مجموعة StrongPity تزرع تروجان تجسس في تطبيق الحكومة السورية الإلكترونية E-gov.sy

مميّز

قامت مجموعة الاختراق StrongPity APT مؤخرًا بتوسيع أنشطة القرصنة الخاصة بها باستخدام برامج Android كتطبيق تروجان. حيث استهدفت المجموعة بوابة الحكومة الإلكترونية السورية لنشر نظام تروجان أندرويد.

بينما أكد الباحثون أنهم لاحظوا استخدام هذه المجموعة لتطبيقات Android الضارة كجزء من هجماتهم الإلكترونية لأول مرة من خلال تطبيق e-gov.sy.

ماهي مجموعة StrongPity APT للاختراق؟

الأهداف الأساسية لمجموعة StrongPity APT هي استهداف تركيا وسوريا ، ويُعتقد أن مجموعة StrongPity APT نشطة منذ عام 2012. أطلق الباحثون الأمنيون في Microsoft الاسم الرمزي على StrongPity باسم “Promethium”.

في العام الماضي ، تموز 2020 ، تم تحديد هذه المجموعة على أنها مرتبطة بالعديد من أنشطة التجسس التي أصابت أهدافها بتطبيقات ضارة ومزيفة ؛ حيث اعتمدت المجموعة على زرع تروجان في تطبيقات مفيدة ومشهورة.

التحليل التقني للاختراق

ادعى خبراء الأمن في شركة Trend Micro security أن المتسللين قاموا باختراق بوابة الحكومة الإلكترونية للحكومة السورية ثم قاموا باستبدال التطبيق الأصلي بتطبيق يحوي على تروجان.

أثناء التحقيق ، اكتشف الباحثون أن المخترقين استضافوا ملف APK ضارًا على عنوان URL التالي:

https://egov[.]sy/mobile/egov[.]apk

وهذا التطبيق الضار قادر على سرقة قوائم الاتصال والملفات بامتداد محدد من جهاز الضحية ، مثل:

  • مستندات Word
  • مستندات Excel
  • ملفات PDF
  • الصور
  • مفاتيح الأمان
  • الملفات المحفوظة باستخدام Dagesh Pro Word Processor (.DGS)

بمجرد أن يسرق المتسللون هذه البيانات من الجهاز المستهدف ، يرسلونها لاحقًا إلى الخادم الذي يديره المخترقون. ووفقًا لمحللي الأمان ، فقد اكتشفوا ست عينات خبيثة بنفس اسم التطبيق وأسماء الحزم:

اسم التطبيق: “بوابتي”

اسم الحزمة: “com.egov.app”

علاوة على ذلك ، فإن الإصدار الخبيث من التطبيق يطلب أذونات إضافية على الهاتف أكثر من تلك الأصلية ، وهنا هي:

  • عرض جهات الاتصال
  • قراءة وكتابة وحدة التخزين الخارجية
  • أبقِ الجهاز مستيقظًا
  • الوصول إلى معلومات تحديد الموقع الجغرافي
  • معلومات مشغل الاتصالات
  • معلومات شبكات Wi-Fi
  • البدء التلقائي بعد الإقلاع
StrongPity APT

إلى جانب هذه المهام ، يمكن للتطبيق الضار الذي زرعه المتسللون أيضًا أداء مهام طويلة الأمد في الخلفية ، ومنها إرسال طلبات وأوامر إلى المخدم المستضيف.

وهنا يغير البرنامج الضار سلوكه وفقًا لتعليمات الضبط بمساعدة ملف تكوين config file يتم إرساله داخل حمولة مشفرة.

ماهي الملفات التي يجمعها التطبيق من جهاز الضحية؟

فيما يلي قائمة بامتدادات الملفات المحددة مسبقًا والتي تم استكشافها وجمعها من قبل المخترقين عن أجهزة الضحية:

  • .asc
  • .dgs
  • .doc
  • .docx
  • .edf
  • .gpg
  • .jpeg
  • .jpg
  • .key
  • .m2r
  • .meo
  • .pdf
  • .pgp
  • .pir
  • .pkr
  • .pub
  • .rjv
  • .rms
  • .sem
  • .sit
  • .skr
  • .sys
  • .xls
  • .xlsx
  • .7z
  • .ppt
  • .pptx
  • .rar
  • .rtf
  • .sft
  • .tc
  • .txt

أكد باحثو الأمن السيبراني أن المتسللين يطبقون عدة طرق لتقديم تطبيقات ضارة لإصابة ضحاياهم. لهذا السبب أوصوا بشدة جميع المستخدمين بإيقاف تثبيت التطبيقات من ميزة “المصادر غير المعروفة” على أجهزة Android الخاصة بهم.

على الأغلب لم تستطع الجهة المطورة لتطبيق الحكومة الاللكترونية في سورية نشر التطبيق على متجر غوغل بسبب العقوبات, مما اضطرهم إلى نشره على موقع الحكومة الخاص, ولكن لم يتم تأمين المخدم كفاية لضمان عدم تعرضه لهكذا اختراقات.

تأمين البنية التحتية للشبكة

تستخدم البيانات لرصد شبكة الاتصالات والتحكم فيها. وغالباً ما تُرسل حركة الإدارة على شبكة منفصلة لا تحمل سوى حركة إدارة الشبكة وليس حركة المستعملين. ويشار غالباً إلى هذه الشبكة باسم شبكة إدارة الاتصالات (TMN) الوارد وصفها في توصية قطاع تقييس الاتصالات M.3010 بشأن المبادئ المتعلقة بشبكة إدارة الاتصالات. ولا بد من تأمين هذه الحركة. وتقسم حركة الإدارة عادة إلى فئات على أساس المعلومات المطلوبة لوظائف التعامل مع الأعطال والتشكيل والأداء والمحاسبة وإدارة الأمن. وتتولى إدارة أمن الشبكة إقامة شبكة إدارة آمنة وكذلك إدارة أمن المعلومات المتصلة بالمستويات الثلاثة لمعمارية الأمن X.805.

أكمل قراءة المقالة

إدارة الهويّة في الاتصالات الشبكية

نظرة عامة على إدارة الهوية

إدارة الهوية (IdM) هي عملية إدارة معلومات الهوية (مثل مستندات إثباتية ومعرّفات هوية ونعوت وسمات)  والتحكم فيها بصورة آمنة. وتُستعمل هذه المعلومات لتمثل كيانات (مثل مقدمي خدمات ومنظمات مستعمل نهائي والناس وأجهزة الشبكة وتطبيقات وخدمات البرمجيات) في عملية الاتصالات. وقد تتعدد الهويات الرقمية لكيان واحد بغية النفاذ إلى خدمات مختلفة ذات متطلبات مختلفة، وهذه قد تكون موجودة في مواقع متعددة. وتدعم إدارة الهوية الاستيقانَ من كيان. ولأغراض قطاع تقييس الاتصالات، يمثل تأكيد كيان لهوية تفرّد ذلك الكيان في سياق معين.

أكمل قراءة المقالة

بروتوكول الاستيقان الآمن القائم على كلمة مرور مع تبادل المفاتيح

بروتوكول الاستيقان الآمن القائم على كلمة مرور مع تبادل المفاتيح (SPAK) هو بروتوكول استيقان بسيط يؤدي فيه استعمال كلمة مرور تحفظها ذاكرة بشرية بين زبون ومخدّم إلى استيقان متبادل وسر مشترك يمكن استعماله كمفاتيح الدورة في الدورة التالية. وتحدَد في توصية قطاع تقييس الاتصالات X.1151 متطلبات بروتوكول الاستيقان الآمن القائم على كلمة مرور مع تبادل المفاتيح (SPAK) إلى جانب المبادئ التوجيهية لاختيار أنسب بروتوكول SPAK من مختلف بروتوكولات الاستيقان الآمن القائم على كلمة مرور، والمبدأ التوجيهي بشأن بروتوكول الاستيقان الآمن القائم على كلمة مرور مع تبادل المفاتيح. ويتميز هذا البروتوكول ببساطته الشديدة. إذ يسهل تنفيذه واستعماله، ولا يحتاج إلى بنية تحتية أخرى (مثل البنية التحتية للمفاتيح العمومية (PKI)). ويُتوقع أن تتزايد أهميته في العديد من التطبيقات في المستقبل القريب. ويوفر بروتوكول SPAK الاستيقان من المستعمل وتبادل مفاتيح قوي على السواء بكلمة مرور بسيطة بحيث يمكن حماية دورة الاتصال اللاحقة بسر يباح به أثناء إجراء الاستيقان.

أكمل قراءة المقالة

مخاطر استخدام المحافظ الرقمية في العملات المشفّرة

لا شك أن محافظ العملات المشفرة هي واحدة من أكثر التطورات التي شهدناها في تاريخ التمويل والمعاملات المالية. لقد أحدثت خيارات المحفظة الرقمية التي توفر المفتاح الخاص وتخزين العملات المعدنية ، بالإضافة إلى خدمات التحقق من المعاملات لمالكي العملات المشفرة ، ثورة حقيقية في طريقة تفكيرنا في المناقلات المالية. لكن ليس كل شيء يعمل كما تتوقع. هناك دائمًا جانب آخر لأي قصة. ما هي بعض العيوب المرتبطة بمحافظ العملات الرقمية؟ وماذا يمكنك أن تفعل للتخفيف من هذه المخاطر المحتملة؟

ripple etehereum and bitcoin and micro sdhc card
Photo by Worldspectrum on Pexels.com
أكمل قراءة المقالة