اكتشف باحثو الأمن في شركة “كاسبرسكي لاب” ما يُحتمل أن يكون سلالة أخرى من البرمجيات الخبيثة المصنعة من قبل الأجهزة الحكومية، وتعد الأكثر تقدمًا من معظم البرمجيات الخبيثة السابقة.
لقب الخبراء الأمنيين هذه البرمجيات بإسم Slingshot أو المقلاع باللغة العربية، وتقوم هذه البرمجيات الخبيثة بالتجسس على أجهزة الكمبيوتر من خلال هجوم متعدد الطبقات يستهدف أجهزة التوجيه (راوتر) MikroTik. ويقوم أولاً بتبديل ملف المكتبة (Library File) الخاص بجهاز التوجيه بنسخة ضارة تقوم بتنزيل مكونات ضارة أخرى، ثم تطلق هجومًا ذو شقين على أجهزة الكومبيوتر نفسها. الأول اسمه Canhadr، يقوم بتشغيل كود يعطي للمخترق كافة الصلاحيات على الجهاز، بما في ذلك الوصول العميق إلى التخزين والذاكرة؛ الآخر، والمسمى ب GollumApp، يركز على مستوى المستخدم ويتضمن كود لتنسيق الجهود، وإدارة نظام الملفات والحفاظ على البرامج الضارة على قيد الحياة.
وقد وصف باحثوا الأمن من شركة كاسبيرسكي هذين العنصرين بأنهما عبارة عن “روائع” في عالم البرمجيات الخبيثة، ولسبب وجيه. وهو، ليس من الطبيعي أن تعمل برمجيات خبيثة بدون تعطيل أي شيء في الجهاز كنظام التشغيل أو أي من مرفقاته. كما ان هذا الكود يقوم بتخزين ملفات البرامج الضارة في نظام ملفات افتراضي مشفر، ويقوم بتشفير كل سلسلة نصية في وحداتها، وخدمات المكالمات مباشرة (لتجنب فحص برامج الأمان) وتصل إلى حتى إغلاق المكونات الخاصة بالكود عندما تكون أدوات برامج الحماية من البرمجيات الخبيثة نشطة. لدرجة إذا كانت هناك طريقة شائعة للكشف عن البرامج الضارة أو تحديد سلوكها، فمن المحتمل جداً أن يكون لدى Slingshot طريقة للدفاع ضدها. لا عجب أن الكود نشط منذ عام 2012 على الأقل – ولم يكن أحد يعرف أنه موجود أصلاً.
يمكن لكود البرامج الضارة المذكور سرقة كل ما يريده بفعالية مطلقة، بما في ذلك ضربات لوحة المفاتيح، وحركة مرور الشبكة، وكلمات المرور، ولقطات الشاشة. ليس من المؤكد كيف يصل Slingshot إلى النظام ويصيبه إلى جانب الاستفادة من برنامج إدارة الموجه، لكن كاسبرسكي أشار إلى حالات “متعددة”
هذا الخليط الموجود في هذا الكود الذي يجمع بين قمة التطور العلمي والتكنولوجي والتركيز على التجسس أدي إلى اعتقاد الخبراء في كاسبرسكي بأن من المرجح أن يكون هذا الكود قد تم إنشاءه من قبل وكالة تابعة للدولة (لم يتم تحديد أي دولة بالذات) – فهو ينافس البرمجيات الخبيثة المسماة ب Regin والتي تم استخدامها سابقاً في التجسس على شركة الطيران البلجيكية Belgacom. من قبل الاستخبارات البريطانية وبينما تشير الدلائل النصية إلى أن أحد الدول المتحدثة بالإنكليزية قد تكون مسؤولة عن هذه البرمجيات الخبيثة، فإن الجاني ليس واضحًا. فقد وقع ما يقارب 100 من الأفراد والمجموعات والمؤسسات الحكومية ضحية هذا الكود الخبيث في بلدان مثل أفغانستان والعراق والأردن وكينيا وليبيا وتركيا. يمكن أن تكون إحدى دول “Five Eyes” أو العيون الخمسة باللغة العربية وهو تحالف استخباراتي بين (أستراليا وكندا ونيوزيلندا والمملكة المتحدة والولايات المتحدة) تراقب الدول التي تعاني من قضايا إرهابية كبيرة، لكن هذا بعيد كل البعد عن التأكيد.
وقد تم حسب تصريحات شركة MikroTik إصلاح أجهزة التوجيه الخاصة بها من خلال تحديثات البرامج الثابتة Firmware لجهاز التوجيه MikroTik. القلق، كما قد يتبادر إلى ذهنك، هو أن صانعي أجهزة التوجيه الآخرين قد يكونون متأثرين أيضاً، إذا كانت كذلك، فهناك احتمال أن يكون لدى Slingshot نطاقًا أوسع بكثير ولا يزال يتعامل مع البيانات الحساسة.
