عصابة برمجيات الفدية الخبيثة أساءت استخدام شهادات مايكروسوفت لتوقيع البرمجيات الخبيثة
كشف تقرير حديث صادر عن باحثين أمنيين أن عصابة برمجيات الفدية الخبيثة تسيء استخدام شهادات مايكروسوفت لتوقيع برمجياتها الخبيثة وتجنب اكتشافها. تُعد العصابة، المعروفة باسم Conti، واحدة من أكثر مجموعات برمجيات الفدية الخبيثة نشاطًا وانتشارًا في العالم، وهي مسؤولة عن مئات الهجمات على المؤسسات في مجموعة من القطاعات.
ووفقًا للتقرير، فإن كونتي تستخدم تقنية تسمى «انتحال الشهادات» لجعل برمجياتها الخبيثة تبدو وكأنها برمجيات مايكروسوفت شرعية. وانتحال الشهادة هو طريقة للتلاعب بالتوقيع الرقمي لملف ما لجعله يبدو وكأنه موقع من جهة موثوقة. في هذه الحالة، تمكّنت كونتي من انتحال شهادة برنامج مايكروسوفت ويندوز ديفندر، وهو برنامج مكافحة الفيروسات المدمج في ويندوز.
وبذلك، تمكّن كونتي من تجاوز الضوابط الأمنية لنظام Windows Defender وغيره من منتجات مكافحة الفيروسات التي تعتمد على التحقق من صحة الشهادات. وقد سمح لها ذلك بتنفيذ حمولة برمجيات الفدية الخبيثة دون أن يكتشفها النظام أو يحظرها. كما وجد التقرير أيضاً أن كونتي كانت تستخدم أداة تعبئة مخصصة للتشويش على شيفرة برمجيتها الخبيثة وتجنب التحليل الثابت.
وحذّر الباحثون من أن انتحال الشهادات يمثل تهديدًا خطيرًا يمكن أن يقوض الثقة في الشهادات الرقمية وأمنها. ونصحوا المؤسسات بتنفيذ طبقات متعددة من الدفاع، مثل التحليل السلوكي ومراقبة الشبكة واكتشاف نقاط النهاية والاستجابة لها، للحماية من هجمات الفدية الخبيثة. كما أوصوا بأن تقوم مايكروسوفت بإلغاء الشهادات المزورة وتحديث عملية التحقق من التوقيعات لمنع إساءة الاستخدام في المستقبل.
كشف تقرير جديد كيف تستغل مجموعة برمجيات الفدية الخبيثة المعروفة باسم «كوبا» برمجيات خبيثة معتمدة من مايكروسوفت لشن هجمات إلكترونية على مؤسسات مختلفة في الولايات المتحدة ودول أخرى. وبلدان أخرى. تنشط هذه المجموعة، التي يُشتبه في أنها تعمل من روسيا، منذ عام 2020 على الأقل، وقد استهدفت قطاعات مثل الرعاية الصحية والتعليم والتصنيع. ووفقًا للتقرير، تستخدم كوبا برمجيات خبيثة موقّعة بشهادات مايكروسوفت سارية المفعول، مما يعني أن البرمجيات الخبيثة يمكنها تجاوز بعض الضوابط الأمنية والظهور بمظهر أكثر جدارة بالثقة للضحايا المحتملين. كما يقدم التقرير تفاصيل تقنية حول كيفية عمل البرمجية الخبيثة وكيفية تشفيرها للبيانات على الأنظمة المصابة، والمطالبة بفدية مقابل استعادتها. ويحذّر التقرير من احتمال استمرار كوبا في أنشطتها الخبيثة، وينصح المؤسسات باتخاذ تدابير وقائية لحماية شبكاتها وبياناتها من هجمات برمجيات الفدية الخبيثة.
توقيع الشفرة هي عملية مهمة للتحقق من صحة وسلامة البرمجيات. وهي تتضمن استخدام شهادة تشفير صادرة عن جهة موثوقة لتوقيع البرنامج رقمياً. وبهذه الطريقة، يمكن للمستخدمين التأكد من أن البرنامج الذي يقومون بتنزيله أو تثبيته يأتي من مصدر شرعي ولم يتم التلاعب به.
ومع ذلك، فإن توقيع الشيفرات البرمجية ليس محصناً ضد الهجمات. إذ يمكن لمجرمي الإنترنت استغلال نقاط الضعف في البنية التحتية لتوقيع الشيفرات البرمجية، مثل سرقة أو تزوير الشهادات، أو اختراق خوادم التوقيع أو إساءة استخدام الخدمات الشرعية، لتوقيع برمجياتهم الخبيثة. يمكن أن يساعدهم ذلك على التهرب من الدفاعات الأمنية وخداع المستخدمين ليثقوا ببرمجياتهم الخبيثة.
أحد الأمثلة على هذا التهديد هو اكتشاف Google مؤخرًا أن بعض تطبيقات Android الموزعة من خلال قنوات الطرف الثالث تم توقيعها بشهادات منصة مخترقة. تتم إدارة هذه الشهادات من قبل الشركات المصنعة لأجهزة أندرويد وتستخدم لتوقيع مكونات النظام والتطبيقات المثبتة مسبقاً. تم العثور على بعض التطبيقات الخبيثة التي تحتوي على أجزاء من البرمجية الخبيثة Manuscrypt، والتي ترتبط بقراصنة كوريين شماليين يستهدفون منصات العملات الرقمية.
مثال آخر هو ملاحظة مانديانت أن بعض مجموعات برمجيات الفدية الخبيثة تستخدم خدمة إجرامية شائعة لتوقيع الشيفرات البرمجية. وتوفر هذه الخدمة شهادات أو خدمات توقيع مسروقة أو تم الحصول عليها عن طريق الاحتيال لجهات التهديد مقابل رسوم. وهذا يسمح لهم بالتحايل على منتجات الكشف عن نقاط النهاية والاستجابة لها من مختلف البائعين.
وتسلط هذه الحوادث الضوء على الحاجة إلى زيادة اليقظة والحماية من هجمات توقيع الشيفرات البرمجية. يجب على مجتمع الأمن أن يكون على دراية بهذا التهديد الناشئ وتنفيذ تدابير أمنية إضافية، مثل التحقق من سمعة الشهادات وصلاحيتها، ومراقبة أنشطة توقيع الشيفرات البرمجية وحالات الشذوذ، واستخدام طبقات متعددة من الدفاع. بالإضافة إلى ذلك، قد نرى المزيد من المهاجمين يحاولون نسخ هذا النوع من الهجمات في المستقبل.
