كشف تقرير أمني جديد عن برمجية GoGra الخبيثة التي تستهدف أنظمة لينكس في جنوب آسيا عبر استغلال خدمات مايكروسوفت، وفق ما تابعه موقع تيكبامين بدقة.
ما هي برمجية GoGra وكيف تهدد أنظمة لينكس؟
بدأت مجموعة التهديد السيبراني المعروفة باسم "Harvester" في نشر نسخة جديدة ومطورة من بابها الخلفي المسمى GoGra، والمصمم خصيصاً لاستهداف الأنظمة التي تعمل بنظام لينكس. تأتي هذه الخطوة بعد نجاح المجموعة سابقاً في استهداف أنظمة ويندوز، مما يشير إلى توسع كبير في ترسانتها الهجومية.
تعتمد هذه البرمجية على تقنيات متطورة للتخفي، حيث تستغل واجهات برمجة تطبيقات مشروعة لتجاوز الدفاعات الأمنية التقليدية. وبحسب ما رصده خبراء الأمن، فإن الهجمات الحالية تتركز بشكل أساسي في منطقة جنوب آسيا، مع رصد نشاط مكثف يستهدف مؤسسات في الهند وأفغانستان.
كيف تستغل البرمجية خدمات مايكروسوفت في هجماتها؟
تستخدم برمجية GoGra بنية تحتية سحابية موثوقة للتحكم في الأجهزة المصابة، مما يجعل من الصعب على أنظمة الحماية اكتشاف حركة المرور المشبوهة. إليكم أبرز الوسائل التقنية التي تستخدمها البرمجية:
- استغلال واجهة Microsoft Graph API كقناة اتصال مشفرة.
- استخدام صناديق بريد Outlook كخوادم تحكم وسيطة (C2).
- إرسال استعلامات OData كل ثانيتين للتحقق من الأوامر الجديدة.
- تجاوز جدران الحماية عبر بروتوكولات ويب مشروعة.
آلية عمل البرمجية داخل النظام المصاب
بمجرد اختراق النظام، تبحث البرمجية في مجلد خاص داخل بريد Outlook يسمى "Zomato Pizza". تبحث البرمجية عن رسائل تبدأ بكلمة "Input"، حيث تحتوي هذه الرسائل على أوامر مشفرة بصيغة Base64. تقوم البرمجية بفك التشفير وتنفيذ الأوامر مباشرة عبر واجهة الأوامر /bin/bash في نظام لينكس.
من هي الجهات المستهدفة من هجمات Harvester؟
وفقاً لتقرير تقني اطلع عليه موقع تيكبامين، فإن مجموعة Harvester ليست غريبة على الساحة الأمنية، حيث بدأت نشاطها منذ منتصف عام 2021. تشمل قائمة الأهداف الرئيسية للمجموعة ما يلي:
- قطاع الاتصالات وتكنولوجيا المعلومات.
- المؤسسات الحكومية والسيادية.
- المنظمات الإعلامية الكبرى في جنوب آسيا.
- قطاعات البنية التحتية الحساسة.
كيف يتم إصابة أجهزة لينكس ببرمجية GoGra؟
تعتمد المجموعة على أساليب الهندسة الاجتماعية التقليدية ولكن بلمسة تقنية خبيثة. يتم خداع الضحايا لفتح ملفات تنفيذية من نوع ELF، والتي تظهر للمستخدم كأنها مستندات PDF عادية.
بينما يظهر للمستخدم ملف PDF وهمي (Lure Document)، تبدأ البرمجية في العمل بصمت في الخلفية لتثبيت الباب الخلفي وضمان بقائها داخل النظام حتى بعد إعادة التشغيل. وبعد تنفيذ الأوامر المطلوبة وسرقة البيانات، تقوم البرمجية بإرسال النتائج في رسالة بريد إلكتروني بعنوان "Output"، ثم تمسح الرسالة الأصلية لإخفاء أي أثر للاختراق.
لماذا يعتبر هذا التهديد خطيراً بشكل خاص؟
يكمن الخطر في أن المهاجمين يستخدمون نفس المنطق البرمجي في نسختي ويندوز ولينكس، مع وجود أخطاء إملائية متطابقة في الكود المصدري لكلا النسختين، مما يؤكد أن مطوراً واحداً يقف وراء هذه الأدوات. هذا التطور المستمر يؤكد أن مجموعات التجسس السيبراني باتت تولي اهتماماً كبيراً لأنظمة لينكس نظراً لاستخدامها الواسع في الخوادم والبيئات السحابية الحساسة.
في الختام، ينصح خبراء الأمن الرقمي بضرورة تحديث الأنظمة بشكل دوري، وتفعيل حلول المراقبة المتقدمة التي ترصد السلوكيات غير الطبيعية داخل الشبكة، حتى لو كانت صادرة عن تطبيقات مشروعة مثل خدمات مايكروسوفت السحابية.
