دبي – 
كُشف النقاب في فبراير من هذا العام عن قيام الجهة التخريبية SixLittleMonkeys، المعنية بالتهديدات المتقدمة المستمرة والمعروفة أيضًا بالاسم Microcin، بتنزيل أحد التروجانات الخطرة في ذاكرة النظام الرقمي المستهدف. واكتشف باحثون في كاسبرسكي أن المرحلة الأخيرة من الهجوم الذي تشنّه هذه الجهة التخريبية والمتمثلة بتنزيل حمولتها الخبيثة وبدء تنفيذ الأوامر على جهاز الضحية، كانت تستخدم نمطًا جديدًا في التشفير باستخدام بُنية شبيهة بواجهة برمجة التطبيقات من أجل تبسيط إجراء التحديثات على برمجياتها الخبيثة.
وكان باحثو كاسبرسكي وجدوا مجموعة SixLittleMonkeys تستهدف منذ عدة سنوات هيئات حكومية ودبلوماسية بحملات تجسس إلكتروني تُشنّ عبر منفذ خلفي. كذلك، تمكّنت المجموعة من إخفاء نشاطها التخريبي باستخدام طريقة إخفاء المعلومات، وهي عملية يتم من خلالها إرسال المعلومات بتنسيق مخفي ضمن ملفات وبطريقة لا يمكن معها معرفة أنه جرى تنزيلها أو تحديثها، الأمر الذي يصعّب على منتجات مكافحة الفيروسات اكتشاف الحمولات الخبيثة.
ووجد الباحثون أن SixLittleMonkeys كانت تستخدم بقدر كبير مجموعة الأدوات ومكتبة البحث نفسها وأسلوب إخفاء المعلومات نفسه عندما عُثر عليها تنشط في عمليات ضد إحدى الهيئات الدبلوماسية خلال فبراير الماضي. ولكنها، مع ذلك، استطاعت أن تخطو خطوة مهمة تمثلت في تطبيق تقنيات تشفير ذات أسلوب مؤسسي في المرحلة الأخيرة من الهجوم.
وتتيح واجهات برمجة التطبيقات للمطورين إنشاء تطبيقات بطريقة أسرع وأسهل من خلال إنشاء لبِنات بناء للبرمجيات المستقبلية، بحيث لا يلزم تطوير الشيفرة البرمجية من البداية. في حالة البرمجيات الخبيثة، تضيف واجهات برمجة التطبيقات مستوىً إضافيًا من الكفاءة يمكن معه تسريع إجراء التحديثات أو التغييرات المطلوبة.
وتستفيد الوظيفة الشبيهة بواجهة برمجة التطبيقات التي تستخدمها SixLittleMonkeys من معاملَيْن أو وظيفتين تُستدعيان لاحقًا؛ مؤشرات إلى أداة التشفير ووظائف التسجيل. أما الوظيفة الأولى فمسؤولة عن التشفير أو فك التشفير لاتصالات C2 (خادم التحكّم) وبيانات التهيئة الخاصة به، في حين أن الثانية تحفظ سجلّ عمليات البرمجيات الخبيثة في الملف. ويسهِّل هذا النهج على واضعي البرمجيات الخبيثة تغيير خوارزمية التشفير أو إعادة توجيه المسجِّل عبر قناة اتصال مختلفة.
واشتمل جانب آخر من نشاط SixLittleMonkeys في استخدام العمل غير المتزامن مع المقابس، التي تتمثل في هذه الحالة بكيانات الاتصالات الشبكية مع خادم التحكّم. هذا، ولا تؤدي إحدى العمليات إلى إعاقة الأخرى نظرًا لأنها غير متزامنة، ما يعني تنفيذ جميع الأوامر.
وأوضح دينيس ليغيزو الباحث الأمني الأول في كاسبرسكي، إنه نادرًا ما يُعثَر في البرمجيات الخبيثة على هذا التوظيف لأسلوب البرمجة الشبيه بواجهة برمجة التطبيقات على مستوى المؤسسات، حتى لدى الجهات التخريبية التي تشنّ حملات موجهة، وقال: “يظهر اتباع هذا الأسلوب خبرة واسعة في تطوير البرمجيات ويدلّ على التطوّر الكبير الحاصل من جانب الجهة التخريبية، التي سوف تتمكّن من تحديث برمجياتها لاحقًا بفضل وظائف الاستدعاء اللاحق”.
