كشفت تقنية كاسبرسكي لاب المنع التلقائي من الاستغلال، والمتضمَّنة في معظم حلول النقاط الطرفية للشركة، عن سلسلة من الهجمات الإلكترونية الموجهة استهدفت مستخدمين في منطقة بالشرق الأوسط.
وجرت الهجمات باستخدام برمجية خبيثة جديدة استغلت ثغرة أمنية لم تكن معروفة من قبل في نظام التشغيل الشهير “ويندوز” من مايكروسوفت، وهدفت لتمكين المجرمين الإلكترونيين من الوصول الدائم إلى أنظمة الضحايا. وقد أغلقت مايكروسوفت الثغرة الأمنية يوم 9 أكتوبر الجاري.
ويُعد الهجوم من خلال الثغرات الأمنية المجهولة، والذي يُعرف باسم “هجوم بلا انتظار” أحد أخطر أشكال التهديدات الإلكترونية، نظراً لأنه ينطوي على استغلال ثغرة لم يتم اكتشافها أو إصلاحها بعد، ورغبة مجرمي الإنترنت بالمسارعة إلى استغلالها في شنّ هجمات قبل أن يتم إغلاقها. وإذا عثرت جهة تخريبية ما على ثغرة في نظام ما، فإنها تستطيع المسارعة إلى شنّ هجوم دون انتظار من أجل استغلال الثغرة والوصول إلى كامل النظام.
ويستخدم هذا السيناريو على نطاق واسع من جهات تخريبية متطورة لشنّ هجمات متقدمة مستمرة، كما في الحالة التي تمّ اكتشافها.
تم شنّ هجوم الاستغلال المكتشف في النظام “ويندوز” عن طريق المنفذ الخلفي PowerShell، قبل أن يتم تنفيذه من أجل الحصول على امتيازات الدخول اللازمة للبقاء على النظام الضحية. وقد كانت الشيفرة البرمجية الخبيثة عالية الجودة وتمت كتابتها لتتمكّن من عملية استغلال أكبر عدد ممكن من أنظمة “ويندوز”.
واستهدفت الهجمات الإلكترونية أقل من اثني عشر شركة ومؤسسة في الشرق الأوسط خلال أواخر الصيف. ويُشتبه في أن الجهة التخريبية التي تقف وراء الهجوم يمكن أن تكون مرتبطة بمجموعة FruityArmor، إذ إن المنفذ الخلفي PowerShell المستخدم في الهجوم لم يُستخدم في الماضي إلاّ من قبل هذه العصابة التخريبية. وسارع خبراء كاسبرسكي لاب إلى إبلاغ مايكروسوفت عن هذه الثغرة عند اكتشافهم لها.