كاسبرسكي تكشف عن أسرار أخطر عصابة إلكترونية سرقت 81 مليون دولار من مصرف بنغلاديش

الموضوع في 'منتدى أخبار الأمن والحماية' بواسطة التميمي14, بتاريخ ‏ابريل 5, 2017.

حالة الموضوع:
مغلق
  1. التميمي14

    التميمي14 .: خبراء نقاشات الحماية :. نجم الشهر

    إنضم إلينا في:
    ‏أغسطس 23, 2012
    المشاركات:
    3,391
    الإعجابات المتلقاة:
    9,546
    نقاط الجائزة:
    1,570
    الإقامة:
    السعوديه ـ الرياض جعلها السيل
    برامج الحماية:
    ESET
    نظام التشغيل:
    Windows 10


    السلام عليكم

    الموضوع منقول من عدة مواقع منها المصدر : aitnews
    وفيه اشادة لبرنامج رائع ومعروف للجميع كاسبر

    نشرت شركة كاسبرسكي لاب نتائج تحقيقاتها التي استمرت لأكثر من عام بشأن نشاط

    “لازاروس” Lazarus – وهي عصابة إلكترونية خطيرة يُزعم أنها المسؤولة عن سرقة 81 مليون دولار من مصرف بنغلاديش المركزي

    في عام 2016.

    وأثناء تحليل المختبر الجنائي لبعض الدلائل التي خلفتها العصابة الإلكترونية في مصارف تقع في جنوب شرق آسيا وأوروبا،

    تمكنت كاسبرسكي لاب من تكوين فهم عميق للأدوات الخبيثة

    التي تستخدمها العصابة وطريقة تشغيلها أثناء مهاجمة المؤسسات المالية والكازينوهات ومطوري البرامج لشركات الاستثمار

    والمؤسسات التي تستخدم العملات المشفرة في جميع أنحاء العالم. وقد ساعدت المعلومات المجمّعة في التصدي لعصابتين أخرتين

    على الأقل كان هدفهما سرقة مبالغ ضخمة من المؤسسات المالية.

    وفي شهر شباط/فبراير من عام 2016، حاولت عصابة من القراصنة (مجهولي الهوية في ذلك الوقت) سرقة 851 مليون دولار أمريكي،

    وتمكنت من تحويل 81 مليون دولار أمريكي من مصرف بنغلاديش المركزي.

    واعتبرت هذه إحدى أكبر عمليات السطو الإلكتروني الأكثر نجاحًا على الإطلاق.

    وكشفت تحقيقات أخرى أجراها باحثون من مختلف شركات أمن تكنولوجيا المعلومات بما فيها كاسبرسكي لاب أن هناك احتمالًا كبيرًا

    بأن تكون الهجمات قد شنت عن طريق “لازاروس”- وهي عصابة سيئة السمعة تشن هجمات تجسس وتخريب إلكترونية والمسؤولة

    عن سلسلة من الهجمات العادية والمدمرة، وتشتهر بأسلوبها الإجرامي في مهاجمة شركات التصنيع ووسائل الإعلام والمؤسسات المالية في 18 دولة

    على الأقل حول العالم منذ عام 2009.

    وعلى الرغم من أن عصابة “لازاروس” الإلكترونية قد بقيت خاملة لعدة أشهر في أعقاب هجوم بنغلاديش،

    إلا أنها لاتزال نشطة. بل كانت العصابة تحضر لعملية جديدة تستهدف السطو على الأموال من بنوك أخرى،

    وفي الوقت الذي استكملت تحضيراتها لشن الهجوم، كانت العصابة قد تمكنت مسبقًا من دسّ برمجيتها الخبيثة

    في شبكات إحدى المؤسسات المالية في جنوب شرق آسيا.

    وبعد أن اكتُشفت ومُنعت من قبل منتجات كاسبرسكي لاب واستنادًا إلى نتائج التحقيقات، عادت العصابة إلى تعليق هجماتها لبضعة أشهر أخرى،

    ثم قررت فيما بعد تغيير سيناريو الهجوم بالانتقال إلى أوروبا. إلا أن جهودها باءت بالفشل حيت اكتشفت ومنعت مجددًا هنا عن طريق برنامج كاسبرسكي لاب

    الأمني ومنصة الاستجابة السريعة لحالات الاختراق والتحليلات الجنائية والهندسة العكسية لباحثي كاسبرسكي لاب.

    صيغة “لازاروس”

    واستنادًا إلى نتائج تحليل المختبر الجنائي لهذه الهجمات،

    تمكن باحثو كاسبرسكي لاب من فك لغز طريقة عمل هذه العصابة.

    عملية الاختراق الأولي: يتم العمل على اختراق نظام فردي داخل أحد المصارف

    إما باستخدام شيفرة ضعيفة يمكن الوصول إليها عن بعد (أي على خادم الويب) أو من خلال هجوم Watering Hole

    عن طريق استغلال ثغرة أمنية غير مكتشفة مندسّة في إحدى المواقع الإلكترونية النظامية.

    وما أن تتم زيارة ذلك الموقع الإلكتروني المصاب، سرعان ما تصاب الضحية (موظف المصرف) بالبرمجية الخبيثة

    التي تجلب معها المزيد من المكونات الإضافية.


    الانتهاء من تلغيم جهاز الضحية بالبرمجية الخبيثة: تقوم العصابة بعد ذلك بالانتقال إلى بيئات مضيفة لبنوك أخرى

    وتنشر برنامج التسلل المستمر من الباب الخلفي Backdoor،

    كما تتيح لها هذه البرمجية الخبيثة الدخول والخروج وقتما تشاء.


    الاستطلاع الداخلي: بعد ذلك تقضي العصابة أيامًا وأسابيع لتعلم آلية عمل الشبكة وتحديد الموارد القيمة.

    وقد يكون أحد هذه الموارد خادم النسخ الاحتياطي، حيث يتم فيه تخزين معلومات المصادقة، أو خادم البريد،

    أو وحدة التحكم بكامل النطاق Domain المزودة بمفاتيح لكل “منفذ متاح” في الشركة،

    بالإضافة إلى الخوادم التي تخزن أو تعالج سجلات المعاملات المالية.


    نشر البرمجية الخبيثة وسرقة الأموال: وأخيرا، تقوم العصابة بنشر البرمجية الخبيثة

    القادرة على تخطي وسائل الكشف والمنع المثبتة في نظام الأمن الداخلي للبرامج المالية

    وإصدار معاملات عشوائية نيابة عن المصرف.


    نطاق التوزع الجغرافي والإسناد

    استمرت الهجمات التي حقق فيها باحثو كاسبرسكي لاب لأسابيع. ومع ذلك، استطاع المهاجمون العمل بعيدًا

    عن أعين الرادار لعدة أشهر. فعلى سبيل المثال، اكتشف الخبراء أثناء تحليل إحدى الحالات الأمنية في جنوب شرق آسيا

    أن القراصنة تمكنوا من اختراق شبكة المصرف منذ ما لا يقل عن سبعة أشهر

    قبل اليوم الذي طلب فيه فريق الأمن التابع للمصرف طلب العون من فريق الاستجابة للحالات الأمنية الطارئة.

    وفي الواقع، كانت لدى العصابة القدرة على الدخول إلى شبكة ذلك المصرف حتى قبل اليوم الذي وقعت فيه حادثة بنغلاديش.

    وفقًا لسجلات كاسبرسكي لاب، بدأ ظهور عينات البرمجية الخبيثة المتعلقة بنشاط عصابة “لازاروس” في المؤسسات المالية والكازينوهات

    ومطوري البرمجيات لشركات الاستثمار والمؤسسات التي تستخدم العملات المشفرة في

    كوريا وبنغلاديش والهند وفيتنام واندونيسيا وكوستاريكا وماليزيا وبولندا والعراق وإثيوبيا وكينيا ونيجيريا وأوروغواي وغابون وتايلند

    وعدة دول أخرى منذ كانون الأول/ديسمبر 2015. كما جرى الكشف عن العينات الأحدث المعروفة لكاسبرسكي لاب في آذار/مارس 2017،

    مما يشير إلى أن المهاجمين ليس لديهم نية لوقف أنشطتهم.

    وعلى الرغم من أن المهاجمين كانوا حذرين بما فيه الكفاية لإزالة أي أثر يدل على وجودهم،

    كان هناك خادم واحد على الأقل قامت العصابة باختراقه لاستخدامه في هجوم آخر. وقد احتوى هذا الخادم على خطأ فادح ودليل آخر مهم خلفته العصابة وراءها.

    وأثناء التحضير للعملية، تم تعريف الخادم كمركز للسيطرة والتحكم في البرمجية الخبيثة.

    وكان مصدر الاتصال الذي تم إجراؤه في يوم تعريف الخادم يعود إلى عدد من خوادم الشبكات الافتراضية الخاصة،

    مما يشير إلى وجود فترة اختبار لخادم السيطرة والتحكم. ومع ذلك،

    كان هناك اتصال واحد قصير في ذلك يعود مصدره إلى مجموعة عناوين بروتوكول الإنترنت IP نادرة جدًا في كوريا الشمالية.ووفقا للباحثين،

    فقد يعني هذا الأمر عدة أمور، منها: أن المهاجمين متصلون من عنوان بروتوكول الإنترنت عينه في كوريا الشمالية،

    وأنهم قد قد قاموا بالتظاهر بالخاطئ لتضليل أعمالهم، وبأنه قد زار شخص ما الرابط في كوريا الشمالية عن طريق الخطأ.

    وتستثمر عصابة “لازاروس” الإلكترونية بدرجة كبير في أنماط جديدة متنوعة لبرمجياتها الخبيثة.

    وكانت العصابة تحاول منذ أشهر أن تتوصل إلى ابتكار جملة أدوات خبيثة غير مرئية ويتعذر اكتشافها من قبل منصات الحماية الأمنية،

    إلا أنه في موازاة قيامهم بذلك، يتمكن خبراء كاسبرسكي لاب من تحديد الخصائص الجديدة التي تمكنهم من معرفة كيفية برمجة رموز الشيفرة

    التي تضعها العصابة الإلكترونية، مما يتيح لكاسبرسكي لاب مواصلة تتبع كافة الأنماط الهجومية الخبيثة المستجدة.

    واليوم، يبدي المهاجمون هدوءًا نسبيًا، وهو ما يعني على الأرجح، أنهم يستعدون لإعادة هيكلة ترسانتهم الهجومية.

    وقال فيتالي كاملوك، رئيس فريق الأبحاث والتحليلات العالمي لدول آسيا المحيط الهادئ في كاسبرسكي لاب:

    “نحن على ثقة بأن هذه العصابة ستعود مجددًا وفي القريب العاجل. وعمومًا، تظهر الهجمات،

    مثل تلك التي شنتها عصابة لازاروس الإلكترونية بأن أي خطأ بسيط في عملية التعريف قد يؤدي إلى حدوث اختراق أمني كبير

    يكبد الشركة المستهدفة خسائر مالية بمئات الملايين من الدولارات. نأمل في أن يصبح المدراء التنفيذيون في البنوك والكازينوهات وشركات الاستثمار

    حول العالم على دراية وحذر من اسم عصابة لازاروس”.

    وتكتشف منتجات كاسبرسكي لاب وتتبع بنجاح البرمجيات الخبيثة المستخدمة من قبل عصابة “لازاروس” الإلكترونية

    من خلال أسماء الصيغ المكتشفة التالية:

    HEUR:Trojan-Banker.Win32.Alreay ، و Trojan-Banker.Win32.Agent.

    كما ستصدر الشركة قريبًا أيضًا مؤشرات الاختراق IOC المهمة وبيانات أخرى حيوية بهدف مساعدة الشركات في العثور

    على أدلة حول هجمات هذه العصابة في شبكاتها.

    وتوصي كاسبرسكي لاب جميع الشركات بإجراء مسح دقيق لشبكاتها للتأكد من خلوها من برمجية “لازاروس” الخبيثة،

    وفي حال الكشف عنها، يجب العمل على إزالة الإصابة من أنظمتها والإبلاغ

    عن الإصابة إلى هيئة انفاذ القانون وفرق الاستجابة السريعة في حالات الطورائ.


     
    Monner ،student ،Fadi344 و 4آخرون معجبون بهذا.
  2. SASA G

    SASA G مشرف قســـم البرامج العـــام طاقم الإدارة عضو المكتبة الإلكترونية فريق الدعم المساعد لقسم الحماية

    إنضم إلينا في:
    ‏ديسمبر 27, 2008
    المشاركات:
    4,832
    الإعجابات المتلقاة:
    3,200
    نقاط الجائزة:
    1,350
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 10
    مشاركة مميزة أخي التميمي بارك الله فيك
     
  3. ابو احمد النعماني

    ابو احمد النعماني مشرف قسم أنظمة التشغيل والشبكات والحزم المكتبية طاقم الإدارة فريق الدعم لقسم الحماية نجم الشهر فريق تحويل الروابط

    إنضم إلينا في:
    ‏أغسطس 9, 2016
    المشاركات:
    1,463
    الإعجابات المتلقاة:
    2,201
    نقاط الجائزة:
    1,390
    الإقامة:
    الرياض
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 10
     
  4. tayeb62

    tayeb62 مشرف قسم البرامج طاقم الإدارة المركز الثالث بمسابقة البرامج نجم الشهر

    إنضم إلينا في:
    ‏يناير 4, 2010
    المشاركات:
    3,270
    الإعجابات المتلقاة:
    3,645
    نقاط الجائزة:
    1,765
    الإقامة:
    ألجزائر ALGERIA
    برامج الحماية:
    ESET
    نظام التشغيل:
    Windows 7
    معلومة مهمة أخي التميمي ربي يحفظ اموال المسلمين
     
    أعجب بهذه المشاركة التميمي14
  5. رضا سات

    رضا سات زيزوومي مبدع

    إنضم إلينا في:
    ‏نوفمبر 15, 2016
    المشاركات:
    1,178
    الإعجابات المتلقاة:
    733
    نقاط الجائزة:
    620
    الإقامة:
    تونس
    برامج الحماية:
    avast
    نظام التشغيل:
    Windows 7
    بارك الله فيك على المعلومة
     
    أعجب بهذه المشاركة التميمي14
  6. أسيرالشوق

    أسيرالشوق عضو شرف الأعضاء النشطين لهذا الشهر

    إنضم إلينا في:
    ‏يونيو 2, 2008
    المشاركات:
    18,162
    الإعجابات المتلقاة:
    8,457
    نقاط الجائزة:
    1,595
    الإقامة:
    السعودية
    برامج الحماية:
    Norton
    نظام التشغيل:
    Windows 7
    بارك الله فيك اخي الحبيب
    شكراً لك على الطرح الرائع
     
    أعجب بهذه المشاركة التميمي14
  7. Fadi344

    Fadi344 زيزوومي ذهبي الأعضاء النشطين لهذا الشهر

    إنضم إلينا في:
    ‏أغسطس 16, 2013
    المشاركات:
    1,215
    الإعجابات المتلقاة:
    1,210
    نقاط الجائزة:
    1,025
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 7
    مشكور أخي الكريم ..
     
حالة الموضوع:
مغلق

مشاركة هذه الصفحة

جاري تحميل الصفحة...