كشف باحثو الأمن في شركة الحماية ESET مؤخرًا عن برمجية تجسس إلكتروني نشيطة بشكل كبير في روسيا وأوكرانيا منذ عام 2013 على الأقل تسمى InvisiMole، وكما يوحي اسمها، فإن البرمجية المكتشفة حديثًا تعمل بشكل مخفي، بحيث أنها تنفذ عمليات استهداف عالية الدرجة بنسبة إصابة منخفضة، مع تحويلها أجهزة الحاسب إلى كاميرا فيديو للتجسس ومراقبة أنشطة الضحية عن كثب، مما يمكن المهاجمين من الاستماع إلى المحادثات والتقاط الصور باستخدام الجهاز المخترق.
وقالت زوزانا هرومكوفا Zuzana Hromcová، محللة البرمجيات الخبيثة في ESET: “تعد InvisiMole بمثابة برمجية تجسس مجهزة بالكامل يمكن أن تتنافس قدراتها الغنية بالتأكيد مع أدوات التجسس الأخرى التي تظهر مؤخرًا بشكل كبير”.
وتسلط عملية الاكتشاف الضوء على طريقة التخفي الخاصة بهذه البرمجية، حيث تم الحديث عنها بشكل مفصل من قبل الباحثين في شركة ESET، بعد اكتشافها لأول مرة على أجهزة الحاسب المخترقة في أوكرانيا وروسيا، حيث يعتقد أن البرمجية تعمل بشكل انتقائي كبير، إذ اتضح أنها أثرت على بضع عشرات من أجهزة الحاسب فقط، لكن الأهداف ذات أهمية كبيرة وذات قيمة عالية للمهاجمين.
وقالت ESET إن البرمجية الخبيثة تقوم بتحويل الحاسب المصاب إلى كاميرا فيديو، مما يسمح للمهاجمين برؤية وسماع ما يحدث في مكتب الضحية أو في أي مكان قد يكون فيه الجهاز المصاب، وقد نجح أولئك الذين يقفون وراء البرمجية في إخفاء طرق الوصول إليهم بشكل جيد، بحيث لم يكن بإمكان الباحثين معرفة من يقف خلف InvisiMole، ولكن هناك شيء واحد مؤكد هو أن الطبيعة القوية للأداة تضعها في مصاف برمجيات التجسس المطورة من قبل بعض المجموعات التجسسية الأكثر تطور.
موضوعات ذات صلة بما تقرأ الآن:
وتبعًا لطبيعة InvisiMole، فإن الباحثين غير متأكدين حول كيفية وصول البرمجية إلى الأجهزة المستهدفة، مع الأخذ بعين الاعتبار جميع طرق نقل العدوى المحتملة، بما في ذلك الوصول المادي إلى جهاز الحاسب نفسه، وتنحصر المعلومات في أن هذه البرمجية الخبيثة مخبأة في ما تم تصميمه ليبدو وكأنه برنامج لتوفير التوافق بين التطبيقات، بحيث يستخدم هذا الملف المخفي لكي يبدو أنه ينتمي إلى مكان تخزينه من أجل تشغيل InvisiMole من خلاله ويستخدم لتهديد النظام.
وتخفي برمجية InvisiMole نفسها عن الضحية المصابة عن طريق تشفير السلاسل والملفات الداخلية وبيانات التكوين والتواصل الشبكي، بحيث يتواجد ضمن البرمجية الخبيثة وحدة تسمى RC2FM، والتي تعمل على إنشاء أبواب خلفية لكامل النظام ومجموعة مختارة من الأوامر المختلفة التي يمكن تشغيلها على الحاسب المصاب عندما يرغب المهاجمين بذلك.
وتشمل إمكنيات البرمجية على تسجيل الصوت باستخدام أجهزة إدخال الصوت من الجهاز والقدرة على أخذ لقطات شاشة للحاسب المصاب، ولاحظ الباحثون أنه يمكن التقاط لقطات شاشة لكل نافذة مفتوحة بشكل منفصل، مما يتيح للمهاجمين أخذ لقطات شاشة من التطبيقات والمعلومات التي تعمل في الخلفية.
كما تسمح البرمجية الخبيثة للمهاجم بإنشاء وفتح وحذف الملفات وإدراج جميع المعلومات حول النظام والمزيد من الإمكانيات، وذلك مع حرص المهاجمين على عدم ترك دليل على هذا النشاط، ويمكن استخراج ونقل كل هذه المعلومات إلى خادم القيادة والتحكم الذي يديره المهاجم لاستخدامها في أي أغراض، ويمكن للمهاجمين أيضًا تتبع الموقع الدقيق للجهاز، وهو تكتيك مفيد إذا كان الحاسب المصاب جهاز حاسب محمول يتم نقله بشكل مستمر.
وقالت زوزانا هرومكوفا Zuzana Hromcová: “برمجية InvisiMole قادرة على مسح الشبكات اللاسلكية المفعلة على النظام المخترق، وتسجل معلومات مثل SSID وعنوان MAC لنقاط وصول Wi-Fi المرئية، ويمكن بعد ذلك مقارنة هذه البيانات بقواعد البيانات العامة، مما يسمح للمهاجمين بتعقب الموقع الجغرافي للضحية”.