلوق وظيفة و التفاصيل التقنية حول منصتي البرامج الضارة ، metaMain و Mafalda ، على أمل العثور على المزيد من الضحايا المصابين. قالت غيريرو سعادة: "لقد عرفنا مكانهم ، وليس مكانهم الآن".
MetaMain هو باب خلفي يمكنه تسجيل نشاط الماوس ولوحة المفاتيح ، والتقاط لقطات شاشة ، واستخراج البيانات والملفات. يمكن استخدامه أيضًا لتثبيت Mafalda ، وهو إطار عمل معياري للغاية يوفر للمهاجمين القدرة على جمع معلومات النظام والشبكة والقدرات الإضافية الأخرى. يعمل كل من metaMain و Mafalda بالكامل في الذاكرة ولا يقومان بتثبيتهما على محرك الأقراص الثابتة للنظام.
كوميدي سياسي
يُعتقد أن اسم البرنامج الضار مستوحى من Mafalda ، وهو رسم كاريكاتوري شهير باللغة الإسبانية من الأرجنتين يعلق بانتظام على الموضوعات السياسية.
أنشأ Metador عناوين IP فريدة لكل ضحية ، مما يضمن أنه حتى إذا تم الكشف عن أمر وسيطرة واحدة ، فإن بقية البنية التحتية تظل تعمل. هذا أيضًا يجعل من الصعب للغاية العثور على ضحايا آخرين. غالبًا ما يكون الأمر هو أنه عندما يكتشف الباحثون البنية التحتية للهجوم ، فإنهم يجدون معلومات تخص عدة ضحايا - مما يساعد في تحديد مدى أنشطة المجموعة. نظرًا لأن Metador تبقي حملاتها المستهدفة منفصلة ، فإن الباحثين لديهم رؤية محدودة فقط لعمليات Metador ونوع الضحايا الذين تستهدفهم المجموعة.
ومع ذلك ، فإن ما لا يبدو أن المجموعة تمانع فيه هو الاختلاط مع مجموعات الهجوم الأخرى. ووجد الباحثون أن شركة الاتصالات في الشرق الأوسط التي كانت إحدى ضحايا ميتادور تعرضت بالفعل للخطر من قبل ما لا يقل عن 10 مجموعات هجومية أخرى على مستوى الدول القومية. يبدو أن العديد من الجماعات الأخرى منتسبة للصين وإيران.
يُشار أحيانًا إلى مجموعات التهديد المتعددة التي تستهدف نفس النظام باسم "مغناطيس التهديدات" ، لأنها تجتذب وتستضيف المجموعات المختلفة ومنصات البرامج الضارة في وقت واحد. يأخذ العديد من الجهات الفاعلة في الدولة القومية الوقت الكافي لإزالة آثار العدوى من قبل الجماعات الأخرى ، حتى الذهاب إلى أبعد من تصحيح العيوب التي استخدمتها الجماعات الأخرى ، قبل تنفيذ أنشطة الهجوم الخاصة بهم. قال باحثو SentinelLabs إن حقيقة إصابة Metador ببرامج ضارة على نظام تم اختراقه بالفعل (بشكل متكرر) من قبل مجموعات أخرى تشير إلى أن المجموعة لا تهتم بما ستفعله المجموعات الأخرى.
من المحتمل أن تكون شركة الاتصالات هدفًا ذا قيمة عالية كانت المجموعة على استعداد لتحمل مخاطر الاكتشاف نظرًا لأن وجود مجموعات متعددة على نفس النظام يزيد من احتمالية أن تلاحظ الضحية شيئًا خاطئًا.
هجوم قرش
بينما يبدو أن المجموعة تتمتع بموارد جيدة للغاية - كما يتضح من التعقيد التقني للبرامج الضارة ، والأمن التشغيلي المتقدم للمجموعة لتفادي الاكتشاف ، وحقيقة أنها قيد التطوير النشط - حذرت Guerrero-Saade من أن ذلك لم يكن كافيًا لتحديد أن هناك مشاركة الدولة القومية. وقالت Geurrero-Saade إنه من المحتمل أن تكون Metador نتاج مقاول يعمل نيابة عن دولة قومية ، حيث توجد دلائل على أن المجموعة كانت على درجة عالية من الاحتراف. وأشار إلى أن الأعضاء قد يكون لديهم خبرة سابقة في تنفيذ هذا النوع من الهجمات على هذا المستوى.
وكتب الباحثون: "نحن نعتبر اكتشاف Metador أقرب إلى اختراق زعنفة سمكة لسطح الماء" ، مشيرين إلى أنه ليس لديهم أدنى فكرة عما يحدث تحتها. "إنه سبب للإنذارات التي تثبت الحاجة إلى أن تقوم صناعة الأمن بهندسة استباقية من أجل اكتشاف القشرة العليا الحقيقية للجهات الفاعلة في التهديد التي تجتاز الشبكات حاليًا مع الإفلات من العقاب."
