الكشف عن المتهم الذي يقف وراء "فيروس شمعون"

وجهت شركة "سيمانتيك" أصابع الاتهام إلى مجموعة قرصنة وتجسس إلكتروني تدعى "جرين بج" والتي تعتقد "سيمانتيك" أنها الجهة التي تقف وراء فيروس "شمعون" الذي عاد ليضرب في الساعات الماضية عددًا من الجهات الرسمية في المملكة العربية السعودية. واستندت سيمانتيك في اتهامها على تحليل تقني معمق. وكانت "سيمانتيك" قد اكتشفت مجموعة القرصنة والتجسس الإلكتروني "جرين بج" أثناء تحقيقها في هجوم تسبب في تدمير ومسح بيانات استخدم فيه فيروس W32.Disttrack.B المعروف باسم شمعون Shamoon. وتصدر فيروس W32.Disttrack الأخبار لأول مرة في عام 2012 عندما استخدم في هجوم إلكتروني استهدف شركات الطاقة في المملكة العربية السعودية. وظهر الفيروس بوجه جديد في نوفمبر 2016 بإسم W32.Disttrack.B ليستهدف مرة أخرى شركات في المملكة العربية السعودية. إلا أن فيروس W32.Disttrack يحمل فقط أوامر المسح، ويلزمه ملفات أخرى ليستطيع الدخول والانتشار في شبكات الشركات المستهدفة، وهذه الملفات يجب أن تكون مبنية على ملفات الشركة المصرح بها. وفي الوقت الذي تمت تغطية الهجمات في وسائل الإعلام، تبقى الإجابة على السؤال التالي غامضة: كيف استطاع القراصنة المهاجمين الاستيلاء على هذه الملفات المعتمدة وتوجيه W32.Disttrack إلى الشبكات المستهدفة؟! هل يمكن أن تكون مجموعة "جرين بج" مسؤولة عن سرقة هذه الملفات وتزويد فيروس شمعون بها؟ تم اكتشاف مجموعة "جرين بج" عندما استهدفت مجموعة من المؤسسات في الشرق الأوسط، منها شركات تعمل في مجالات مثل الطيران والطاقة والاستثمار والتعليم وحتى الحكومية. واستخدمت المجموعة برمجية من نوع "حصان طروادة" (Trojan (RAT لسرقة المعلومات عن بعد والمعروفة بإسم Trojan.Ismdoor، بالإضافة إلى مجموعة من أدوات القرصنة التي ساعدتها على سرقة ملفات معتمدة حساسة من المؤسسات المخترقة. ولا يوجد دليل قاطع على صلة مجموعة "جرين بج" بفيروس "شمعون"، إلا أن المجموعة سيطرت على حاسوب رئيسي واحد على الأقل في هجمة شمعون التي سبقت هجمة W32.Disttrack.B والتي استهدفت شبكة المؤسسة في 17- نوفمبر- 2016. تحليل الهجمات نشطت مجموعة القرصنة والتجسس “جرين بج” في شهر يونيو 2016، وتعتمد المجموعة في هجماتها على البريد الإلكتروني لتتمكن من اختراق المؤسسة. وترى سيمانتيك أن هذه المجموعة تملك صلاحيات دخول حصرية على البرمجية الخبيثة Trojan.Ismdoor. وتستخدم المجموعة أدوات إضافية للسيطرة على أجهزة الحاسوب الأخرى المتصلة بالشبكة وسرقة اسم المستخدم وكلمة السر الخاصة بكل حاسوب من داخل نظام التشغيل نفسه أو حساب البريد الإلكتروني ومتصفح الإنترنت. واستخدمت برمجية Trojan.Ismdoor الخبيثة بين يونيو ونوفمبر 2016 ضد عدد من الأهداف وعلى نطاق واسع في منطقة الشرق الأوسط. وكجزء من العملية استخدمت المجموعة البنية التحتية لإحدى شركات الطاقة لاستضافة Ismdoor. وشملت الهجمات شركات تعمل في مجال الطيران والتعليم والمنظمات الحكومية والاستثمار. وتأثرت بها بلاد مثل المملكة العربية السعودية والبحرين والعراق وقطر والكويت وتركيا وإيران. وتم استهداف مؤسسة سعودية في استراليا. ويعتقد أن الهجوم بدأ ببريد إلكتروني طلب من المستخدم تحميل ملف مضغوط RAR يحمل معلومات وصفت في البريد بأنها عرض عمل، والملف مستضاف على موقع إنترنت قانوني قد تكون المجموعة سيطرت عليه قبل الهجمة، وبداخل الملف RAR توجد برمجية Ismdoor الخبيثة مختبئة باستخدام تقنية دفق البيانات البديلة. وتقنية “دفق البيانات البديلة” Alternate Data Streams تعمل على الأقراص الصلبة التي تعمل بنظام NTFS على نظام Windows، وتستخدم في الأصل لإضافة تفاصيل الملف الأصلي ولا يستطيع المستخدم رؤيتها، ما يجعلها مكان مثالي للمهاجم ليخبأ بها ملفات البرمجية الخبيثة المراد زرعها داخل الحاسوب لاختراقه. من المسؤول؟! وجود "جرين بج" على شبكة المؤسسات المستهدفة قبل هجوم مسح البيانات W32.Disttrack.B يبني صلة مبدئية لعلاقتهم بالهجمات. فاختيار "جرين بج" للمؤسسات المستهدفة والأدوات المستخدمة وهجمة Ismdoor جاءت قبل يوم واحد من هجوم "شمعون" في 17-تشرين الثاني-2016 كل هذا يثير الشبهات حول المجموعة. وستواصل سيمانتيك مراقبة المجموعة حتى ظهور أدلة جديدة. (AIT)