كشفت “مجموعة تالوس لأمن المعلومات” (Talos Intelligence Group) التابعة لشركة “سيسكو”، هذاالأسبوع، أنّ الباحثين اكتشفوا حملة برمجيات تجسّس جديدة أُطلِق عليها اسم “DNSpionage”، استهدفت أفراداً ومواقع إلكترونية حكومية في لبنان والإمارات العربية المتحدة، بالإضافة إلى شركات خاصة لبنانية، مثل شركة “طيران الشرق الأوسط” (MEA).
أطلق المهاجمون حملتين مختلفتين إنّما كانتا في بعض الأحيان على السيرفرات نفسها. وبالاعتماد على هجمات التصيّد الإلكتروني المخصص (spearphishing)، نشر المهاجمون روابط مزيفة لفُرَص عمل وهمية تضمّ ملفات “وورد” مع وصف وظيفي وهمي. وبمجرّد تنزيل الهدف لهذه المستندات، تعمل هذه الأخيرة مباشرة على تشغيل تعليمات برمجية ضارة.
لم يتمكّن الباحثون من تحديد ما إذا تلقّى الأهداف روابط التصيّد المخصص هذه عبر البريد الإلكتروني أو “لينكدإن” أو أي شبكة تواصل أخرى. وأطلقوا على هذه الحملة اسم “DNSPionage” كون البرمجية الضارة “تدعم التواصل عبر HTTP وDNS مع المهاجمين”. فبروتوكولات “نظام أسماء النطاقات” (DNS) تربط بفعالية عنوان بروتوكول إنترنت (IP) محدّدٍ بإسمٍ محدّد. وعلى سبيل المثال، عندما تزور موقع smex.org، فإنّ الـDNS يطلب الحصول على الـIPالمرتبط بـsmex.org لإتاحة عرض صفحة الويب من خلال HTTP. وبالتالي، فإنّ تغيير طلبات DNS يمكن أن يؤدّي إلى توجيه المستخدم إلى عنوان IP غير رسمي، ويمكن أيضاً أن يسمح للمقرصنين بالوصول إلى بيانات تسجيل الدخول للزوار.
في القسم الثاني من الحملة، قام المهاجمون بإعادة توجيه أسماء النطاقات الشرعية المملوكة للحكومة، بما في ذلك تلك التي تديرها وزارة المالية اللبنانية و”شركة طيران الشرق الأوسط”، و”هيئة تنظيم الاتصالات” في الإمارات (TRA). واستهدف المهاجمون بحسب التقرير مواقع استضافة البريد: webmail[.]finance[.]gov[.]lb وmemail[.]mea[.]com[.]lb.
لم يتأكد الباحثون تماماً من المعلومات التي يمكن أن يكون المهاجمون قد حصلوا عليها، ولكنّهم قدّروا أنّ المهاجمين استهدفوا البريد الإلكتروني وحركة مرور “الشبكات الافتراضية الخاصة” (VPN) من أجل جمع عناوين البريد الإلكتروني وكلمات المرور بالإضافة إلى أسماء وكلمات المرور المستخدمة في “الشبكات الافتراضية الخاصة”.
ونظراً لتمكّن المهاجمين من إعادة توجيه أسماء النطاقات المملوكة للحكومة، فمن الممكن أن تكون مدخلات الـDNS الخاصة بسيرفر وزارة المالية قد تعرّضت للاختراق.
في هذا الوقت، توصي “سمكس” بأن يعمد كلّ من لديه بريد إلكتروني مسجل في خادم البريد التابع لوزارة المالية اللبنانية أو في شركة “طيران الشرق الأوسط” إلى تغيير كلمة المرور الخاصة به لكلّ الحسابات التي يمتلكها، خصوصاً إذا كان يستخدم كلمة المرور في مكان آخر.
سنستمر في إضافة المزيد من المعلومات عن هذه القضية مع تكشّف المزيد من التفاصيل.
راغب غندور طالب دكتوراه في MINES ParisTech، وهو عالم كمبيوتر يحمل درجة الماجستير في نظم المعلومات لإدارة المخاطر. راغب شغوف بالأمن السيبراني، ويركز بشكل رئيسي على الخطأ البشري في مجال الأمن السيبراني وحقوق حرية التعبير والخصوصية عبر الإنترنت.
