واستخدم هذا المنفذ الخلفي أول مرة في أواخر مارس 2021، حين ضرب جهات حكومية ومنظمات غير ربحية في أنحاء مختلفة من العالم، وأوقع ضحايا في ثماني دول بمنطقة الشرق الأوسط وأفريقيا، بينها السعودية والكويت ونيجيريا وكينيا وتركيا.
توجه إجرامي
وكشفت كاسبرسكي في ديسمبر 2021 عن «أووا»، البرمجية الخبيثة غير المعروفة وقتها، والتي تستغل خادم الويب IIS، وتسرق بيانات اعتماد دخول المستخدمين إلى خدمة «أوت لوك» عبر الويب، واتضح منذ هذا التوقيت أن توظيف منفذ خلفي في IIS أضحى توجها لدى مجرمي الإنترنت الذين استغلوا سابقا إحدى الثغرات من نوع «بروكسي لوجون» ضمن خوادم «مايكروسوفت اكستشنج».
ويُمكن المنفذ الخلفي «سيشن مانجر» الجهات التخريبية من استدامة نشاطهم وتعزيز قدرتهم على مقاومة التحديثات والتخفي إلى البنية التحتية التقنية المؤسسية المستهدفة.
ويصبح بوسع مجرمي الإنترنت الذين يقفون وراء المنفذ الخلفي، الوصول إلى رسائل البريد الإلكتروني وتمكين المزيد من الوصول التخريبي عن طريق تثبيت أنواع أخرى من البرمجيات الخبيثة أو إدارة الخوادم المخترقة سرا، والتي يمكن الاستفادة منها بوصفها بنية تحتية خبيثة، وذلك بمجرد الدخول إلى نظام الضحية.
المؤسسات المستهدفة
ويتسم «سيشن مانجر» بضعف إمكانية الكشف عنه، فقد وجد باحثو كاسبرسكي في أوائل 2022 أن بعض عينات هذا المنفذ الخلفي لم تصنف «خبيثة» في عدد من خدمات فحص الملفات الشائعة عبر الإنترنت، حتى الآن، لا يزال «سيشن مانجر» منتشرا في أكثر من 90 % من المؤسسات المستهدفة وفقًا لفحص الإنترنت الذي أجراه باحثو كاسبرسكي.
واخترق «سيشن مانجر» 34 خادما تابعا لـ 24 مؤسسة ومنظمة في أوروبا والشرق الأوسط وجنوب آسيا وأفريقيا، حيث أظهرت الجهة التي يديرها اهتماما خاصا بالمنظمات غير الربحية والهيئات الحكومية، ولكنها استهدفت كذلك منظمات طبية وشركات عاملة في قطاعات النفط والنقل وغيرها.
تشابه الضحايا
ويرى خبراء كاسبرسكي أن وحدة IIS الخبيثة ربما كان استُعين بها من قِبل عصابة «جلسيم»، ضمن عمليات تجسس، نظرا لظاهرة «تشابه الضحايا» واستخدام الطفرة الشائعة «أويل بروكسي».
وقال بيير ديلتشر الباحث الأمني الأول في فريق البحث والتحليل العالمي لدى كاسبرسكي، إن مجرمي الإنترنت الذين أرادوا الوصول إلى البنى التحتية للجهات المستهدفة منذ الربع الأول من العام 2021، فضلوا استغلال الثغرات الأمنية في خادم البريد الإلكتروني.
وأضاف: «أتاح هذا المنفذ الخلفي سلسلة من حملات التجسس الرقمي الطويلة التي لم يلحظها أحد، بعد أن ظل ناشطا في السر لنحو عام كامل. وظلت معظم الجهات العاملة في مجال الأمن الرقمي منشغلة بالتحقيق في الجرائم الأولى التي جرى تحديدها والاستجابة لها، في مواجهة استغلال هائل وغير مسبوق للثغرات في خادم البريد الإلكتروني. ونتيجة لذلك، سوف يظل من الممكن اكتشاف الأنشطة الخبيثة ذات الصلة حتى بعد شهور أو سنوات، ومن المحتمل أن تبقى الحال على ما هي عليه لمدة طويلة».
رؤية التهديدات
وشدد ديلتشر على أهمية اكتساب المؤسسات القدرة على رؤية التهديدات الرقمية الحديثة، حماية لأصولها، مؤكدا أن مثل هذه الهجمات قد تؤدي إلى إيقاع خسائر مالية كبيرة في المؤسسات أو أضرار تمس السمعة، عبر تعطيل العمليات، متابعا: «تُعد المعلومات المتعلقة بالتهديدات العنصر الوحيد الذي يمكن أن يتيح القدرة على توقع مثل هذه التهديدات في الوقت المناسب، وتصبح الخطورة على أشدها في حالة خوادم إكستشنج، فقد جعلتها الثغرات في العام الماضي أهدافا مثالية لجميع النوايا التخريبية، لذا يجب التدقيق عليها ومراقبتها بعناية بحثا عن أي غرسات خبيثة قد تكون أُخفيت فيها».
توصيات مهمةوأوصى خبراء كاسبرسكي لحماية الأعمال من مثل هذه التهديدات، بالتحقق بانتظام من وحدات IIS المحملة على خوادم IIS المكشوفة (لا سيما خوادم إكستشنج)، والاستفادة من الأدوات الموجودة في مجموعة خوادم IIS، كذلك التحقق من وجود مثل هذه الوحدات ضمن أنشطة البحث عن التهديدات عند أي إعلان عن اكتشاف ثغرة أمنية كبيرة في خوادم مايكروسوفت.
كما أوصوا بتركيز الإستراتيجية الدفاعية على اكتشاف حركات البيانات الجانبية وسحب البيانات إلى الإنترنت، مع الانتباه تحديدا لحركة البيانات الخارجة، لاكتشاف محاولات مجرمي الإنترنت الاتصال بالأنظمة المؤسسية، والحرص على نسخ البيانات احتياطيا بانتظام، وضمان الوصول إلى النسخ الاحتياطية بسرعة في حالة الطوارئ.
ودعا الخبراء لاستخدام حلول تساعد على تحديد الهجوم وإيقافه في المراحل المبكرة، قبل أن يحقق المهاجمون أهدافهم، واستخدام حل أمني موثوق به للأجهزة الطرفية، لمنع الاستغلال واكتشاف السلوكيات الغريبة، وبمحرك معالجة قادر على إلغاء الإجراءات الخبيثة.
