أصدرت كاسبرسكي محرّك إسناد جديد مبتكر خاص بمعلومات التهديدات ليشكّل حلًا يهدف إلى مساعدة محللي مراكز العمليات الأمنية الرقمية والمستجيبين للحوادث على ربط عينات البرمجيات الخبيثة بالجهات التخريبية التي تقف وراء التهديدات المتقدمة المستمرة (APT) والمعروفة لهم من قبل. ويجري الحلّ Kaspersky Threat Attribution Engine مقارنة بين البرمجية الخبيثة المكتشفة وواحدة من أكبر قواعد البيانات الخاصة بالبرمجيات الخبيثة في قطاع الأمن الرقمي، ويربطها بمجموعة تخريبية أو حملة تهديدات APT محددة، استنادًا على أوجه التشابه بين الشيفرات البرمجية، وذلك عبر طريقة خاصة ابتكرتها الشركة. وتساعد هذه المعلومات خبراء الأمن في تحديد أولويات التعامل مع التهديدات وفق خطورتها.
وبوسع الفرق الأمنية الرقمية أن تضع بسرعة أنسب خطة للاستجابة لحادث ما، عندما تصبح على دراية بالجهة التي تهاجم شركتها ولأي غرض. ومع ذلك، لا يمكن اعتبار الكشف عن الجهة التخريبية التي تقف وراء الهجوم مسألة سهلة، فهي تتطلب جمع قدر كبير من معلومات التهديدات، فضلًا عن المهارات التخصصية العالية اللازمة لتفسيرها وفهمها. ومن هنا تأتي أهمية الخطوة التي اتخذتها كاسبرسكي والمتمثلة بتقدم محرك الإسناد Kaspersky Threat Attribution Engine الجديد، الرامي إلى أتمتة عملية تصنيف البرمجيات الخبيثة المعقدة وتحديدها.
وقد طوّرت كاسبرسكي محرّك الإسناد هذا من أداة داخلية يستخدمها فريق البحث والتحليل العالمي الشهير التابع لها، والمؤلّف من باحثين وخبراء مرموقين في التهديدات الأمنية الرقمية. واستفادت الشركة من محرك Kaspersky Threat Attribution Engine في عمليات التحقيق في عدد من الحملات التخريبية، مثل iOS implant LightSpy وTajMahal وShadowHammer وShadowPad وDtrack.
ويُحلّل Kaspersky Threat Attribution Engine الملفّ الخبيث الذي عُثر عليه إلى أجزاء برمجية ثنائية صغيرة بطريقة تلقائية، قبل أن يقارن بين هذه الأجزاء وأجزاء من قاعدة بيانات كاسبرسكي التي تضم أكثر من 60,000 ملف متعلق بالتهديدات المتقّدمة المستمرة، وذلك لتحديد ما إذا كان التهديد مرتبطًا بمجموعة تخريبية قائمة وراء أحد التهديدات المتقدمة المستمرة أو بحملة تخريبية معروفة، وتسميتهما. وللحصول على إسناد وربط أكثر دقة، يتضمن الحل أيضًا قاعدة بيانات كبيرة من الملفات المدرجة في القائمة البيضاء، ما يحسّن كثيرًا من جودة فرز البرمجيات الخبيثة ويسهّل تحديد الهجوم والاستجابة للحوادث.
ويحسب Kaspersky Threat Attribution Engine نقاط السمعة المرتبطة بهذا الملف ويُبرز احتمالات أصله والجهة التي وضعته مع تقديم وصف قصير له وروابط إلى مصادر خاصة وعامة، مع تحديد الحملات السابقة التي وُجد فيها، وذلك اعتمادًا على مدى تشابه الملف الذي خضع للتحليل مع العينات الموجودة في قاعدة البيانات. ويمكن للمشتركين في خدمة تقارير التهديدات المتقدمة المستمرة Kaspersky APT Intelligence Reporting الاطلاع على تقرير يُظهر التكتيكات والأساليب والإجراءات المستخدمة من جهة التهديد المحددة، بالإضافة إلى خطوات الاستجابة الإضافية المطلوبة للتعامل مع هذا الملفّ.
وصُمّم محرك Kaspersky Threat Attribution Engine ليُوظَّف ضمن شبكة الشركة المستفيدة منه وفي مقرّها، لا في بيئة سحابية تابعة لجهة خارجية، من أجل منحها القدرة على التحكّم في مشاركة البيانات.
وعلاوة على معلومات التهديدات المتاحة لدى كاسبرسكي، يمكن للشركات إنشاء قواعد بيانات خاصة بها وتغذيتها بعينات من البرمجيات الخبيثة التي يعثر عليها المحللون العاملون لديها. وبهذه الطريقة، سيتعلم Kaspersky Threat Attribution Engine كيفية إسناد برمجيات خبيثة مماثلة لتلك الموجودة في قاعدة بيانات شركة ما، مع الحفاظ على سرية هذه المعلومات.
وقال كوستين رايو مدير فريق البحث والتحليل العالمي لدى كاسبرسكي، إن هناك عدّة طرق للكشف عمّن يقف وراء الهجوم، موضحًا أن بوسع المحللين الاعتماد على الآثار التي تشتمل عليها البرمجيات الخبيثة، والتي يمكن أن تحدّد مثلًا اللغة الأصلية للجهة التخريبية أو عناوين IP التي قد تحدّد موقعها الجغرافي. لكنه أشار إلى إمكانية تلاعب الجهات التخريبية الماهرة بهذه المعطيات لتضليل المحققين، مؤكّدًا حصول ذلك في عدة حالات.
وأضاف: "تُظهر خبرتنا أن أفضل طريقة لتحديد الجهة التخريبية القائمة وراء تهديد متقدم مستمر تتمثل في البحث عن شيفرة مشتركة بين العينة المكتشفة والعينات الأخرى المحددة في حوادث أو حملات سابقة، إلاّ أن العمل بهذه الطريقة يدويًا قد يُطيل التحقيق أيامًا أو حتى أشهرًا، ولهذا أنشأنا الحلّ Kaspersky Threat Attribution Engine لأتمتة هذه الطريقة وتسريعها، وقد أصبح الآن متاحًا لعملائنا".