سيمانتيك تكشف المتورطين في نشر فيروس شمعون
جدة – سويفت نيوز:
اكتشفت سيمانتيك مجموعة القرصنة والتجسس الإلكتروني “جرين بج” أثناء التحقيق في هجوم تسبب في تدمير ومسح بيانات استخدم فيه فيروس W32.Disttrack.B المعروف باسم Shamoon. وتصدر “شامون” (W32.Disttrack) الأخبار لأول مرة في عام 2012 عندما استخدم في هجوم إلكتروني استهدف شركات الطاقة في المملكة العربية السعودية. وظهر الفيروس بوجه جديد في نوفمبر 2016 بإسم W32.Disttrack.B ليستهدف مرة أخرى شركات في المملكة العربية السعودية.
إلا أن W32.Disttrack يحمل فقط أوامر المسح، ويلزمه ملفات أخرى ليستطيع الدخول والانتشار في شبكات الشركات المستهدفة، وهذه الملفات يجب أن تكون مبنية على ملفات الشركة المصرح بها. وفي الوقت الذي تمت تغطية الهجمات في وسائل الإعلام، تبقى إجابة سؤال: كيف استطاع القراصنة المهاجمين الاستيلاء على هذه الملفات المعتمدة وتوجيه W32.Disttrack إلى الشبكات المستهدفة؟، غامضة.
هل يمكن أن تكون “جرينبج” مسؤولة عن سرقة هذه الملفات وتزويد “شامون” بها؟
اكتشفت “جرينبج” عندما استهدفت مجموعة من المؤسسات في الشرق الأوسط، منها شركات تعمل في مجالات مثل الطيران والطاقة والاستثمار والتعليم وحتى الحكومية. واستخدمت المجموعة برمجية من نوع “حصان طروادة” Trojan (RAT) لسرقة المعلومات عن بعد والمعروفة بإسم Trojan.Ismdoor، بالإضافة إلى مجموعة من أدوات القرصنة التي ساعدتها على سرقة ملفات معتمدة حساسة من المؤسسات المخترقة.
ولا يوجد دليل قاطع على صلة مجموعة “جرينبج” وفيروس “شامون”، إلا أن المجموعة سيطرت على حاسوب رئيسي واحد على الأقل في هجمة شامون التي سبقت هجمة W32.Disttrack.B والتي استهدفت شبكة المؤسسة في 17- نوفمبر- 2016.
تحليل الهجمات
نشطت مجموعة القرصنة والتجسس “جرين بج” في شهر يونيو 2016، وتعتمد المجموعة في هجماتها على البريد الإلكتروني لتتمكن من اختراق المؤسسة. وترى سيمانتيك أن المجموعة تملك صلاحيات دخول حصرية على البرمجية الخبيثة Trojan.Ismdoor. وتستخدم المجموعة أدوات إضافية للسيطرة على أجهزة الحاسوب الأخرى المتصلة بالشبكة وسرقة اسم المستخدم وكلمة السر الخاصة بكل حاسوب من داخل نظام التشغيل نفسه أو حساب البريد الإلكتروني ومتصفح الإنترنت.
واستخدمت برمجية Trojan.Ismdoor الخبيثة بين يونيو ونوفمبر 2016 ضد عدد من الأهداف وعلى نطاق واسع في منطقة الشرق الأوسط. وكجزء من العملية استخدمت المجموعة البنية التحتية لإحدى شركات الطاقة لاستضافة Ismdoor. وشملت الهجمات شركات تعمل في مجال الطيران والتعليم والمنظمات الحكومية والاستثمار. وتأثرت بها بلاد مثل المملكة العربية السعودية والبحرين والعراق وقطر والكويت وتركيا وإيران. وتم استهداف مؤسسة سعودية في استراليا.
ويعتقد أن الهجوم بدأ ببريد إلكتروني طلب من المستخدم تحميل ملف مضغوط RAR يحمل معلومات وصفت في البريد بأنها عرض عمل، والملف مستضاف على موقع إنترنت قانوني قد تكون المجموعة سيطرت عليه قبل الهجمة، وبداخل الملف RAR توجد برمجية Ismdoor الخبيثة مختبئة باستخدام تقنية دفق البيانات البديلة.
وتقنية “دفق البيانات البديلة” Alternate Data Streams تعمل على الأقراص الصلبة التي تعمل بنظام NTFS على نظام Windows، وتستخدم في الأصل لإضافة تفاصيل الملف الأصلي ولا يستطيع المستخدم رؤيتها، ما يجعلها مكان مثالي للمهاجم ليخبأ بها ملفات البرمجية الخبيثة المراد زرعها داخل الحاسوب لاختراقه.
هل تتحمل مجموعة “جرينبج” مسؤولية نشر فيروس “شامون”؟
وجود “جرينبج” على شبكة المؤسسات المستهدفة قبل هجوم مسح البيانات W32.Disttrack.B يبني صلة مبدأية لعلاقتهم بالهجمات. فاختيار “جرينبج” للمؤسسات المستهدفة والأدوات المستخدمة وهجمة Ismdoor جاءت قبل يوم واحد من هجوم “شامون” في 17-نوفمير-2016 تثير الشبهات حول المجموعة. وستواصل سيمانتيك مراقبة المجموعة حتى ظهور أدلة جديدة.