يبدو أن دولة قومية غير معروفة تضع الأساس لحملة القرصنة القادمة، لكن لا يُعرف الكثير حتى الآن عن دوافعها ومن هو المعرض للخطر ، كما قال باحثون أمنيون لـ Axios.
ما الذي يحدث: أصدر باحثون في Infoblox تفاصيل جديدة يوم الثلاثاء حول حملة برمجيات خبيثة أطلقوا عليها اسم Decoy Dog الذي يحتوي على جميع خصائص حملة تجسس محتملة.
وفقًا للتقرير، فإن العديد من أسماء النطاقات المشبوهة المرتبطة بالحملة مرتبطة بعناوين IP روسية، لكن الباحثين لا يستطيعون الجزم بأن روسيا تقف وراء الهجوم.
لكن Infoblox، الذي يفحص أنظمة أسماء النطاقات (DNS) بحثًا عن أي نشاط ضار ، اكتشف فقط الأساس الأساسي للحملة حتى الآن.
سبب الأهمية: يقدر Infoblox أن أكثر من 100 جهاز مصاب بالفعل ببرنامج Decoy Dog الخبيث - ويعتقد باحثو الشركة أن ما يصل إلى أربع مجموعات يمكن أن تنشر البرامج الضارة.
قد لا تكون جميع هذه المجموعات مرتبطة بالدولة القومية نفسها أيضًا، وفقًا لما صرح به سكوت هاريل، الرئيس التنفيذي لشركة Infoblox، لأكسيوس.
ما يقولونه: "لقد رأينا للتو المزيد من نقاط البيانات التي تخبرنا أن هذا شيء يجب على الصناعة مراقبته وأن تقوم الصناعة بالبحث عنه لأنه من الواضح أن هناك شيئًا ما يحدث، وممثل التهديد مستمر في التطور"، كما يقول هاريل.
الصورة الكبيرة: اكتشف Infoblox النشاط الضار من خلال مراقبة نظام أسماء النطاقات للمدرسة القديمة بدلاً من الهندسة العكسية الأكثر شيوعًا، حيث يدرس الباحثون مرفق بريد إلكتروني مشبوه بحثًا عن علامات على وجود برامج ضارة.
يمكن أن توفر مراقبة DNS نظرة شاملة لما يحدث عبر الإنترنت بالكامل، مقارنة بأدوات الكشف عن البرامج الضارة التي تركز على شبكة مؤسسة معينة.
خلال عمليات المسح، رصدت Infoblox حفنة من أسماء النطاقات تعمل "بطريقة محددة للغاية" مما أثار الشكوك. اكتشفت الشركة لأول مرة علامات على Decoy Dog في مارس 2022.
رفضت Infoblox الكشف عن المنظمات المتأثرة وأنواع الأجهزة المصابة، لكن متحدثًا باسم الشركة قال إن الشركة ناقشت النتائج التي توصلت إليها مع العديد من بائعي الأمن ووكالات حكومية متعددة.
التفاصيل: يبدو أن Decoy Dog يتلاعب بعناصر أداة الوصول عن بُعد مفتوحة المصدر Pupy، والتي تساعد البرامج الضارة على إخفاء أنشطتها بسهولة أكبر.
يسمح Pupy، الذي يستخدم أيضًا كأداة اختراق، للأشخاص بالتحكم في الجهاز عن بُعد أينما كانوا، ويمكن للأداة تجاوز الاكتشاف من معظم تطبيقات مكافحة الفيروسات.
يعتمد Decoy Dog على هذه الأداة لضبط أنظمة التشغيل المتوافقة مع الأداة وإضافة أدوات اتصال جديدة لمساعدة البرامج الضارة في الحفاظ على وصول طويل المدى إلى أي جهاز تستخدمه.
تصغير: أخبر هاريل أكسيوس أن Infoblox أجرت بعض التغييرات على كيفية مسح DNS بعد حملة التجسس الإلكتروني لـ SolarWinds لعام 2020 التي لم يتم اكتشافها لأكثر من عام .
يقول إن هذه التغييرات ساعدت Infoblox في العثور على حملة Decoy Dog.
نعم، ولكن: لا يزال من غير الواضح كيف يحصل المتسللون على موطئ قدم على هذه الأجهزة ومن يقف وراء الحملة.
المؤامرة: في المرة الأخيرة التي أبلغ فيها Infoblox عن Decoy Dog، قطع المتسللون بسرعة بعض المجالات وغيروا تكتيكاتهم لمحاولة التخلص من الباحثين.
الآن، تأمل Infoblox أن تستخدم المزيد من المنظمات تقرير اليوم للبحث عن إشارات لـ Decoy Dog على أنظمتها وتجميع من يقف وراءها وكيف يتم اختراقها.
يقول هاريل: "للمضي قدمًا في البحث، أردنا أن نرى المزيد من الأشخاص يشاركون وأردنا زيادة الوعي في المجتمع".
بواسطة: سام سابين، لموقع أكسيوس