ليبيا – كشف تقرير استقصائي لموقع “سكيوريتي أفيرس” الأمني الأميركي عن جندي “شبح” سيبراني مستخدم لباب خلفي للتجسس إلكترونيًا على أهداف في ليبيا.
التقرير الذي تابعته وترجمت المهم فيه صحيفة المرصد أكد اكتشاف خبراء باحثين في فريق “تشيك بوينت ريسيرتش” الدولي المعني بالأمن السيبراني لحملة تجسس إلكتروني عالية الاستهداف في ليبيا عبر هذا الباب الخلفي المعياري الجديد الحامل لاسم الجندي الخفي أو “الشبح”.
ووفقا للتقرير يمثل “الشبح” برنامج مراقبة يسمح للمشغلين بالتجسس على الضحايا والتسلل إلى البيانات التي تم جمعها، مشيرًا إلى ملاحظة خبراء البحث السيبراني تداخل البنية التحتية للجندي الخفي مع مواقع تابعة لوزارة الخارجية في حكومة تصريف الأعمال.
وأضاف التقرير أن بعض نطاقات خادم القيادة والتحكم “سي2” الرئيسي لدى الفاعلين في التهديد السيبراني لشن الهجمات الإلكترونية والسيطرة عليها انتحلت صفة هذه المواقع، مشيرًا إلى أن الإصدار الـ6 الأقدم لهذا التهديد المكتشف من قبل الباحثين في أكتوبر من العام 2022 قد تم تطويره إلى الـ9 في فبراير الماضي.
وبحسب التقرير تبدأ عملية الاختراق بتنفيذ أداة تنزيل يتم تسليمها عبر هجمات هندسة اجتماعية فيما بين الخبراء الباحثين أن السلسلة الاختراقية معقدة وتتضمن 6 ملفات تم تنزيلها من خادم القيادة والتحكم وأولها يتم عبر قيام برنامج التحميل “أم أس داتا في 1649.5 إي أكس إي” بتنزيل وحدة نمطية داخلية.
وتابع التقرير إن هذه الوحدة تعمل على تشغيل أوامر “باور شيل” بهدف استخدامها لإنشاء ثبات رقابة وإدارة التحميل النهائي للـ “الشبح”، مؤكدًا أن ثاني الملفات يتمثل في “ووتش دوغ (أم أس تشيك. إي أكس إي)” المتحقق دوريًا من وجود إصدار محدث من برنامج التحميل ليقوم بتشغيله.
وأضاف التقرير إن التشغيل يكون باستمرار وعبر استخدام جدولة المهام ومفتاح تشغيلي للتسجيل، مبينًا إن ثالث الملفات هو “بلي لود (أم أس أتش سي.تي أكس تي)” الجامع للبيانات والمتلقي للأوامر من خادم القيادة والتحكم وتنفيذ الوحدات النمطية فيما يقوم برنامج التنزيل بجلب ملف “بي دي أف فارغ من “سي2”.
وبين التقرير إن البرنامج يقوم بعد ذلك بتنزيل أداة التحميل من “فايل كلاود” ليقوم المحمل بتنزيل وحدة “نيت”. المسامة “باور بلس” وينفذ كود “باور شيل”. ليتم استخدام “باور بلس” لتشغيل أمرين أحدهما للحفاظ على الثبات والآخر للاستعلام عن تفاصيل المهمة في ملف يسمى “دي آر أس سي أتش”.
وبين التقرير إن العملية تتضمن استخدام هيئة رقابة كآلية للتحديث لتشهد المرحلة الأخيرة قيام البرامج الضارة بفك تشفير التحميل قبل تشغيلها بصفة رمز تحميل ممرر التنفيذ إلى نطاقة الرئيسي، مؤكدًا دعم البرامج الضارة أنواعا مختلفة من الأوامر بعضها في شكل مكونات إضافية يتم تنزيلها من “سي 2”.
وأشار التقرير إلى وجود دوافع سياسية لاستخدام الجندي الخفي وشبكة كبيرة من نطاقات التصيد بهدف المراقبة والتجسس على أهداف ليبية.
ترجمة المرصد – خاص