Hidden Lynx براعة تقنية جديدة من فريق الاستجابة الأمنية لدى سيمانتك

على مدى السنوات القليلة الماضية، واصلت التقارير ظهورها حول الأنشطة الفاعلة للجهات الكامنة خلف الهجمات المستهدفة المتنوعة أو التهديدات الإلكترونية المتواصلة المتقدمة APTs. ونحن هنا في قسم «سيمانتك» للاستجابة الأمنية نولي اهتمامنا بمجموعة نعتقد أنها من بين أفضل المجموعات، وقد أطلقنا عليها اسم “لينكس الخفي” Hidden Lynx وهو اسم إحدى السلالات التي وجدت في اتصالات خوادم السيطرة والتحكم. وتملك هذه المجموعة دافعاً حقيقاً يفوق غيرها من المجموعات المعروفة الأخرى مثل APT1/Comment Crew. وتتمثل المزايا الرئيسية لهذه المجموعة في:

• البراعة التقنية
• الخفة
• التنظيم
• الحنكة
• الصبر

وتظهر هذه الصفات من خلال الحملات المتوالية التي شنت ضد أهداف متعددة ومتزامنة على مدى فترة طويلة من الزمن. وهي رائدة تقنية “الواحة” المستخدمة للإيقاع بالأهداف، وقد استطاعت في السابق تجاوز جميع نقاط الضعف، وتمتعت بالمثابرة والصبر للتلاعب بسلاسل التوريد للحصول على الهدف الحقيقي. ونفذت هذه الهجمات من خلال إصابة أجهزة الكمبيوتر لدى أحد موردي الهدف المقصود ومن ثم انتظار تركيب أجهزة الكمبيوتر المصابة والاتصال بالمركز، ومن الواضح أن هذه إجراءات مدروسة جداً وليست هجمات متهورة للهواة.

ولا تحصر هذه المجموعة نفسها بمجموعة من الأهداف، وإنما تستهدف مئات المؤسسات المختلفة في عدد من المناطق، وفي الوقت نفسه ربما. ونظراً لاتساع وكثرة الأهداف والمناطق المعنية، تبين لنا أن هذه المجموعة تشبه إلى حد بعيد أحد القراصنة المحترفين المتعاقدين مع العملاء للحصول على المعلومات، فهم يسرقون بناء على الطلب، بصرف النظر عن اهتمام عملائهم، وفقاً لتنوع وتوسع الأهداف.

ونعتقد أيضاً أنه لتنفيذ هجمات من هذا الحجم، يجب على المجموعة أن تملك خبرة كبيرة في مجال القرصنة الإلكترونية، حيث يتم توظيف نحو 50 إلى 100 عميل وتنظيمهم ضمن فريقين مهمتهما تنفيذ مختلف الأنشطة باستخدام أدوات وتقنيات مختلفة. وتتطلب هذه الأنواع من الهجمات الوقت والجهد لتنفيذ بعض الحملات التي تتطلب البحث وجمع المعلومات الاستخباراتية قبل تنظيم أي هجوم ناجح.

ويأتي في طليعة هذه المجموعة فريق يستخدم الأدوات المتاحة إلى جانب تقنيات أساسية وفعالة لمهاجمة عدد من الأهداف المختلفة. ويمكنهم العمل كاستخباراتيين أيضاً. ونطلق على هذا الفريق اسم “مودور” تبعاً لاسم حصان طروادة الذي يستخدمونه. ويعد “مودور” الباب الخلفي لحصان طروادة الذي يستخدمه الفريق بحرية دون القلق حيال اكتشاف الشركات الأمنية لهم. ويعمل الفريق الآخر مثل وحدة عمليات خاصة، ويتم استخدام موظفين نخبويين لضرب الأهداف الأشد والأكثر قيمة. ويستخدم الفريق النخبوي حصان طروادة يدعى “نايد” ولذا يشار إلى هذا الفريق باسم فريق “نايد”. وبخلاف “مودور”، يستخدم حصان طروادة “نايد”بحذر وعناية لتجنب التعقب والقبض وكأنه سلاح سري يستخدم حصراً عندما لا يكون الفشل خياراً مطروحاً.

ومنذ عام 2011، أحصينا ست حملات هامة على الأقل لهذه المجموعة. من أبرزها حملة “فوهو” في يونيو 2012. ومما أثار الاهتمام في هذه الهجمة على وجه الخصوص هو استخدام تقنية هجمة “الواحة” والتلاعب بالبنية التحتية لملف “بيت9” الموثوق. وقد استهدفت الحملة المتعاقدين مع وزارة الدفاع الأمريكية التي كانت أنظمتهم محمية ببرنامج حماية “بيت9” المعتمد على الثقة، ولكن عندما تم حجب تقدم مهاجمي “لينكس الخفي” من خلال هذا العائق، أعادوا دراسة خياراتهم ووجدوا أن أفضل طريقة للتغلب على الحماية كانت التلاعب بمركز نظام الحماية نفسه وتخريبه لأغراضهم الخاصة. وهذا بالضبط ما فعلوه عندما حولوا انتباههم إلى “بيت9” واخترقوا أنظمتهم. وعند الاختراق، وجد المهاجمون بسرعة أن طريقهم إلى ملف البنية التحتية الذي كان أساس نموذج حماية “بيتا9” ومن ثم استخدموا هذا النظام لتوقيع عدد من الملفات الخبيثة ثم استخدمت هذه الملفات بدورها للتلاعب بالأهداف الحقيقية المعنية.