يستهدف تورلا الدبلوماسيين في أوروبا الشرقية باستخدام مثبتات Adobe Flash Player المزيفة

القصة التالية

قامت إسيت ، و هي شركة عالمية رائدة في مجال أمن المعلومات ، بتحديد و تحليل البرمجيات الخبيثة الجديدة التي تستخدمها تورلا - مجموعة سيبرسايوناج السيئة السمعة- لإستهداف المنظمات السياسية ذات القيمة العالية في أوروبا الشرقية. تكشف إسيت عن محاولة خداع الضحايا في تثبيت برامج ضارة من موقع ادوبى على ما يبدو ، بهدف استخراج معلومات حساسة من أهداف تورلا.

في حين أن مجموعة تورلا قد اعتمدت على برامج تركيب فلاش وهمية لإخداع المستخدمين لتثبيت أحد برامجهم الخلفية في الماضي ، فهذه هي المرة الأولى التي يتم فيها تنزيل البرنامج الضار من عناوين مواقع أصلية لعناوين اى بى و مع ذلك ، تثق إسيت في أن برامج تورلا الضارة لا تمس أي تحديثات قانونية لمشغل فلاش و لا ترتبط بأي ثغرات أمنية معروفة في منتج أدوبى.

تحليل إساءة استخدام أدوبي فلاش

بعد رصد مجموعة تورلا عن كثب لسنوات عديدة ، وجدت إسيت أن هذا البرنامج الضار الجديدة لا يتم وضعه فقط مع مُثبِّت فلاش بلير الاصلى بل يظهر أيضاً لأدوبي من منظور نقطة النهاية ، ينتمي عنوان اى بى إلى اكاماى و هي شبكة تسليم المحتوى الرسمية (سي دي ان) التي تستخدمها أدوبى لتوزيع مثبت فلاش الفريد الخاص بها.

و مع ذلك ، عند إجراء فحص دقيق ، كانت إسيت قادرة على رؤية أن مُثبِّتات الفلاش المزيفة كانت تؤدي إستخراج معلومات حساسة من الأنظمة التي يتم اختراقها مؤخراً بتفريغ المعلومات لموقع

get.adobe.com

منذ يوليو ٢٠١٦ على الأقل. إن إستخدام النطاقات الشرعية لتصفية البيانات يجعل إكتشافها في حركة مرور الشبكة أصعب بكثير بالنسبة للمدافعين ، مما يبرز رغبة مجموعة تولار في ان تبقى متخفية قدر الإمكان.

قال جان إيان بوتان ، الباحث البارز في شركة إسيت: "لدى مشغلي تورلا العديد من الطرق المعقدة لخداع المستخدمين لتحميل برامج تبدو حقيقية ، فهم أذكياء في كيفية إخفاء حركة المرور الخاصة بهم." "يمكن حتى للمستخدمين الأكثر خبرة أن ينخدعوا بتحميل ملف ضار يبدو كما لو كان من موقع أدوبى ، لأن عنوان اى بى يحاكي البنية الأساسية الشرعية لأدوبي. نظراً لأن جميع التحميلات التي رأيناها قد تمت عبر

HTTP

فإننا ننصح المؤسسات بمنع بتحميل الملفات القابلة للتنفيذ عبر إتصالات غير مشفرة. و هذا من شأنه أن يقلل بشكل كبير من فعالية هجمات تورلا، حيث يصعب اعتراض و تعديل حركة المرور المشفرة على المسار بين جهاز و خادم . ثانياً يجب أن يؤدي التحقق من توقيع الملف إلى تأكيد ما إذا كان هناك أمر مشبوه يحدث في ضوء عدم توقيع هذه الملفات الضارة و تثبيت مثيلاتها من أدوبى. إن اتخاذ مثل هذه الخطوات من شأنه أن يساعد المستخدمين على تجنب الوقوع ضحية لحملة تورلا الأخيرة ".

دليل تورط تورلا

يمكن أن تتأكد إسيت من أن هذه الحملة تُنسب إلى مجموعة تورلا لأسباب عدة. أولا ، بعض تركيبات فلاش وهمية تسقط الباب الخلفي المشار إليها باسم البعوض ، و التي تم بالفعل الكشف عنها.

لقراءة المزيد حول تحليل إسيت للبرامج الضارة الجديدة لـ تورلا ، يُرجى النقر هنا.

عن إسيت

على مدار ٣٠ عاماً قامت إسيت بتطوير برامج و خدمات أمن تكنولوجيا المعلومات الرائدة في قطاع الأعمال للشركات و المستهلكين في جميع أنحاء العالم. مع حلول حماية تتراوح بين نقطة النهاية و أمن الهواتف، إلى التشفير و الحماية المزدوجة، منتجات إسيت عالية الأداء، و سهلة الإستخدام و توفر للمستهلكين و الشركات راحة البال للإستمتاع الكامل بإمكانيات التكنولوجيا. إسيت تحمي بشكل فعال و غير ملحوظ مع خدمة ٢٤/٧ و تحديث الدفاعات في الوقت الفعلى للحفاظ على المستخدمين فى أمان و الشركات تعمل دون قلق أو إنقطاع ، التهديدات و الفيروسات المتطورة  تتطلب برامج متطورة و قوية لأمن تكنولوجيا المعلومات، بدعم من مراكز في جميع أنحاء العالم، إسيت أصبحت أول شركة لأمن تكنولوجيا المعلومات فى العالم تحصل على ١٠٠ جائزة من مختبرات نشرة الفيروسات و تحديداً البرامج الضارة دون إنقطاع منذ عام ٢٠٠٣

لمزيد من المعلومات يمكن زيارة موقع إسيت

 www.eset.com/me-ar

 أو متابعتنا على لينكدإن ، فيسبوك ، تويتر