البرمجيات الخبيثة المتستر “Tardigrade” تضرب منشآت الإنتاج الحيوي

[ad_1]

عندما ضرب رانسومواري منشأة تصنيع حيوي هذا الربيع ، حدث خطأ ما في فريق الاستجابة. لم يترك المهاجمون سوى طلب فدية فاترة ولم يبدوا مهتمين حقًا بتحصيل المدفوعات. ثم كان هناك البرمجيات الخبيثة التي استخدموها: سلالة معقدة بشكل لا يصدق يطلق عليها Tardigrade.

بينما قام الباحثون في شركة الطب الحيوي والأمن السيبراني BioBright بتعميق أبحاثهم ، اكتشفوا أن Tardigrade كانت تقوم بأكثر من مجرد إغلاق أجهزة الكمبيوتر في جميع أنحاء المنشأة. ووجدوا أن البرنامج الضار يمكن أن يتكيف مع ما يحيط به ، ويخفي نفسه ، وحتى يعمل بشكل مستقل عندما ينقطع عن خادم القيادة والسيطرة. كان شيئًا جديدًا.

اليوم ، يكشف مركز مشاركة وتحليل معلومات الاقتصاد الحيوي للأمن السيبراني غير الربحي ، أو BIO-ISAC ، الذي تعد BioBright عضوًا فيه ، علنًا النتائج حول بطيئات المشية. في حين أنهم لا يذكرون مصدر البرنامج الضار ، إلا أنهم يقولون إن تطوره وأدلة الطب الشرعي الرقمية الأخرى تشير إلى مجموعة جيدة التمويل ومتحفزة من “التهديدات المستمرة المتقدمة”. بالإضافة إلى ذلك ، كما يقولون ، فإن البرامج الضارة “تنتشر بنشاط” في صناعة الإنتاج الحيوي.

قال تشارلز فراتشيا ، الرئيس التنفيذي لشركة BioBright: “من شبه المؤكد أن الأمر بدأ بالتجسس ، لكنه لمس كل شيء: الاضطراب والدمار والتجسس ، كل ما سبق”. “هذا هو إلى حد بعيد أكثر البرامج الضارة تعقيدًا التي رأيناها في هذا المجال. يبدو الأمر غريبًا مثل هجمات وحملات APT الأخرى للدول القومية التي تستهدف صناعات أخرى.

بينما يتدافع العالم لتطوير وإنتاج وتوزيع اللقاحات والأدوية المتطورة لمكافحة جائحة Covid-19 ، تم تسليط الضوء على أهمية الإنتاج الحيوي. رفض فراتشيا القول ما إذا كان الضحايا يقومون بعمل متعلق بـ Covid-19 ، لكنه شدد على أن عملياتهم لعبت دورًا حاسمًا.

وجد الباحثون أن Tardigrade يشبه إلى حد ما أداة تنزيل البرامج الضارة المعروفة باسم Smoke Loader. تُعرف الأداة أيضًا باسم Dofoil ، وقد تم استخدام الأداة لتوزيع حمولات البرامج الضارة منذ عام 2011 على الأقل أو في وقت سابق ومتاح بسهولة في المنتديات الجنائية. في 2018 ، منعت مايكروسوفت حملة تعدين ضخمة للعملات المشفرة استخدمت فيها Smoke Loader وشركة الأمان النتائج التي نشرتها Proofpoint في يوليو حول هجوم لسرقة البيانات أخفى أداة التنزيل كأداة خصوصية شرعية لخداع الضحايا لتثبيته. يمكن للمهاجمين تخصيص وظائف البرامج الضارة بمجموعة متنوعة من المكونات الإضافية الجاهزة ، ومن المعروف أنها تستخدم الحيل التقنية الذكية لإخفاء نفسها.

يقول باحثو BioBright أنه على الرغم من أوجه التشابه مع Smoke Loader ، يبدو أن Tardigrade أكثر تقدمًا وتوفر مجموعة واسعة من خيارات التخصيص. كما أنه يضيف وظائف حصان طروادة ، مما يعني أنه بمجرد تثبيته على شبكة ضحية ، فإنه يقوم بالبحث عن كلمات المرور المخزنة ، ونشر keylogger ، ويبدأ في استخراج البيانات وإنشاء باب خلفي يسمح للمهاجمين باختيار مغامرتهم الخاصة.

يقول كالي تشرشويل ، محلل البرامج الضارة في BioBright: “تم تصميم هذه البرامج الضارة لتُبنى بشكل مختلف في بيئات مختلفة ، لذا فإن التوقيع يتغير باستمرار ويصعب اكتشافه”. “لقد اختبرت ذلك ما يقرب من 100 مرة وفي كل مرة كانت تبني نفسها بطريقة مختلفة وتتواصل بشكل مختلف. بالإضافة إلى ذلك ، إذا لم يكن قادرًا على الاتصال بخادم القيادة والتحكم ، فإنه يتمتع بالقدرة على أن يكون أكثر استقلالية واكتفاءً ذاتيًا ، وهو أمر غير متوقع تمامًا.

.

[ad_2]