مستندات مفخخةاكتشفت الحملة في مارس الماضي، عندما جرى تحميل مستند إغراء مشبوه إلى موقع «فيروس توتال» حيث نُشر على الملأ من خلال تغريدة على تويتر، وقرر خبراء الشركة العالمية المتخصصة في الأمن الإلكتروني والخصوصية، «كاسبرسكي»، عند ملاحظتها، إجراء مزيد من التحقيق حول المسألة، ليصلوا إلى النتائج السابقة.
وظلّت هذه العصابة ناشطة منذ العام 2015 على الأقل، وتستهدف ضحاياها بمستندات مفخخة تحتوي على وحدات ماكرو خبيثة.
وتتنكر هذه المستندات في هيئة صور أو مقاطع فيديو تصوّر أعمالًا ضد النظام الإيراني كاحتجاجات أو أنشطة من معسكرات المقاومة.
وتحاول الرسائل المرفقة بتلك المستندات إقناع المستهدفين بفتح الصور أو مقاطع الفيديو المرفقة، فإذا فعلوا يجري إسقاط الملفات التنفيذية الخبيثة في النظام المستهدف، في أثناء عرض المحتوى المرئي للملف على الشاشة.
برمجية خاصة وتُسقط الملفات التنفيذية الحمولة الخبيثة الرئيسة، وهي عبارة عن برمجية خبيثة مصممة خصيصًا تُعرف باسم «ماركي رات»، والتي تشغّل، بمجرد تنزيلها إلى النظام المصاب، برمجية «كي لوجير» لتسجيل كل محتوى الحافظة وجميع الضغطات على لوحة المفاتيح، كما تتيح للمهاجمين إمكانية تنزيل الملفات وتحميلها وتمنحهم القدرة على تنفيذ أوامر مختلفة على الجهاز المصاب.
اعتراض ونسخوتمكن باحثو كاسبرسكي من اكتشاف العديد من النسخ المتغيرة من «ماركي رات»؛ فوجدوا لإحداها القدرة على اعتراض تشغيل تطبيق تليجرام، وإطلاق برمجية خبيثة معه، وهي تقوم بذلك عن طريق البحث في الجهاز المصاب عن مستودع البيانات الداخلي الخاص بالتطبيق، وفي حال العثور عليه، تنسخ البرمجية الخبيثة نفسها فيه ثم تعدِّل الاختصار الذي يقوم بتشغيل تليجرام لتنفيذ هذا المستودع المعدل مع التطبيق نفسه.
تطوير الزرعوأوضح الباحثون أن ثمة نسخة أخرى تعدّل اختصار متصفح كروم في جهاز الضحية بطريقة مشابهة، لتصبح النتيجة تشغيل تطبيق كروم، لكن مع تنفيذ حمولة «ماركي رات» بجانبه في كل مرة يطلق فيها المستخدم هذا التطبيق، مشيرين إلى أن هناك نسخة ثالثة هي نسخة ذات منفذ خلفي من Psiphon؛ أداة VPN مفتوحة المصدر التي تُستخدم غالبًا لتجاوز الرقابة على الإنترنت.
ووجدت كاسبرسكي أيضًا دليلًا على أن الجهات التخريبية طوّرت عمليات زرع خبيثة تستهدف أجهزة أندرويد، على الرغم من أن الباحثين لم يتمكنوا من الحصول على أية عينات محدّدة لتحليلها.
تكييف أدواتورأى الباحث الأمني الأول في فريق البحث والتحليل العالمي لدى كاسبرسكي مارك ليشتيك، أنه من المثير للاهتمام إنشاء المجموعة التخريبية نسخًا مخصصة لمتصفح كروم وتطبيق تليجرام، بالرغم من أن البرمجية الخبيثة «ماركي رات» ومجموعة الأدوات المصاحبة لها «ليست شديدة التعقيد»، معتبرًا في ذلك إشارة إلى أن تركيز المجموعة ينصبّ على ما وصفه بـ «تكييف مجموعة أدواتها الحالية مع البيئات المستهدفة بدلاً من إثرائها بالميزات والقدرات»، مرجّحًا أن تُقدِم المجموعة على تنفيذ «عدة حملات تستهدف منصات مختلفة».
وقال الباحث بنفس الفريق بول راسكاجنيريس: «وجدنا أيضًا نسخة متغيرة عادية أكثر حداثة تستخدم أداة تنزيل بدلًا من احتوائها على حمولة تخريبية مضمنة، ما يشير إلى أن المجموعة لا تزال نشطة للغاية، وقد تكون حاليًا في طور تعديل تكتيكاتها وأساليبها وإجراءاتها».
بعيدا عن الرقابةأما الباحثة بنفس الفريق أيضًا أسيل كيال، فقالت: إن المنهجية المتبعة في استهداف ضحايا حملة «القط الشرس» وإجراءاتها وأساليبها وتكتيكاتها «مماثلة للجهات التخريبية الأخرى الناشطة في المنطقة، مثل Local Kitten وRampant Kitten»، معتبرة أن هذه الجهات تشكل معًا «منظومة أوسع لحملات المراقبة في إيران».
وأضافت: «لا يبدو أنه يجري تتبّع هذه الأنواع من المجموعات التخريبية بانتظام، ما يتيح لها التحرك بعيدًا عن الرقابة لفترات طويلة، ويسهل عليها بالتالي إعادة استخدام بُناها التحتية ومجموعة أدواتها».
توصيات مهمةوأوصى خبراء كاسبرسكي باتباع عدد من التدابير لحماية موظفي الشركات من الجهات التخريبية مثل «القط الشرس»، تضمنت الحفاظ على على اليقظة تجاه رسائل البريد الإلكتروني أو الرسائل الخبيثة التي تحاول إقناع المتلقي بأمر ما، والدراية بوسائل حماية الخصوصية في جميع التطبيقات والخدمات التي تستخدمها، كذلك عدم النقر على أية روابط واردة من مصادر غير معروفة ولا فتح أية ملفات أو مرفقات مشبوهة، مؤكدين أهمية الحرص دائمًا على تثبيت التحديثات التي قد يحتوي بعضها على تصحيحات لمشكلات أمنية خطرة، واستخدام حل أمني قوي يتناسب مع نوع النظام والجهاز.