بعد عاصفة في مايو أثارها WannaCry ، يبدو أن الثراء يسود. في الآونة الأخيرة ، أعلنت شركة الأمن FireEye أن المتسللين يستخدمون الآن WannaCry Exploit ببساطة للتجسس على شبكة Wi-Fi بالفندق لسرقة البيانات المهمة لضيوفها.
تحذير! يستخدم المتسللون الآن WannaCry Exploit للتجسس على شبكة Wi-Fi بالفندق
بعد عاصفة في مايو أثارها WannaCry ، يبدو أن الثراء يسود. ومع ذلك ، فإن خيوطها هي تلك التي تبدأ ، والآن يدعو للقلق. من المعروف أن برنامج الفدية هذا وُلد من استغلال “EternalBlue” الذي نشرته مجموعة “The Shadow Brokers” كجزء من الأدوات التي تستخدمها وكالة الأمن القومي في مهام التجسس والمراقبة العالمية.
الفنادق الآن هدف الروس
لم يقتصر الأمر على قيام EternalBlue بإضفاء الحياة على WannaCry ، ولكن أيضًا إلى NotPetya و EternalRock ، وهي برامج ضارة تستخدم المزيد من مآثر NSA وهي أقوى من WannaCry. أعلنت شركة FireEye الأمنية هذا الأسبوع أن “EternalBlue” تستخدم لمهاجمة الفنادق في أوروبا ومن خلال شبكة Wi-Fi ، فهي تسرق بيانات ضيوفها.
“GameFish” من المفرقعات APT28
يشير FireEye إلى أن وراء هذا الهجوم مجموعة القرصنة APT28 ، والمعروفة أيضًا باسم Fancy Bear ، وهي نفس المجموعة التي تم تسميتها على أنها مسؤولة عن الهجمات في الانتخابات الرئاسية الأمريكية. APT28 هي مجموعة إجرامية من المفرقعات المرتبطة بالاستخبارات العسكرية الروسية.
يستفيد هذا البرنامج الضار الجديد ، المسمى “GameFish” ، من ثغرة أمنية في Windows بروتوكول شبكة Server Message Block (SMB) ، الذي يسمح لك بالوصول إلى الشبكة بالكامل بسهولة نسبيًا وبدون اهتمام.
لكن كيف يعمل الهجوم؟
هذا الهجوم له بعض الخصائص الغريبة. يبدأ الهجوم بحملة التصيد التقليدية ، والتي استهدفت في هذه الحالة سلاسل الفنادق ، حيث تم حتى الآن اكتشاف حالات في سبع دول أوروبية وواحدة في الشرق الأوسط.
يصل البريد الإلكتروني مع مستند يحتوي على مرفق “حجز الفندق From.doc” الذي يحتوي على وحدات ماكرو تقوم بتثبيت “GameFish” على الجهاز والتي تنتشر عبر الشبكة المحلية للفندق. تمسح البرامج الضارة الطريق وتحدد أجهزة الكمبيوتر المسؤولة عن التحكم في شبكات Wi-Fi ، وبعد السيطرة على الأجهزة ، تتحكم في حركة المرور التي تمر عبر هذه الشبكة ، سواء البيانات الإدارية للفندق أو بيانات المستخدمين الذين يسافرون عبر شبكة الاتصال.
يعتقد خبراء الأمن أن الغرض من هذه البرامج الضارة هو الحصول على معلومات من الضيوف المرتبطين بالحكومة والشركات المهمة باستخدام التحكم في الشبكة لاستخراج بيانات اعتماد الأمان لأي شخص. الميزة (أو العيب) هي أنه لا يمكنك الوصول إلا إلى أولئك الذين لم يتم تمكين طريقة المصادقة المكونة من خطوتين ، بحيث يتلقى المستخدم ، عند مهاجمته ، رسالة نصية قصيرة أو إشعارًا من خلال أحد التطبيقات (كما هو الحال مع المصادقة من جوجل أو Apple، على سبيل المثال) لتأكيد إذن الوصول وقد يوقف الهجوم. بهذه الطريقة ستبقى بياناتك آمنة.
يتزامن هذا الهجوم في بعض النقاط مع “DarkHotel” ، وهو برنامج ضار مشابه تم نشره في بعض الفنادق العام الماضي ، ومع ذلك ، لم يتم التحدث به بعد في “EternalBlue”. تذكر شركة الأمن FireEye أنه على الرغم من أوجه التشابه هذه ، فإن كلا الهجومين غير مرتبطين ، حيث تم اكتشاف أن البرنامج الضار “DarkHotel” هاجم أهدافًا كورية فقط. من ناحية أخرى ، بينما تم تصميم GameFish لجمع كلمات المرور ، ركز DarkHotel على تعديل تحديثات البرامج.
حتى الآن لا توجد طريقة بسيطة لإيقاف تقدم GameFish من لحظة تثبيت هذا البرنامج الضار بالفعل. وبالتالي ، توصي الشركة بضرورة تجنب شبكات Wi-Fi المجانية حيثما أمكن ذلك ، وحتى باستخدام هذه الشبكات ، لا يمكنهم الوصول إلى محتوى حساس ومهم من خلالها.
إذن ، ما رأيك في هذا الاستغلال الجديد؟ ما عليك سوى مشاركة آرائك وأفكارك في قسم التعليقات أدناه.
