بالو ألتو نتوركس تعلن اكتشاف برمجية خبيثة باسم الدب المتحوّر تستطيع تغيير مظهرها للهروب من الرصد الأمني
البرمجية الجديدة يتم استغلالها من قبل جماعة التجسس الإلكتروني "بلاك تك" والتي يرجح وجود صلات لها مع الحكومة الصينية
كتب كمال ريان
اكتشفت شركة بالو ألتو نتوركس برمجية “الدب المتحور” الخبيثة BendyBear، التي تعتبر إحدى أكثر البرمجيات الصينية الخبيثة تطورا وتعقيدا حتى هذا اليوم. حيث تعمد هذه البرمجية الخبيثة إلى تحوير مظهرها باستمرار وتحاول التملص من الرصد الأمني باستخدام خوارزمية تشفير معدلة. وتنسب هذه البرمجية المتحورة إلى سلالة البرمجيات الخبيثة “الدب المائي” WaterBear. وقد سلك مطوروها عدة أساليب لإبقائها في حالة من الخفاء والسرية. حيث تقوم برمجية “الدب المتحور” الخبيثة على سبيل المثال بتفريغ مكوناتها مباشرة في الذاكرة المؤقتة بدلا من الأقراص الصلبة، أي أنها لا تترك خلفها بصمات تقليدية يمكن أن تقتفي أثرها المنتجات الأمنية وأجهزة البحث، مما يجعل اكتشافها أمرا في غاية الصعوبة.
ويجري استغلال برمجية “الدب المتحور” الخبيثة من قبل جماعة التجسس الإلكتروني “بلاك تك” BlackTech، والتي تعتقد أوساط البحوث الأمنية بوجود صلات لها مع الحكومة الصينية على خلفية هجمات إلكترونية استهدفت حكومات ومؤسسات تقنية في شرق آسيا بداية من 2009 على أقل تقدير.
وباشرت شركة بالو ألتو نتوركس بنشر ما وقفت عليه من مؤشرات عن الاختراقات الأمنية الحاصلة وبيانات أخرى لأجل مساعدة المؤسسات على تحديد ما إذا كانت قد تعرضت للاختراق ببرمجية “الدب المتحور” الخبيثة وصد الهجمات بها مستقبلا.
هذا وقد أطلعت بالو ألتو نتوركس شركاءها الثقة في الحكومات وأوساط الصناعة على نسخ سابقة للنشر من بحثها الذي تطرق إلى برمجية “الدب المتحور” الخبيثة، بما في ذلك تحالف مكافحة التهديدات الإلكترونية. وقامت بالو ألتو نتوركس لاحقا بنشر نتائج بحثها للعموم بهدف جعل برمجية “الدب المتحور” الخبيثة أداة أقل فعالية لأغراض التجسس الإلكتروني، لكنها نوهت إلى ضرورة بقاء المؤسسات متيقظة حيال المهاجمين الذي يستغلون تكتيكات التخفي، كما حصل في قضية التجسس الشهيرة “سولار ويندز” SolarWinds في وقت سابق.
وبادرت شركة بالو ألتو نتوركس إثر اكتشافها برمجية “الدب المتحور” الخبيثة إلى تحديث جدار الحماية من الجيل الجديد (والذي يشمل الاشتراكات في خدمة أمن نظام أسماء النطاقات وفلترة الويب ومحرك تحليل البرمجيات الخبيثة “وايلد فاير”). وتجدر الإشارة إلى قدرة منصة كورتيكس إكس دي آر الأمنية على كشف برمجية “الدب المتحور” الخبيثة وحظرها فورا أثناء التنفيذ.
