ترجمة ملخصة من فريق “سايبر أرابز”، لقراءة التقرير الأصلي باللغة الإنكليزية من هنا

1. ملخص تنفيذي اكتشف فريق البحث والتحليل العالمي (GReAT) في مختبر “كاسبرسكي” هجمات رقمية جديدة في سوريا، يستخدمفيهامخترقون مجموعة كبيرة من أدواتهم الخاصة لإخفاء البرمجيات الخبيثة وتشغيلها. تعتمد هذه الهجمات على إتقان حيل الهندسة الاجتماعية، أي أنها مصممة لكي تستهدف أشخاصاً محددين. لكن بالإضافة إلى ذلك كان لدى الضحايا استعداد لفتح هذه الملفات الخبيثة واستكشافها بسبب الحاجة الماسة إلى أدوات الخصوصية والأمن في المنطقة. يقع الضحايا فريسة لهذه الهجمات لأنهم يأملون الحفاظ على سرية هويتهم، ولأنهم يعتقدون أنهم ينصّبون آخر برامج “الحماية. وتم الحصول على الغالبية العظمى من هذه العينات عبر مواقع الناشطين والشبكات الاجتماعية.

وبين امتدادات الملفات الرئيسية وبين عينات البرمجيات الخبيثة التي تم الحصول عليها نذكر:

– .exe

– .dll

– .pif

– .scr

تعتمد المجموعة على برمجية خبيثة من نوع “تروجان – أداة الوصول عن بعد” (TrojanRAT) ومن أكثرها شيوعاً:

– ShadowTech RAT

– Xtreme RAT

– NjRAT

– Bitcomet RAT

– Dark Comet RAT

– Blackshades RAT

عدد الملفات الخبيثة: 110، مع زيادة كبيرة أثناء الهجمات الأخيرة.

عدد أسماء النطاقات المرتبطة بالهجمات: 20.

عدد أرقام الآي بي (IP) المرتبطة بالهجمات: 47.

تتم الحماية من هذه الهجمات عبر استخدام نهج أمني من عدة خطوات: إبقاء البرامج الأمنية محدثة دائماً، والشك دائماً بما يتعلق بالملفات المشبوهة.

2. مقدمة اشتدت الصراعات الجيوسياسية في الشرق الأوسط في السنوات القليلة الماضية، وسوريا لم تكن استثناء. وبينما تتخذ الأزمة أشكالاً عديدة، يشتد الصراع في الفضاء الإلكتروني، حيث يحاول كل من الجانبين ترجيح كفّة نضاله عبر لعب دور استخباري على الإنترنت وممارسة التشويش على الجانب الآخر.

في السنوات القليلة الماضية، انتقلت الهجمات على الإنترنت في سوريا إلى الخط الأمامي. وتم ربط العديد من الأنشطة في الفضاء الإلكتروني بسوريا، وخاصة تلك التي أجرتها مجموعات “الجيش السوري الإلكتروني” الموالية للحكومة السورية.

وجد فريق الدراسات والتحليل العالمي (GReAT) في مختبر “كاسبرسكي” هجمات خبيثة جديدة، تستخدم تقنيات جديدة ولكنها ليست متطورة لإخفاء وتشغيل البرمجيات الخبيثة، إضافة إلى خدع متقنة في الهندسة الاجتماعية لإرسال هذه الملفات الخبيثة عبر خداع المستخدمين لفتح الملفات المشبوهة.

تم العثور على هذه الملفات الخبيثة على مواقع الناشطين المخترقة وصفحات الإنترنت والشبكات الاجتماعية.

“سايبر أرابز”، وهو مشروع للأمن الرقمي باللغة العربية تابع لمعهد صحافة الحرب والسلام (IWPR)، أبلغ عن أربعة من هذه العينات في شهر آذار/مارس 2014. كما تم الإبلاغ عن العينات ذاتها على صفحات سورية على موقع “فيس بوك” (تقنيون لأجل الحرية).

سنركز في هذا التقرير على البرمجيات الخبيثة والحقائق التي تم العثور عليها أثناء التحليل ونقدم المعلومات ذات الصلة فقط، آملين في وضع سياق واضح لهذا البحث.

3. التحليل 3.1. ناقلات العدوى

يستخدم مبرمجو الملفات الخبيثة تقنيات متعددة لإيصال ملفاتهم وإغراء الضحايا بفتحها وخلق ناقلات عدوى ذات فعالية. وبالاعتماد بشكل أساسي على الهندسة الاجتماعية، يقوم المهاجم باستغلال:

– ثقة الضحية بمنتديات الشبكات الاجتماعية.

– فضول الضحايا في متابعة الأخبار المتعلقة بالصراع السياسي في سوريا.

– خوف الضحايا من الهجمات التي يتم شنها من قبل الحكومة.

– قلة الوعي التقني للضحايا.

بمجرد إصابة حاسوب الضحية، يستطيع المهاجم النفاذ إلى جهازها والتحكم الكامل به.

3.1.1 رسائل “سكايب” (Skype)

تقدم الرسائل المرسلة عبر”سكايب” روابط لتنزيل:

1- برنامج “SSH VPN” لتشفير الاتصال

2- البرنامج الشهير والفعال “Amazon Internet Security” مع تحديثه بشكل يومي

3- برنامج “SmartFirewall” لحجب الاتصالات التي يتم إجراؤها من قبل البرمجيات الخبيثة والبرامج السيئة

تم إرسال هذه الرسائل غالباً باستخدام حسابات مزوّرة أو مسروقة.

3.1.2 منشورات “فيس بوك”

الرسائل ذاتها التي أرسلت عبر “سكايب”، تمت مشاركتها على شبكة التواصل الاجتماعي “فيس بوك”. وتحمل هذه الرسائل إلى الضحايا طلباً بنصيب هذه “البرامج الأمنية” لحمايتهم من الإصابة بالملفات الخبيثة ومن هجمات الإنترنت، وخاصة تلك التي تشنها الحكومة.

3.1.3 فيديوهات “يوتيوب”

في المثال التالي نشاهد فيديو على موقع “يوتيوب” يقدم روابط لتحميل نسخ مزورة من برنامجي “واتس آب” و”فايبر” لكي يعملا على جهاز الحاسوب. باستغلال التقنيات المستخدمة بشكل يومي من قبل شريحة واسعة من الجمهور، يزيد المهاجمون من فعالية عملياتهم ومعدلات إصابتهم.

3.2 نماذج وأنواع الملفات

قادنا التحليل إلى الكشف عن النسخ المختلفة التالية من “رات” المستخدمة في الهجمات:

– ShadowTech RAT

– Xtreme RAT

– NjRAT

– Bitcomet RAT

– Dark Comet RAT

– BlackShades RAT

3.2.1 برنامج الأمن القومي: جدول مسرّب سابقاً يحتوي على أسماء الناشطين المطلوبين يؤدي تصفحه إلى الإصابة

وجدنا مجموعة من الملفات المضغوطة على موقع التواصل الاجتماعي الشهير، أظهرت بعد فك الضغط عنها قاعدة بيانات تحتوي على قائمة بالنشطاء والأفراد المطلوبين في سوريا.

ونُشِر فيديو بعنوان “اختراق أجهزة الكمبيوتر الخاصة بالمجرم علي مملوك وباقي عصابة الأسد” بتاريخ 9 تشرين الثاني/نوفمبر 2013، وتم تضمين رابط التحميل لبرنامج قاعدة البيانات في قسم معلومات الفيديو.

يقوم رابط التحميل بإعادة تحويل الضحايا إلى موقع مشاركة ملفات حيث يوجد الملف “برنامج الأمن الوطني.rar” والمحمي بكلمة السر “111222333″.

بعد فك الضغط عن الملف ونقله إلى مجلد مؤقت، ظهر لنا برنامج وملف نصي مطلوب للوصول إلى الميزات “المخفية” للبرنامج.

يحتوي الملف “PASSWORD.txt” على النص التالي:

syria123!@#

لاتبخلواعلينا بالدعاء قراصنة جبهة النصرة

بتدقيق النظر، كانت الأزرار الأولى والأخيرة من التطبيق تعمل، ولكن الأزرار الأخرى تظهر رسائل خطأ (مدعية أن بعض الملفات مفقودة).

الزر الأول “فيش عام شامل” يستخدم الملف “data-base.db.exe” والذي تم وضعه في المجلد “C:\Users\User\AppData\Roaming” وعند تشغيله يقوم باستخراج ملف الجداول “Data-Base.xslx” في المجلد الرئيسي.

الزر الأخير “إنهاء البرنامج” للخروج من البرنامج:

الملف “data-base.db” هو أرشيف مضغوط:

– اسم المنتج من توقيع الملف: Project1

– اسم الناشر من توقيع الملف: Syrian malware

– وقت التجميع: 2013-11-09 14:47:26

عند تشغيل “system32.exe” تولّد العملية الملف “iexplorer.exe” ويتم تسجيله تلقائياً للعمل عند الإقلاع. يتصل الملف بعنوان الآيبي 31.9.47.7 باستخدام المنفذ 999 (على بروتوكول TCP). ويعود هذا الآي بي إلى المؤسسة السورية للاتصالات.

اكتشفنا استخدام ملف مؤقت آخر للإصابة مثل “system32.exe” وتم نسخه في مجلد “C:\Users\User\AppData\Local\Temp”

وجود القيمة “DC_MUTEX-*” كان دليلاً على استخدام “تروجان – أداة الوصول عن بعد” “دارك كومت” (DarkComet).

3.2.2 الملفات المسماة “فضائح” مغرية جدا: استخدام فيديوهات مزعجة بشكل مذهل لنشر البرمجيات الخبيثة

استُخدم شريط فيديومزعج يظهر ضحايا مصابين في تفجيرات، وهو يستهدف إثارة خوف الناس وحثهم على تحميل تطبيق خبيث متاح على موقع عام لمشاركة الملفات.

عند فتح الملف، تقوم العينة الأصلية بإنشاء ملف تنفيذي آخر في مجلد “C:\Users\[USERNAME]\AppData\Local\Temp”، اسمه “Trojan.exe”، ويطابق رمز الـ”رات” نفسه. يستخدم هذا الملف في تسجيل كافة نقرات المفاتيح ونشاط نظام التشغيل على ملف موجود في المجلد نفسه باسم “Trojan.exe.tmp”.

على الرغم من تقنيات التشويش المختلفة التي استخدمت في العينات التي قمنا بتحليلها، كانت كلها تعتمد على رزمة “.NET Framework”، التي تتيح تحليلاً عميقاً للرمز المصدر الخاص بالخطر.

3.2.3 مضاد الفيروسات الشهير“Amazon Internet Security”

إذا كنتم تعتقدون أن عصر برامج مكافحة الفيروسات الوهمية انتهى، تأتي عينة طورت حديثاً لتثبت العكس.

بعنوان بريء من “Amazon Internet Security”، يقوم هذا التطبيق الخبيث بتقليد مضاد الفيروسات، ويشمل ذلك واجهة المستخدم الرسومية وبعض الوظائف التفاعلية.

من قائمةعمليات “ويندوز” الظاهرة في “متصفح العمليات”، استطعنا ملاحظة تشغيل ملف “J.L Antivirus 4.0″ في نظام التشغيل، ورصدنا من خلال “مراقب العمليات” إنشاء سجل “التحليل” المستخدم في برنامج مكافحة الفيروسات الوهمي.

كان ملف السجل الحقيقي يُستخدم لتسجيل كل نقرات المفاتيح وإرسالها لاحقاً إلى حاسوب آخر باستخدام اتصال (TCP).

3.2.4 نصّبتم أحدث حلول مكافحة الفيروسات، الآن لنقوم بـ”حماية الشبكة”

وجدنا برنامج Total Network Monitor (وهو برنامج قانوني) داخل عينة أخرى، وتم استخدامه مع برمجيات خبيثة لأغراض تتعلق بالتجسس.

تم تضمين نسخة تعمل بشكل كامل تقريباً من برنامج “Total Network Monitor”. ولكن ما لا تظهره هذه النسخة هو الاتصال عن بعد بجهاز مستضيف، حيث يتم إرسال وتخزين معلومات نظام التشغيل.

3.2.5 “واتس آب” و”فايبر” للحواسيب: محادثة فورية… وإصابة فورية

تظهر الصورة التالية كيف أن اسم التطبيق، والوظائف المقصودة، وحتى الأيقونة المستخدمة، استخدمت جميعها لخلق قصة قابلة للتصديق من قبل للضحية.

يلعب التأطير وتقنيات الهندسة الاجتماعية دوراً أساسياً في جميع تهديدات البرمجيات الخبيثة المرتبطة بسوريا، ويوحي تعقيدها بأنها ستستمر في الازدياد.

3.2.6 احذروا من الهجمات الكيميائية

يستخدم هجوم آخر حيل الهندسة الاجتماعية، العيّنة ذات الاسم “Kmawi.exe” والأيقونة بصيغة “JPG”، هي ملف خبيث من نوع “RAT Trojan” تم دمجه مع الصورة “Kimawi.jpg”. هذه الصورة المفترض أنها سربت من قبل النظام وتحذّر الوحدات العسكرية للتحضر لهجمات كيميائية من قبل وحدات صديقة.

3.2.7 الأوامر والوظائف

رصدت مختلف أدوات الإدارة عن بعد، وكان معظمها يوفر مجموعة واسعة من الوظائف للتحكم بشكل كامل بالأنظمة المصابة. وتشمل هذه الوظائف:

– تسجيل نقرات المفاتيح

– التقاط صور للشاشة والتحكم بالكاميرا

– تسجيل حي للصوت والفيديو

– تنصيب برامج

– رفع وتحميل الملفات

– إدارة الملفات والعمليات ومفاتيح السجل

– واجهة سطر أوامر عن بعد

– تنفيذ هجمات “DDoS”

كانت إحدى أدوات الوصول عن بعدالأكثر شعبية التي وجدت في العينات الفرعية “دارك كومت” (Dark Comet)، وهي أداة مجانية وتوفر للمهاجمين مجموعة أوامر شاملة لاستخدامها في أغراضهم الخبيثة.

“NjRAT” هي أداة وصول عن بعد مستخدمة بشكل كبير في العالم العربي، وتحتوي على قائمة من الأوامر التي يتم إرسالها من قبل الشخص المتحكّم إلى النظام المصاب.

3.2.8 تطوّر الهجمات الخبيثة بالأرقام

تجدون أدناه الجدول الزمني لانتشار الملفات الخبيثة من 2013 إلى 2014، بناءً على المرة الأولى التي تم انتشارها أو رصدها على الملأ (“سكايب” و”فيس بوك” ومواقع مشاركة الملفات والبريد الإلكتروني… إلخ).

وفيما يلي جدول زمني لتوزع العينات التي تم جمعها على أساس وقت التجميع (Compilation time):

3.2.9 الأماكن، وأسماء النطاقات، والفريق

منذ نهاية العام 2013، اعتمدت المجموعة بشكل كبير على الشبكة الفرعية لعنوان الآي بي (31.9.48.0/24) والتي تعود لمزود خدمة الإنترنت “تراسل” (المؤسسة السورية للاتصالات) لاستخدامها في شن الهجمات. ونعتقد بأن هذه الشبكة الفرعية تم حجزها للمجموعة، كما يشير ذلك إلى أن أعضاء المجموعة يعملون من مكان واحد.

في بداية العام 2014، انتقلت المجموعة إلى استخدام عنوان الآي بي الروسي (31.8.47.7) لشن عدة هجمات جديدة.

معلومات اسم النطاق “all4syrian.com”

اسم النطاق مسجل باستخدام البريد الإلكتروني [email protected]، (يوحي اسم النطاق بأنه محاولة لخداع قراء الموقع المعارض(all4syria.info واستخدم كموقع موالي للنظام خلال العام 2012، وكمخدّم أوامر وتحكم لبعض ملفات أدوات الوصول عن بعد.

اسم النطاق تم تسجيله للبريد الإلكتروني [email protected] خلال الفترة 2011-2013.

لوحظ اتصال البرمجيات الخبيثة بالعنوانين xtr.all4syrian.com وvip.all4syrian.com.

التوزع الجغرافي للمهاجمين

تظهر الخريطة أدناه التوزع الجغرافي للمهاجمين بناءً على عناوين الآي بي الخاصة بهم والمستخدمة من قبل مخدّمات الأوامر والتحكم:

3.2.10 الضحايا

يقتصر توزع الضحايا على سوريا ولكنه يصل بعض الدول المجاورة، ولاحظنا أيضاً أن ضحايا البرمجية الخبيثة الصادرة عن سوريا تصل إلى كل من لبنان وتركيا والسعودية ومصر والأردن وفلسطين والإمارات وإسرائيل والمغرب والولايات المتحدة الأمريكية.

وفيما يلي لقطات مأخوذة من مقاطع الفيديو التي تم نشرها من قبل المهاجمين، وتظهر لوحة تحكمأداة الوصول عن بعد وقائمة الضحايا. ويدل ذلك على أن بعض الضحايا متواجدون في بلدان مختلفة.

3.2.11 سلوك الناشطين

من الجدير بالذكر أننا وجدنا أدلة على نشطاء يحاولون تنفيذ هجمات “DDoS” على أسماء النطاقات والمخدّمات الخاصة بالبرمجيات الخبيثة، في محاولة لاستهلاك مواردها والتسبب بانتهاء مهلة الاتصال.

3.3 النسْب (Attribution)

الفريق والمناصب

بعد مراجعة العديد من المنشورات، والمنتديات والفيديوهات التي تحدد الهوية، كان من الواضح أن المجموعة لديها هيكل منظم لفرق تعمل مع بعضها، وتم جمع الأسماء والمناصب المبينة أدناه من مشاركات على المنتديات أو الصفحات المخترقة. كلها إما ألقاب أو أسماء غير مكتملة، لا تمكننا من تحديد هوية المهاجمين بشكل تام.

الجيش السوري الإلكتروني المقاوم

– المجموعة الأولى: وحدة “فريق الهكر والاختراقات الأسدية”

– المجموعة الثانية: وحدة “مجهولو سوريا الأسد”

– المجموعة الثالثة: وحدة “إدارة المراقبة الإلكترونية والمتابعة المركزية”

المجموعة الأولى: وحدة “فريق الهكر والاختراقات الأسدية”

الاسم	المنصب
شادي	رئيس فريق الاختراقات الأسدية
فادي	مسؤول عن الهجمات
سرمد	مسؤول عن العمليات في وحدة الهجمات
محمود	مساعد رئيس وحدة الإدارة
فدائية	عضو في فريق الدعم والنشر
نجمة	عضو في فريق الإعلام والنشر

المجموعة الثانية: وحدة “مجهولو سوريا الأسد”

الاسم	المنصب
جبور	مدير العلاقات العامة
حيدرة	وحدة الكمائن الإلكترونية
علاء مرشد	وحدة المتابعة والمراقبة الإلكترونية
أحمد	مسؤول عن وحدة الفريق
ناريمان	مسؤول عن وحدة الفريق
علي	مسؤول عن وحدة الفريق
زينة	مسؤول عن وحدة الفريق
دركشلي قردحلي	مسؤول عن تدمير حسابات الضحايا
أحمد ومراد	مشاركان في الهجمات

المجموعة الثالثة: وحدة “إدارة المراقبة الإلكترونية والمتابعة المركزية”

الاسم	المنصب
كنان	رئيس الفريق
عقبة	رئيس العمليات الإلكترونية
أحمد	رئيس الهجمات الإلكترونية
ريتزل (قلب الأسد)	رئيس عمليات الاختراق الإلكتروني

4. إحصائيات مختبر “كاسبرسكي” عن الملفات الخبيثة من نوع “أداة الإدارة عن بعد” في منطقة الشرق الأوسط وشمال أفريقيا

برمجيات “تروجان” من طراز “أداة الإدارة عن بعد” (“رات”) هي برمجيات خبيثة تسمح لمشغّل بعيد التحكم بالنظام كما لو كان باستطاعته الوصول إليه بشكل مادي. تُستعمل برمجيات “رات” الخبيثة على نطاق واسع من قبل عدة أنواع من المجرمين الرقميين (نشطاء “الهاكينغ”؛ ما يسمى بـ”أطفال السكريبت”، وهم مخترقون مراهقون أو لا يتمتعون بخبرة واسعة؛ والمحتالون). وفي بعض الحالات، تضمّن استخدام “رات” هجمات ترعاها الحكومات. تُظهر الإحصاءات أدناه، ومصدرها “شبكة كاسبرسكي للأمن”، عدد الهجمات باستخدام “رات” التي صدتها منتجات “كاسبرسكي لاب” في منطقة الشرق الأوسط وشمالي أفريقيا، وذلك خلال العامين 2013 و2014:

وبناءً على إحصاءات “شبكة كاسبرسكي للأمن”، كان عدد الإصابات بهجمات “رات” في الشرق الأوسط وشمالي أفريقيا من أكثر الأعداد ارتفاعاً، كما يظهر أدناه:

5. خاتمة تعتمد البرمجيات الخبيثة السورية بشكل كبير على الهندسة الاجتماعية والتطوير النشط للمتغيرات الخبيثة المعقدة تقنياً. ومع ذلك، كُشفت طبيعة معظم هذه البرمجيات الخبيثة عند تفحصها بعناية؛ وهذا يعد أحد الأسباب الرئيسية لحث المستخدمين السوريين على توخي مزيد من الحذر بما يتعلق بتحميل الملفات، واتباع نهج الحماية المتعدد الطبقات.

ونتوقع أن تستمر هذه الهجمات وتتطور من حيث الجودة والكمية. كما نتوقع أن يبدأ المهاجمون باستخدام تقنيات أكثر تطوراً لتوزيع برمجياتهم الخبيثة، وذلك باستخدام مستندات خبيثة أو عبر ثغرة “drive-by download”.

يعتمد المهاجمون بشكل أساسي على استخدام برامج تروجان” المعروفة. لكن، يشير تطورهم السريع ووجود تطبيقات توفّر تقنيات التشويش، بالإضافة إلى تطويرهم واجهات مستخدم رسومية لتطبيقات وهمية، وتعديل الرمز عبر أدوات البناء الآلية، أنه من المحتمل ألا يمضي وقت طويل قبل أن يبدأ المهاجمون بكتابة برامج “تروجان” خاصة بهم للاستفادة من قدرات الإصابة المخصصة وتطبيق مراوغة أمنية أفضل.

أخيراً، وجود برنامج مكافحة فيروسات وجدار ناري شامل ومحدّث هو أول إجراء يتخذ من قبل أي مستخدم له نشاطات على الإنترنت، خاصة خلال هذه الأوقات حيث تظهر التهديدات الجديدة على الإنترنت بشكل يومي تقريباً.