من يستهدف مستخدمي فلاش بلاير في قطر؟

adobe flash player
تستهدف الثغرة حواسيب المستخدمين في قطر ويمكن تجنب الوقوع فيها بتحديث برنامج أدوبي فلاش بلاير (الألمانية)

حذرت شركة أدوبي الأميركية من ثغرة أمنية خطيرة في مشغل الوسائط "فلاش بلاير"، وأصدرت تحديثا لسدها، وتعرف الثغرة باسم "زيرو داي" (zero-day) التي يبدو أن مهاجمين استغلوها لاستهداف حواسيب المواطنين والمقيمين في قطر.

واكتشف الثغرة باحثون من شركتي أمن البيانات "كيهو 360 كور سيكيورتي" الصينية و"آيسبيرغ" الأميركية، لكنهم لا ينسبون الهجوم إلى أي دولة، ومع ذلك يقول باحثو كيهو 360 إن كافة الدلائل تشير إلى أنه هجوم نموذجي من نوع "التهديد المستمر المتقدم" (APT attack).

ويتم استغلال ثغرة أدوبي فلاش من خلال مرفقات ملفات إكسل يتم تسليمها خلسة برسالة بريد إلكتروني باستخدام تقنية جديدة مصممة لتقليل مخاطر اكتشافها باستخدم برامج مكافحة الفيروسات.

فبدلا من دمج محتوى فلاش المشبوه في ملف إكسل، والذي يمكن اكتشافه من خلال تحليل شفرة الملف، فإن ملف إكسل يستدعي ثغرة فلاش من خادم بعيد. وهذا يساعد المخترقين على تجنب اكتشافهم لأن الملف لا يتضمن أي شفرة خبيثة.

وبعد فتح ملف إكسل الخبيث، يتطلب ملف "شوك ويف فلاش" (swf) خبيث يتم تنزيله من نطاق أنشأه المهاجم أو قرصان الإنترنت، وبدوره يطلب هذا الملف بيانات مشفرة ومفاتيح فك تشفير، يستخدمها المهاجم لفتح وتشغيل ثغرة فلاش.

وبمجرد تشغيل ثغرة فلاش، فإن الملف يطلب شفرة خبيثة أخرى من خادم بعيد ويشغّلها على حاسوب الضحية، تزرع برمجية خبيثة من فئة "تروجان" (حصان طروادة) تعمل على فتح باب خلفي في جهاز الضحية لتتيح للمهاجم التحكم به.

وتعتقد شركتا "كيهو 360″ و"آيسبيرغ" أن المستهدفين بهذا الهجوم هم سكان قطر لأن النطاق الذي استخدمه المهاجمون كان "people.dohabayt.com"، الذي يتضمن اسم العاصمة القطرية الدوحة، كما أن النطاق مشابه أيضا لموقع إنترنت رسمي للبحث عن الوظائف في الشرق الأوسط وهو bayt.com، وتم تسجيل النطاق بتاريخ 18 فبراير/شباط 2018.

وتشير محتويات ملف إكسل، وهي باللغة العربية، إلى أن أهداف القراصنة تتضمن أي شخص سيكون مهتما بمعرفة الرواتب في سفارة ما مع تفاصيل أجور للسكرتيريين والسفراء والدبلوماسيين.

وحذر مغردون قطريون على تويتر من هذا الهجوم الذي يستغل ثغرة "زيرو داي" في فلاش بلاير، وقال أحدهم إن المخترقين أنشؤوا موقعا وهميا باسم people.doha عند الدخول إليه يتم تحويل المستخدمين إلى موقع توظيف حقيقي خاص بالخطوط الجوية القطرية كنوع من التمويه وإضفاء الشرعية على الموقع "الملغوم" ليتم عندها اختراق الجهاز بحيث يتحكم المخترق به بشكل كامل.

يذكر أن علاج الثغرة هذه بسيط جدا، وكل ما يتطلبه الأمر هو تحديث مشغل فلاش بلاير إلى الإصدار 30.0.0.113 الذي يتضمن إصلاح كافة الثغرات الأمنية في المشغل.

المصدر : مواقع إلكترونية + مواقع التواصل الاجتماعي