مقدار كبير من المراقبة


فاعلون مألوفون وتضليل محتمل حول هوية المرتكبين في حملات البرمجيات الخبيثة السورية

بقلم: إيفا جالبيرين، مورغان ماركيز بوار، وجون سكوت ريلتون

ذكرت أول الهجمات الخبيثة التي تستهدف المعارضة السورية علناً في أوائل 2012، ولكن كان قد لوحظ وجودها في وقت ابكر من ذلك في أواخر عام 2011. ومع إنتقال الحملات إلى عامها الثاني، نحن ننشر تحديثاً يصف العديد من الهجمات الأخيرة. على مدى العامين الماضيين، مع تغير الأدوات، حافظت الهجمات على بعض المواضيع المشتركة: أدوات النفاذ عن بعد (RATs)  المتوفرة بسهولة جنباً إلى جنب مع الهندسة الاجتماعية الذكية والمدروسة.

مثلا تم استهداف أعضاء المعارضة بأدوات أمن زائفة، وتشفير زائف لـ”سكايب” وسلسلة متواصلة من الوثائق المثيرة للاهتمام التي تستخدم كطعم، وروابط خبيثة مصممة خصيصاً لمصالح واحتياجات ومخاوف المعارضة. إن المعارضة، بالإضافة إلى المنظمات غير الحكومية والصحفيين الذين يعملون على النزاع، هي هدف لحملات التصيد الإحتيالي (Phishing) الذي يستهدفهم من خلال رسائل البريد الإلكتروني وحسابات الإعلام الإجتماعي. وتستمر الهجمات في ظل المراقبة والاتصال المتدهور بشبكة الإنترنت الذي ينقطع في بعض الأحيان.

في حين أننا لم نسعَ لإظهار وجود علاقة إحصائية بين الهجمات التي تنكشف وعدد الحملات التي يتم إطلاقها، فإن كثافة الحملات التي لاحظناها، كما تم توثيقها من العينات التي تلقيناها، تقتفي أثر الأحداث على أرض الواقع. على سبيل المثال، في أواخر عام 2012، بدأنا نفترض أن أنشطة البرمجيات الخبيثة قد تضاءلت. إلا أنه وبعد أقل من أربع وعشرين ساعة على حجب الإنترنت، اكتشفنا حملات جديدة تنفذ ببرمجيات.

في السياق نفسه، لقد انتبهنا لهذه الحملات التي نصفها بعد استبدال الضربة العسكرية الامريكية المحتملة لسوريا بالجهود الدبلوماسية. لكن الروابط بين البرمجيات الخبيثة وحدّة الاحداث ومجراها ليست واضحة بشكل دائم. فعلى سبيل المثال، في حزيران 2013/ يونيو، قمنا بتغطية سلسلة من الهجمات الموجهة بما في ذلك برامج (freegate proxy) مزيفة واستعمال اختصارات ملفات “ويندوز” بدون رابط واضح مع أي حدث مباشر في سوريا.

الهجمات التي تم تحليلها تتضمن:

* قيام المهاجم بتلطيف تعليقات التحذير على منشور على “فيس بوك”  عن طريق ارفاق رابط تنزيل غير موثوق.

* شن هجمات جديدة من المجموعة المسؤولة عن برامج “فريغيات” المزيفة، بالإضافة الى هجمات يترك فيها المهاجم مفاتيح مغرية في متوالية تنقيح (debug string “تروجان” مخصص لنظام التشغيل “ماك أو إس إكس”، التي من الممكن ان تكون حملة تضليل تهدف إلى  توريط القراصنة من مؤيدي الأسد في سوريا، والتي لا يبدو أنها من تنفيذ مجموعات مألوفة بالنسبة إلينا.

تتضمن الحملات الموصوفة في هذا النص العديد من العناصر التي لاحظناها بصورة ثابتة في سلسة حملات البرمجيات الخبيثة. منها استعمال وسائل الاعلام الاجتماعية والرسائل التي صممت لتجذب الجمهور المستهدَف. بعض الهجمات تمثل خوادم سيطرة وتحكم تم تعريفها في الماضي على انها برمجيات خبيثة داعمة لحكومة الاسد، التي تقوم بهجمات سبق أن  تم كشفها من قبل “سيتزن لاب”، بالإضافة إلى أدوات مألوفة للنفاذ عن بعد كالـ XtremeRAT.

و في حالة اخرى تعرفنا علىnjRAT وهي أداة نفاذ عن بعد لم تتم ملاحظتها في هذه الحملات.

“تروجان” جديد ومهاجم ناشط:

أعلن “سايبر آرابز” ، – مشروع باللغة العربية يهدف إلى توفير الحماية الرقمية ينفذه “معهد صحافة الحرب والسلام“،

عن حدوث هجمة يوم 14 أيلول/ سبتمبر، تتضمن تحذيراً حول رابط غير موثوق تم نشره على صفحة “ائتلاف شباب الثورة في الساحل السوري” المعارضة على “فيس بوك” حيث شاهد زوار هذه الصفحة في ذلك التاريخ منشوراً وصورة يشجعان على فتح رابط التنزيل.

a1

تعتبر هكذا معلومات موضع اهتمام للعديد من المنخرطين في هذا النزاع. حيث تصرح هذه المعلومات عن مقتل ابو بصير اللاذقاني، الاسم الحركي لكمال حمام القائد المعروف في “الجيش الحر”، عند نقطة تفتيش في تموز/ يوليو 2013، كما ورد عن “الدولة الاسلامية في العراق والشام”.

ظهرت البرمجيات الخبيثة في الوقت الذي كانت تزداد فيه مخاوف المعارضة العلمانية من نجاحات “الدولة الاسلامية في العراق و الشام”.

كان النص يحفّز الضحية على نقر الرابط لمشاهدة مقطع الفيديو على العنوان التالي:

http://ge [dot] tt/api/1/files [slash] 77Hfd7s/0/blob?download

لكن سرعان ما تبين انه تم السيطرة على صفحة “فيس بوك” من قبل المهاجمين، كما تم حذف جميع تعليقات المستخدمين الذين حاولوا تحذير اصدقائهم من مخاطر تنزيل مقطع الفيديو بشكل مستمر من قبل مدير الصفحة الجديد، كما تبين الصورة في الاسفل:

 a2

تم تعديل الرابط لمنع التنزيل غير المتعمد لتحميل فعال وغير موثوق. يجب عدم فتح الرابط من قبل الاشخاص الذين لا يألفون التعامل مع الملفات غير الموثوقة. التقر على الرابط يقوم بتحميل ملف قابل للتنفيذ:

bjwytowe.packed.exe

(Md5:6c3e84a601b48eefc716936aee7c8374)

الذي أُحيل إلى برنامج “فايروس توتال” يوم 14 أيلول/ سبتمبر 2013. تعرف أداة النفاذ عن بعد هذه باسم Bladakindi أو njRAT. ففي وقت سابق من هذه السنة، تم اكتشاف هذه الاداة في استهدافها الوكالات الحكومية في الشرق الاوسط. لكن هذه اول مرة يتم التعرف عليها في سوريا. يقوم الملف القابل للتنفيذ بإنشاء الملفات التالية:

C:\Documents and Settings\User\Local Settings\Temp\googl.exe

C:\Documents and Settings\User\Local Settings\Desktop\.tmp

الملف المتبوع بلاحقة .tmp يحتوي على ما ينتج عن برنامج تسجيل ضربات المفاتيح.

بالاضافة الى ذلك، يقوم البرنامج القابل للتنفيذ بكتابة الملف التالي في مجلد الإقلاع (startup)، ضمن مجلد البرامج في قائمة “إبدأ” من أجل الاستمرار عند اعادة تشغيل جهاز الحاسوب.

C:\Documents and Settings\User\Start Menu\Programs\Startup\e5a0410dea2dd60d1e5835b1df7e244f.exe

a3

يبدو أن المهاجم قام ببعض الجهد لتمويه الملف القابل للتنفيذ، وذلك عن طريق استعمال نسخة تجريبية من DeepSea Obfuscator وهو برنامج يتم العثور عليه أحياناً مصحوباً بنسخ غير مشفرة من njRAT.

المتوالية التي تكشف استعمال التمويه:

تم تشويش هذا التركيب بالنسخة التقييمية لـ DeepSea Obfuscator.

تنتهي صلاحية هذا التركيب في 5 ايام.

The RAT makes a DNS request for: shaa1983.zapto.org – no-ip

تقوم أداة النفاذ عن بعد بطلب من نظام أسماء النطاقات (DNS) لـ:  shaa1983.zapto.org – no-ip

و يتم التواصل مع خادم التحكم والسيطرة على عنوان بروتوكول الإنترنت:

46.213.210.210 port 1063 to port 1177

و هو عنوان بروتوكول إنترنت سوري لشبكة الاتصالات “سيرياتل”.

ما يثير الاهتمام أن موقع “فايروس توتال” VirusTotal قام في أيلول/ سبتمبر برفع ملف njRAT قد يكون له علاقة بهذا النموذج. يدعى هذا الملف syriagpj.Scr المموه بصيغة JPG. لكنه بالفعل ملف Scr يستخدم خدعة تعكس ترتيب الأحرف في اللاحقة، مما يخفي اللاحقة الفعلية التي هي في الحقيقة ملف قابل للتنفيذ. الذي يترك الملف التالي:

http://whois.net/ipaddresslookup

46.213.210.210

3 Md5: 821ded84755e0a1ba527a6bd00928bd3

C:\Documents and Settings\user\Local Settings\Application DataJeTzDlmzWg.exe

C:\Documents and Settings\user\Local Settings\Application DatagvyTWVBLOk.jpg

بالاضافة الى تنصيب njRAT بشكل خفي، يتم عرض الصورة الظاهرة في الاسفل.

a4

يقوم نموذج njRAT بنقل المعطيات الى خادم السيطرة والتحكم  hacker1987.zapto.org الذي يتحول الى 46.213.0.220 وهو موجود ايضاً على شبكة اتصالات “سيرياتل”.

رسائل إلكترونية مزعجة

(تحذير: محتوى عنيف)

شوهد هذا الهجوم لأول مرة في رسالة الكترونية أرسلت إلى مسؤول منظمة غير حكومية في 7 تشرين الأول/ أكتوبر وموضوعه “فيديو خطير ويظهر خبث جيش الأسد”.

عنوان البريد الإلكتروني الخاص بالمرسل الذي قمنا بحجبه، يشير إلى صلة  بـ “جبهة النصرة”.

في نص الرسالة ما يلي:

من: [حذف عنوان المرسل]

التاريخ: 7/10/2013

الموضوع: فيديو خطير – يوضح حقد الجيش الاسدي

إلى: [مسؤول في منظمة غير حكومية]

فيديو مسرب وخطير جدا جدا جدا شاهد ما تم فعله في أحد المدنيين وما قاله المدني

http://url.no/Uu5

ويلي النص وصلة لفيديو.

عنوان URL الموسع هو: http://mrconstrucciones.net/js/video31.zip. ويتضمن أرشيف مضغوط يحتوي ملفاً اسمه:

فيديو هام جدا”.scr”

تنفيذ الملف يعرض مقطع فيديو مزعج عن رجل يذبح بسكين وينزف حتى الموت.

a5

بالإضافة إلى عرض الفيديو المموه، فإن الملف القابل للتنفيذ يسقط  الملف التالي سرا:

C:\Documents and Settings\user\Application Data\Microsoft\Windows\ospsvc.exe

كشفنا هذا الملف على أنه “XTREME RAT”، وهو برمجية خبيثة يمكن استخدامها من قبل مهاجم بمهارة محدودة في ما يخص تسجيل ضربات المفاتيح وأخذ لقطات من شاشة كمبيوتر الضحية، وأمور أخرى. لطالما ارتبط “XTREME RAT” بالبرمجيات الخبيثة التي تستهدف المعارضة السورية.

إكتشاف المزيد عن الحملة:

بعد أسبوع، حددنا هجوم ثاني نشر أيضاً برمجية Xtreme RAT، تم إرساله على شكل مرفق خبيث بالبريد الإلكتروني.

عنوان المرسل واسم الملف المرفَق يقترحان علاقة “الجيش السوري الحر” و / أو المعارضة السورية بالأمر. موضوع الرسالة هو “مستعجل جدا بيان صادر عن المخابرات العامة للجيش الحر” ونص الرسالة فارغ.

عند فتح المرفق (MD5: 16262d9e68be28275c130c32c8bd7a2f)، فإنه يسقط ملف “رابط بيان هام المخابرات العامة للجيش الحر.”

عند تحليل الملف، يعطي رابطاً مختصراً: http://url.no/syfree، والذي يتوسع ليصبح:

http://mrconstrucciones.net/js/youtube.php?url=http://www.facebook.com/2013.Free.Syrian.Ar my.2/posts/221362964705474

 

يحتوي هذا الموقع http://mrconstrucciones.net/js/youtube.php على رماز اثناني (binary code) بحجم 300 كيلوبايت باسم google.exe. أنظروا في الأسفل:

1

بعد فك الترميز يبدو كالتالي :

2

تتضمن هذه البيانات عنوان موقع (URL) لخادم التحكم والسيطرة الخاص بالبرمجية الخبيثة التي تتلقى بدورها البيانات المسروقة: tn1.linkpc.net. هذا هو خادم التحكم والسيطرة نفسه المستعمل في الهجمة التي تحتوي على الفيديو المزعج، ما يشكل رابطاً بين الهجمتين.

بعد دراسة الموقع المرتبط بهذا الهجوم (http://mrconstrucciones.net/js)، والذي يبدو أنه موقع مخترق عائد إلى شركة مكسيكية، وجدنا ستة كودات ثنائية (binary codes) تخص برمجيات خبيثة تحت أنواع ملفات مختلفة (.pif, .rar, .zip, and .php) وكدليل إضافي على أن هذه الهجمة وتلك السابقة مرتبطتان، يحتوي هذا الدليل على الفيديو الموصوف أعلاه نفسه، “video31.zip” والذي يمكن مشاهدته من قبل الجمهور حول العالم (لبعض الوقت).

3

البرمجيتان الخبيثتان اللتان وصفناهما، شبيهتان بالبرمجيات التي تم تحليلها من قبل “سيتزن لاب”، والمذكورة في تقريرنا من حزيران/ يونيو 2013.

تستخدم هذه البرمجية خادم تحكم وسيطرة نطاقه (http://tn1.linkpc.net:81/123.functions) يقود إلى عنوان بروتوكل الانترنت نفسه الخاص بالخادم المذكور في تقرير “سيتزن لاب” (http://tn5.linkpc.net:81/123.functions).

نستمر في رؤية حملات تنفذ بالبرمجيات الخبيثة تشير إلى كلا النطاقين.

5

عودة قراصنة “فريغايات”

في حزيران/ يونيو 2013، وصفنا هجوماً يستخدم غلافاً خبيثاً من “فريغايت”، وهي أداة تجنب الرقابة. هذه الهجمة، التي لاحظناها بداية في نهاية تشرين الأول/ أكتوبر على شكل ملف خبيث في “دروب بوكس” بمواصفات “يوتيوب”، ويبدو الملف أنه مرتبط بالمجموعة التي تقف وراء هجوم “فريغايات”. يوجد أدناه وصف لنموذج رابط الملف المفتوح:

6

تقود الروابط إلى صفحات “دروب بوكس” التي تستضيف الملفات الخبيثة، والتي تمت ملاحظتها يوم السابع من كانون الأول/ ديسمبر، وهي تقود الضحية إلى تنزيل ملف من “دروب بوكس” اسمه “anti skype bot.zip”.

7

عندما يتم تنزيل الأرشيف، يجري استخراجه على شكل ملف قابل للتنفيذ اسمه skype.exe عندما يتم تنفيذ البرنامج، يقوم بإسقاط ملفين إضافيين

C:\Documents and Settings\LocalService\Application Data\ad.exe

C:\Documents and Settings\LocalService\user.exe

بعد ذلك، تقوم أداة النفاذ عن بعد بسرقة البيانات ونقلها إلى النطاق thejoe.publicvm.com على المنفذ 1234، الذي يقود إلى عنوان بروتوكول الانترنت 31.9.48.146، وهو يتبع لمؤسسة الاتصالات السورية. خادم التحكم والسيطرة هذا هو نفسه الذي استخدمته النسخة الخبيثة من “فريغايت”، والتي تم وصفها في تقرير “سيتزن لاب” في حزيران/ يونيو يبدو أن هؤلاء المهاجمين غيروا تقنيات الهندسة الاجتماعية التي يستعملونها، ولكنهم لم يغيروا أهدافهم.

دليل في متواليات التنقيح (Debugging Strings)

تبدأ هذه الهجمة بمحاولة مطوّلة وحيّة في الهندسة الاجتماعية، ويقودها مهاجم ضد هدف من المعارضة السورية.

يبعث المهاجم بالرسالة التالية، يغري فيها الهدف عبر وعده بمعلومات أساسية عن تحركات المجموعات المقاتلة في المعارضة، وحدات من قوات النظام (“الجيش العربي السوري”) والشبيحة (ميليشيات موالية للأسد)، بالإضافة إلى ومواقع عسكرية ولقطات من الشاشة مأخوذة عن “غوغل إيرث”.

نص الرسالة

هام جداً للنشر الأماكن العسكرية المحظور تواجد المدنيين فيها حفاظاً على سلامتهم وهي الأماكن التي قررت قيادة جيش الإسلام تركيز هجومها عليها بكافة أنواع الأسلحة حيث يتجمّع قوات وقيادات جيش الأسد والحواجر العسكرية المهمة بالنسبة لطرق الأمداد وقد تتم فيها عمليات تفجير بحواجز الشبيحة تم توضيح جميع الأماكن بصور من غوغل ايرث

من بعدها، أرسل المهاجم ملفاً خبيثاً اسمه rar.هام جيش الاسلام

(SHA 256: ff6f938ff6e3823ae7b844d569469b2744b1724d73a5ff0cc854bf958e13f6b0)

عند فتح الملف، يقوم بإسقاط ملف للتنفيذ اسمه “exe.الأماكن العسكرية”

(Md5:f9527f60dadd7cb1a2777d7e92f240e0d0b31028f1e53b853c916e1b83c86bf4)

وهو يستعمل أيقونة PDF.

8

ما يثير الانتباه هو متواليات التنقيح (وهي من مخلفات عملية تطوير البرامج) في البرمجية الخبيثة، مثل:

C:\Users\syrian Malware\AppData\Local\Temporary Projects\ali2\obj\x86\Debug\ali2.pdb

و

“WinForms_RecursiveFormCreate5WinForms_SeeInnerExceptionali2.Resources’aliallosh.sytes.netSyrian Malware.

وجود متوالية “البرمجية الخبيثة السورية” يشير بشكل أكبر إلى الطبيعة الموجِهة للهجمات، وقد توفر دلائل مثيرة للاهتمام حول هوية المهاجم وممارساته. قد يجد بعض القراء من المستغرب، مثلاً، أن يستعمل مهاجم محلي عبارة “برمجية خبيثة سورية” (Syrian Malware) باللغة الانكليزية للإشارة إلى ما صنعه.

تسرق أداة النفاذ عن بعد هذه البيانات وتنقلها إلى نطاق aliallosh.sytes.net على المنفذ TCP port 81، الذي يؤدي إلى عنوان بروتوكول الانترنت 188.139.131.16 وهو عنوان في الفضاء الرقمي السوري، تملكه شركة “سيرياتل موبايل”.

“تروجان” ماك أو إس إكس: عملية تهدف إلى حرف الأنظار عن الفاعل الحقيقي؟

في هذه الأثناء، وجد “تروجان” جديد على نظام تشغيل “آبل” “ماك أو إس إكس” على “فيروس توتال”، وتم الإعلان عنه في السابع عشر من أيلول/ سبتمبر 2013 على موقع “إنتيغو” في منشور تحت عنوان “اكتشاف تروجان جديد متعلق بسوريا”. خلق التقرير اهتماماً واسعاً في وسائل الإعلام وتكهنات حول ارتباط هذا “التروجان” بـ”الجيش السوري الالكتروني”. وقد وصل الأمر بـ “الجيش السوري الالكتروني” أن نفى بشكل علني مسؤوليته عن الحادث. لا نجد أي رابط بين هذا “التروجان” ومجموعات البرمجيات الخبيثة التي حللناها.

يتم توزيع هذه البرمجية الخبيثة تحت غطاء صورة، كما يظهر أدناه:

9

والجدير بالذكر أن الحملات التي شنت باستخدام البرمجيات الخبيثة المرتبطة بسوريا التي أعلنّا عنها استخدمت وسائل متطورة في الهندسة الاجتماعية، لإغراء المستخدمين بتنزيل تطبيقاتها، وذلك باستعمال صور ورسائل مرتبطة بالنزاع السوري، عبر إخفاء البرمجية الخبيثة على شكل أداة أمن رقمي. كما أنه من غير الشائع أبداً رؤية “تروجان” خاص بنظام “أو إس إكس” يستهدف هذه المجموعة من الناس، أي المعارضين السوريين، التي تكاد تتكون بشكل كامل من مستخدمي “ويندوز”.

عند تشغيل هذا التروجان، يقوم بنسخ نفسه في

Users/Shared/UserEvent.app

(Md5: 6a36379b1da8919c1462f62deee666be).

ويقوم ذلك بالتواصل مع خادم التحكم والسيطرة في نطاق servicesmsc.sytes.net في المنفذ tcp/7777.

يوم التاسع عشر من أيلول/ سبتمبر، أشارت هذه الصورة إلى 199.127.102.24، وهي جزء من عنوان بروتوكول إنترنت تملكه شركة “افيستا نتوركس”، ومركزها في ميامي، في ولاية فلوريدا الأميركية.

syrian electronic army logo

ليس واضحاً لماذا قد تود الجهة المهاجمة ربط برمجيتها الخبيثة بـ”الجيش السوري الالكتروني”، إلا أن هناك عدداً كبيراً من الأدلة التي تشير أن هذه العملية غير مرتبطة بالحملات التي نتتبّعها من العام 2011.

البقاء بأمان

في حالة إصابة حاسوبكم بالبرمجيات الخبيثة الموصوفة في هذه الهجمات، فإن إزالة أداة النفاذ عن بعد لا يضمن أن حاسبوكم أصبح آمناً.
في نهاية المطاف، تعطي هذه الهجمات من يقف وراءها القدرة على تنفيذ تعليمات برمجية عشوائية على الحاسوب المصاب. ليس هناك أي ضمان بأن المهاجم لم يثبت برامج ضارة إضافية أثناء سيطرته على الجهاز. الإجراء الأكثر أمانا للعمل هو إعادة تثبيت نظام التشغيل على حاسوبكم، وتغيير جميع كلمات السر لحسابات قد تكونون قد سجلتم الدخول إليها حين كان الحاسوب مصاباً.

في الوضع المثالي، نوصيكم بتجنب الإصابة بالعدوى في المقام الأول عن طريق تعريف أنفسكم على أساليب الهندسة الاجتماعية المستخدمة من قبل هذه الجماعات.

تشعر “مؤسسة الحدود الالكترونية” و”سيتزن لاب” بالقلق الشديد من عودة ظهور البرمجيات الخبيثة التي تطلقها جهات موالية للحكومة، تستهدف نشطاء الإنترنت في سوريا. تظهر حملات البرمجيات الخبيثة أنها أصبحت متطورة أكثر وأكثر، وتتضمن مستويات أعلى من الهندسة الاجتماعية. بالإضافة إلى ذلك، فإن وجود عمليات تشير إلى فاعلين مزيفين يثير البلبلة، ما يصعّب تحديد الجهات الفاعلة.  كل من هذه العمليات وحملات البرمجيات الخبيثة الحقيقية ضد أعضاء المعارضة السورية تستدعي المزيد من التحقيق. نحث السوريين على الحذر من فتح مرفقات البريد الالكتروني التي تحتوي على مستندات أو ملفات PDF، وتوخي الحذر بشكل خاص عند النقر على روابط في صفحات “فيس بوك” و”يوتيوب” التابعة للمعارضة.

شكر إضافي لـ نارت فيلنوف وبيل  ماركزاك.

 

لتحميل التقرير الأصلي باللغة الإنكليزية من هنا

ان كان لديكم اي استفسار او سؤال الرجاء مراسلتنا عبر التعليقات في اسفل الشاشة

للتعليقات

هذا الموقع يستخدم Akismet للحدّ من التعليقات المزعجة والغير مرغوبة. تعرّف على كيفية معالجة بيانات تعليقك.

CyberArabs عضو في:

للتبليغ

سجل في نشرتنا الشهرية

%d مدونون معجبون بهذه: