فيروس شمعون تحت مراقبة سيمانتيك التي توجه الاتهام الي مجموعة قرصنة جرين بج

أشارت شركة سيمانتيك بأصابع الاتهام إلى مجموعة قرصنة وتجسس إلكتروني تسمي جرين بج ، والتي تعتبرها سيمانتيك الجهة التي تقف وراء اطلاق فيروس شمعون ،الذي عاد ليضرب في الساعات الماضية عددًا من  الجهات الرسمية في المملكة العربية السعودية.

فيروس شمعون تحت مراقبة سيمانتيك التي توجه الاتهام الي مجموعة قرصنة جرين بج

وكانت سيمانتيك قد قامت بإكتشاف مجموعة القرصنة والتجسس الإلكتروني “جرين بج” أثناء تحقيقها في هجوم تسبب في تدمير ومسح بيانات استخدم فيه فيروس W32.Disttrack.B المعروف باسم شمعون Shamoon. وتصدر فيروس W32.Disttrack الأخبار لأول مرة في عام 2012 عندما استخدم في هجوم إلكتروني استهدف شركات الطاقة في المملكة العربية السعودية. وظهر الفيروس بوجه جديد في نوفمبر  2016 بإسم W32.Disttrack.B ليستهدف مرة أخرى شركات في المملكة العربية السعودية.

من المعروف أن فيروس W32.Disttrack يحمل فقط أوامر المسح، ويلزمه ملفات أخرى ليستطيع الدخول والانتشار في  شبكات الشركات المستهدفة،  وهذه الملفات يجب أن تكون مبنية على ملفات الشركة المصرح بها. وفي الوقت الذي تمت تغطية الهجمات في وسائل الإعلام، تبقى الإجابة على السؤال التالي غامضة: كيف استطاع القراصنة المهاجمين الاستيلاء على هذه الملفات المعتمدة وتوجيه W32.Disttrack إلى الشبكات المستهدفة؟!

 فيروس شمعون تحت مراقبة سيمانتيك

مجموعة “جرين بج” تم اكتشافها عندما استهدفت مجموعة من المؤسسات في الشرق الأوسط، منها شركات تعمل في مجالات مثل الطيران والطاقة والاستثمار والتعليم وحتى الحكومية. واستخدمت المجموعة برمجية من نوع “حصان طروادة” (Trojan (RAT لسرقة المعلومات عن بعد والمعروفة بإسم Trojan.Ismdoor، بالإضافة إلى مجموعة من أدوات القرصنة التي ساعدتها على سرقة ملفات معتمدة حساسة من المؤسسات المخترقة.

حتي الآن ، لا تمتلك سيمانتيك دليل قاطع على صلة مجموعة “جرين بج” بفيروس “شمعون”، إلا أن المجموعة سيطرت على حاسوب رئيسي واحد على الأقل في هجمة شمعون التي سبقت هجمة W32.Disttrack.B  والتي استهدفت شبكة المؤسسة في 17- نوفمبر- 2016.

هجوم المجموعة بدأ ببريد إلكتروني طلب من المستخدم تحميل ملف مضغوط RAR يحمل معلومات  وصفت في البريد بأنها عرض عمل، والملف مستضاف على موقع إنترنت قانوني قد تكون المجموعة سيطرت عليه قبل الهجمة، وبداخل الملف RAR توجد برمجية Ismdoor الخبيثة مختبئة باستخدام تقنية دفق البيانات  البديلة.

وتقنية “دفق البيانات البديلة” Alternate Data Streams تعمل على الأقراص الصلبة التي تعمل بنظامNTFS على نظام Windows، وتستخدم في الأصل لإضافة تفاصيل الملف الأصلي ولا يستطيع المستخدم رؤيتها، ما يجعلها مكان مثالي للمهاجم ليخبأ بها ملفات البرمجية الخبيثة المراد زرعها داخل الحاسوب لاختراقه.
وجود “جرين بج” على شبكة المؤسسات المستهدفة قبل هجوم مسح البيانات W32.Disttrack.B يبني صلة  مبدئية لعلاقتهم بالهجمات. فاختيار “جرين بج” للمؤسسات المستهدفة والأدوات المستخدمة وهجمةIsmdoor جاءت قبل يوم واحد من هجوم “شمعون” في 17-نوفمير-20166 كل هذا يثير الشبهات حول  المجموعة. وستواصل سيمانتيك مراقبة المجموعة حتى ظهور أدلة جديدة.

قد يعجبك ايضا المزيد عن المؤلف

اترك رد

لن يتم نشر عنوان بريدك الإلكتروني.

error: Content is protected !!