تواصل الجهات الواقفة وراء التهديدات المتقدمة المستمرة بحثها عن طرق أحدث وأساليب أكثر تعقيدًا لتنفيذ هجماتها، ما يدفع بباحثي كاسبرسكي إلى مراقبة تلك الجهات والتعرف على الطرق التي تسلكها لتحديث أساليبها وتطوير مجموعات أدواتها.
وأظهر تقرير فصلي صادر عن كاسبرسكي، أن مشهد التهديدات الرقمية شهد زيادة في الهجمات التي استهدفت النظام Microsoft Exchange Server في الربع الثاني من العام 2021.
وكشفت كاسبرسكي في التقرير الحديث المعنون بـ "التهديدات المتقدمة المستمرة 2021"، عن تفاصيل عملية فريدة طويلة الأمد تقف وراءها عصابة شبح الأمبراطور GhostEmperor، استغلّت ثغرات في نظام خادم البريد الإلكتروني من شركة مايكروسوفت في استهداف جهات بارزة بمجموعة أدوات متقدمة لا تتشابه مع الأدوات المستخدمة من قبل أية جهة من جهات التهديد المعروفة.
وتُعدّ العصابة شبح الأمبراطور GhostEmperor جهة تهديد ناطقة باللغة الصينية اكتشفها باحثو كاسبرسكي، وينصبّ تركيزها في الغالب على أهداف في جنوب شرق آسيا، بينها العديد من الجهات الحكومية وشركات الاتصالات.
وتتميز هذه العصابة باستخدام برمجية من نوع "روتكيت" Rootkit تستهدف وضعية النواة kernel-mode في نظام التشغيل ويندوز، وهذه البرمجية لم تكن معروفة في السابق.
وتتيح برمجيات "روتكيت"، التي يعني اسمها حرفيًا "أطقم التجذير"، القدرة على التحكم عن بُعد بالخوادم التي تستهدفها، وهي قادرة بطبيعتها على التخفي عن أعين المحققين وحلول الأمن الرقمي.
واستخدمت عصابة GhostEmperor مخطط تحميل يتضمن مكونًا سليمًا مفتوح المصدر يسمى Cheat Engine للتمكّن من تجاوز آلية Windows Driver Signature Enforcement الخاصة بالتحقق من سلامة البرمجيات في ويندوز.
ووجد باحثو كاسبرسكي أن مجموعة الأدوات المتقدمة هذه فريدة من نوعها، في حين لم يروا أي تقارب أو تشابه بينها وبين أية أدوات مستخدمة من الجهات التخريبية المعروفة في مجال التهديدات الرقمية، وتوقع الخبراء أن تكون مجموعة الأدوات هذه مستخدمة منذ يوليو 2020 على أقل تقدير.
وقال ديفيد إم خبير الأمن لدى كاسبرسكي، إنه كلما تطورت تقنيات الكشف عن التهديدات الرقمية والحماية منها، تطورت الجهات التخريبية ورفعت قدراتها، مشيرًا إلى أنها تحرص في العادة من أجل تحقيق هذا الأمر على تحديث مجموعة أدواتها.
وأضاف: "تُعدّ عصابة GhostEmperor مثالًا واضحًا على مساعي مجرمي الإنترنت للحصول على تقنيات جديدة يلجأون إليها وثغرات جديدة يستغلونها. واستطاعت هذه العصابة باستخدام برمجية "روتكيت" كانت مجهولة في السابق، أن تضيف مزيدًا من المشاكل إلى مشهد التهديدات القوي والزاخر أصلًا بالهجمات ضد خوادم Microsoft Exchange".
