حملات الأذية: برمجيات خبيثة تهاجم المعارضة السورية

03 يوليو 2013

ملاحظة: بعض المصطلحات الواردة في المقال لوصف الوضع في سوريا، تعبر عن وجهة نظر الكتّاب ولا تعبر بالضرورة عن السياسة التحريرية لموقع “سايبر آرابز”

بقلم: جون سكوت رايلتون ومورغان ماركي بوار

يتضمن هذا التقرير وصفاً لهجمتين تمت مراقبتهما في منتصف حزيران / يونيو 2013 تستهدفان المعارضة السورية
• برمجية خبيثة تم تقديمها كأداة “فريغايت” Freegate لتجنب الرقابة
• حملة تم تقديمها كنداء لحمل السلاح من قبل رجل دين يؤيد المعارضة

مقدمة

منذ بداية الحرب الأهلية في سوريا، واجهت المعارضة السورية استهدافاً حثيثاً من قبل الناشطين الالكترونيين الموالين للحكومة. وفي الأشهر القليلة الماضية، أصبح ملاحظاً وجود مجموعة موالية للحكومة تسمي نفسها الجيش السوري الإلكتروني، وذلك بسبب هجمات شهيرة ضد مؤسسات إخبارية. في غضون ذلك، استمر تعرض الناشطين السوريين للاستهداف عبر الإنترنت، وذلك، كما يبدو، من أجل النفاذ إلى اتصالاتهم الخاصة وسرقة أسرارهم.

خلال العام 2012، تم توثيق الهجمات ضد المعارضة السورية في سلسلة كبيرة من التدوينات كتبها مورغان ماركي بوار وإيفا غالبرين بمساعدة “مؤسسة الحدود الإلكترونية“[1]. ولقد ساهم كثيرون آخرون في البحث حول البرمجيات الخبيثة السورية، بدءاً بـ “تيليكوميكس” مروراً بمجموعة من شركات أمن المعلومات. المعارضة السورية، ولمجموعات التي تعمل معها بشكل مقرب، مثل “سايبر آرابز“، كانوا نشطين في محاولة تحديد الأخطار المحتملة وتحذير المستخدمين منها.

حدد الباحثون قاسما ً مشتركاً بين الهجمات ضد المعارضة السورية: هندسة اجتماعية متطورة، تقوم على الوعي بالحاجات والاهتمامات ونقاط الضعف الخاصة بناشطي المعارضة السورية. غالباً ما تلعب الهجمات على وتر الحشرية أو الأيديولوجيا لتشجيع المستخدمين على إدخال كلمات السر الخاصة بهم أو النقر على ملفات جذابة، أو استغلال الخوف من التعرض للقرصنة والمراقبة بواسطة أدوات مزيفة لأمن المعلومات. يتم نقل هذه الهجمات إلى الضحايا المحتملين عبر حسابات أشخاص يعرفونهم.

الهجمتان اللتان يجري وصفهما في هذه التدوينة تتبعان هذا النمط. واحدة هي برمجية تنصيب خبيثة خاصة بأداة تخطي الرقابة “فريغايت” والأخرى هي ملحقة رسالة الكترونية تدعو إلى الجهاد ضد “حزب الله” ونظام الأسد أو تعد بتقديم أخبار إقليمية مثيرة للاهتمام.

الهجمة الأولى: قليل من البرمجية الخبيثة مع خادم البروكسي؟

في هذه الهجمة، التي لاحظناها في الأسبوع الأول من حزيران / يونيو، يتم تشجيع الضحية المحتملة على زيارة رابط لتحميل برنامج يحتوي على ملف لتنصيب برنامج “فريغايت”، يحمل برمجية خبيثة.

“فريغايت” هو أداة مستقلة لتخطي الرقابة من نوع الشبكة الافتراضية الخاصة (VPN)، تعمل مع نظام التشغيل “ويندروز”. النسخ الأصلية من البرنامج متوفرة للتحميل هنا على موقع البرنامج. بينما تم تطوير هذه البرمجية للاستخدام في الصين، إلا أنها تستخدم في عدد من البلدان الأخرى.

تم تصنيف “فريغايت” بشكل خاطئ على أنها “تروجان” من قبل شركة مكافحة فيروسات منذ نحو عقد من الزمن، إلا أن هذه الهجمة تم فيها استعمال نسخة شرعية من “فريغايت” تم إدخال برمجية خبيثة إليها[2]. المستهدفون كانوا أعضاء مجموعة خاصة على أحد مواقع التواصل الاجتماعي.call-to-harm_0000s_0000_Layer-2

عندما تزور الضحية المحتملة الرابط، يتم عرض تحميل ملف مشار إليه من قبل موقع “ميديا فاير” على أنه تم رفعه على الإنترنت يوم 15 حزيران / يونيو 2013.call-to-harm_0000s_0001_Layer-3
عند استخراج الملف المضغوط يصبح ملف “مايكروسوفت ويندوز” قابل للتنفيذ.call-to-harm_0000s_0002_Layer-4

تم جمع الكود الثنائي (Binary Code) بتاريخ 15 / 6 / 2013 في الساعة 22:41:31 بتوقيت غرينتش ويتميز بالخصائص التالية:call-to-harm_0000s_0003_Layer-5

وكما حصل في هجمات استهدفت المعارضة السورية وتمت مراقبتها سابقاً، كُتب الكود في بيئة .NET ويبدو أنه يحتاج إلى إطار3.5 .NET لتنفيذه [5] .
عند تشغيل VPN-Pro.exe، تظهر للضحية نافذة عن شروط رخصة استخدام “فريغايت”[6] . لدى الموافقة على الشروط، يتم إطلاق نسخة قابلة للعمل من خادم البروكسي “فريغايت”، تحتوي على طلب لإزالة المنع عن جدار الحماية (الذي يعرف أيضاً بالجدار الناري). النسخة المطلقة من “فريغايت” موضوعة تحت عنوان “Freegate 7.35 Professional Edition” (أو النسخة الاحترافية من فريغايت 7.35). تبدأ برمجية فريغايت بالعمل، وسريعاً ما تحث المستخدم على تحديث النسخة.
call-to-harm_0000s_0004_Layer-6

الإصابة بالبرمجية الخبيثة
بالإضافة إلى تشغيل نسخة شرعية من “فريغايت” 7.35 [7]، تقوم البرمجية الخبيثة بتنصيب برمجية أخرى.call-to-harm_0000s_0005_Layer-7

يتم تنصيب نسخة مزيفة من “svchost.exe” في دليل بيانات التطبيقات (Application Data directory)call-to-harm_0000s_0006_Layer-8

الملفات التي تتم إضافتها عند تنفيذ VPN-Pro.exe:
call-to-harm_0000s_0007_Layer-9
فحص الكود الثنائي الخاص بـ “svchost.exe”

يظهر عدة إشارات إلى “ShadowTech Rat”call-to-harm_0000s_0009_Layer-11

يظهر فحص النشاط عبر الشبكة أيضاً أن البرمجية التي جرى زرعها هي .ShadowTech RAT

الرزم الملتقطة عند المنفذ 1321/tcp:call-to-harm_0000s_0009_Layer-11

ShadowTech Rat هو “تروجان” يتيح النفاذ عن بعد (Remote Access Trojan)، يبدو أنه متوفر للتحميل من المواقع باللغتين العربية والإنجليزية. يمكن إيجاد فيديوهات على يوتيوب تظهر وظائفه. تقدم هذه الأداة إلى المهاجم مروحة من الخيارات، بدءاً بتسجيل ضربات المفاتيح والتحكم عن بعد بكاميرا الويب وانتهاءً بسرقة البيانات.
لوحة التحكم الخاصة بـ ShadowTech RAT:call-to-harm_0000s_0010_Layer-12

تم الإبلاغ عن كل من VPN-Pro.exe و svhost.exe إلى VirusTotal:call-to-harm_0000s_0011_Layer-13

كلا البرمجيتان يتم كشفهما بواسطة البرمجيات المضادة للفيروسات بنسب منخفضة. بدءاً من 20 حزيران / يونيو 2013، تم اكتشاف svchost.exe بواسطة أربعة برامج مضادة للفيروسات فقط من أصل 47 برنامجاً مجرباً مسبقاً، بينما تم اكتشاف VPN-Pro.exe بواسطة خمسة من أصل 46 من هذه البرامج.
يبدأ svchost.exe باتصال خارج باتجاه خادم تحكم وسيطرة (C2) مستضاف على موقع thejoe.publicvm.com. يقود هذا النطاق إلى عنوان بروتوكول إنترنت سوري رقم 31.9.48.119
call-to-harm_0000s_0012_Layer-14

هذه ليست المرة الأولى التي يتم فيها إنشاء رزمات تنصيب خبيثة لاستخدامها مع أدوات تخطي الرقابة. في العام 2012، تم اكتشاف رزم تنصيب لخادم بروكسي مستقل اسمه Green Simurgh، مخصص للاستخدام من قبل الإيرانيين ولكن يستعمله بعض السوريين أيضاً، تحتوي على برمجية خبيثة. منشئو Green Simurgh تفاعلوا مع الهجوم عبر نشر تنبيه على موقعهم، يسلط الضوء على وجود هذه الرزم الخبيثة. في العام الماضي، تم اكتشاف برمجية خبيثة مموهة على أنها رزمات تنصيب متصفح “تور”. وتم اكتشاف باب خلفي فيها أحدثته برمجية Gh0st RAT وتتم من خلاله سرقة البيانات وإرسالها إلى عنوان بروتوكول إنترنت (IP) في الصين.

الهجمات باستعمال برمجية خبيثة مخبأة في رزمة تنصيب أداة معروفة للأمن الرقمي أو خادم بروكسي معروفة بخطورتها، لأنها تستهدف مستخدمين من المرجح أن يعرفوا أهمية الخصوصية في استعمال الإنترنت وأهمية تخطي الرقابة. وقد يظن هؤلاء أنهم يزيدون درجة أمنهم وخصوصيّتهم عبر تنصيب هذه الأداة.

الهجمة الثانية: نداء لحمل السلاح موجّه إلى مستخدمين معيّنين
في هذه الحملة، تم بدء الإتصال مع الأهداف من خلال رسائل إلكترونية ومحادثات “تشات” ومنشورات على فيس بوك مخصصة لتصيد المعلومات (Phishing). مع أننا انتبهنا إلى وجود هذه الحملة في بدايات حزيران / يونيو، إلا أنه لدينا دلائل إلى أنها بدأت منذ كانون الثاني / يناير 2013. نعتقد أن هذه الحملة استهدفت، على الأقل جزئياً، أعضاء مرموقين في المعارضة السورية. والمثير للاهتمام أن الهجمة استهدفت، على الأقل، عنواناً واحداً غير علني، مرتبطاً بالاتصالات الداخلية الخاصة بالمعارضة السورية. يشير هذا إلى درجة معينة من اختراق صفوف المعارضة، إما عن طريق الدخول إلى شبكة اتصالات الحاسوب، أو من خلال نشاطات أخرى لجمع المعلومات الاستخبارية.
تتلقى الضحية المحتملة في هذا الهجوم رسالة مجهولة المصدر، في هذه الحالة، المصدر هو حساب “جيميل” يحمل إسماً لا يدل على هوية صاحبه.
مثال على رسالة مشابهة:call-to-harm_0000s_0013_Layer-15

هذه الرسالة الإلكترونية تحتوي على نص، وصورة (غير ظاهرة هنا)، ومرفق. يشير النص إلى فيديو عن الشيخ عدنان العرعور، وهو رجل دين سني يؤيد المعارضة ويعيش في السعودية، يدعو إلى الجهاد ضد “حزب الله” والنظام السوري. يقع المستخدم تحت الإيحاء بأنه إذا فتح الملف المضغوط، والذي يحمل عنواناً يصفه بأنه يحمل رأي الشيخ، سيتمكّن من النفاذ إلى الفيديو.
استطعنا أن نتعرّف على عدة هجمات مختلفة باستخدام ملفات مضغوطة متنوّعة، وبنية هذه الملفات كلها تتوافق مع المثال المشروح هنا.
أمثلة على ملفات مضغوطة:call-to-harm_0000s_0014_Layer-16

يتم استخراج الملف المضغوط ليصبح مساراً مختصراً لملف “ويندوز” مع الاسم نفسه ولاحقة .INK
مثال على ملف بلاحقة .INK “مثال أ”:call-to-harm_0000s_0015_Layer-17

تحليل أجزاء هذه الملفات يكشف عنوان موقع إلكتروني URL مضمّن في الملف (بالأحرف العريضة أدناه).
تحليل المثال أ:call-to-harm_0000s_0016_Layer-18

عندما تقوم الضحية بتنفيذ المسار المختصر الخاص بـ “ويندوز”، يتم تحويلها إلى واحد من عدة روابط خبيثة، تختلف باختلاف الملف المضغوط الذي تم إرساله. وتظهر هذه الروابط في التحليل أدناه.
روابط مضمّنة في مسار “ويندوز” المختصر:call-to-harm_0000s_0017_Layer-19

بعدها، يقدم للضحية إما فيديو يوتيوب يظهر فيه الشيخ عدنان العرعور، أو قصة منشورة على الموقع الإخباري اللبناني http://www.alkalimaonline.com
مثال عن فيديو يوتيوب يعرض على الضحية:
call-to-harm_0000s_0018_Layer-20
البرمجية الخبيثة
بينما ترى الضحية فيديو يوتيوب أو عنوان موقع إخباري يستعمل كفخ، [10] يتم استحضار ملف من نوع php g.php  يحتوي على كود ثنائي خبيث، مرمز باستعمال نظام العد الست عشري (Hexadecimal coding)
مقتطف من ملف : G.php
call-to-harm_0000s_0019_Layer-21
عند استخراج الكود الثنائي [11] الخاص بالمثال أ، يصبح لديه الخصائص التالية:call-to-harm_0000s_0020_Layer-22

تضيف البرمجية الخبيثة أيضاً مفتاح تسجيل لجعلها تستمر بالعمل خلال عمليات إعادة الإقلاع (Reboot):call-to-harm_0000s_0021_Layer-23

تحتوي البرمجية الخبيثة أيضاً على متواليات Strings تتضمن عبارة “Data Protector v2” التي تشير إلى برنامج تشفير متطابق مع مروحة من نسخ البرمجية الخبيثة RAT ويتم الإعلان عنها لكي يتم تحميلها على عدد من المنصّات الإلكترونية[12].call-to-harm_0000s_0022_Layer-24

التحكم والسيطرة
عندما يتم تنصيب البرمجية الخبيثة بنجاح على حاسوب الضحية، فإنها تتواصل مع خادم تحكم وسيطرة (C2) من خلال العنوان tn5.linkpc.net.
في 11 حزيران / يونيو، أشار هذا العنوان إلى عنوان “أي بي” IP خاص بـ”سيريا تل”:call-to-harm_0000s_0023_Layer-25

كان هذا النطاق فاعلاً منذ تشرين الأول / أكتوبر 2012على الأقل وقد أشار إلى عدة عناوين “آي بي” مختلفة في سوريا، مرتبطة بمزوديّ خدمة الإنترنت “سرياتل” و”تراسل”، كما أشار إلى عناوين شبكات “في بي إن” AnchorFree

تحاول البرمجية الخبيثة أن تحمّل ملفاً بعيداً يحمل اسم “123.functions” :call-to-harm_0000s_0024_Layer-26
لم يكن من الممكن استحضار الملف البعيد وقت التحليل، إلا أن هذا السلوك تمت ملاحظته مسبقاً في برمجيات خبيثة تستهدف المعارضة السورية، تحاول زرع برمجية .Xtreme RAT

الخاتمة
مع استمرار الصراع في سوريا، تتواصل الحملات الرقمية التي تستهدف المعارضة السورية. لقد اخترنا تسليط الضوء على هجمتين تمثلان جزءاً من المجهود من قبل ناشطين إلكترونيين مؤيدين للحكومة، الهادف إلى تهديد اتصالات المعارضة وسرقة أسرارها.
تستجيب هذه الهجمات لسلوك وتكتيكات الاتصال الخاصة بالمعارضة، وهي تشير إلى الجمع بين معلومات استخبارية تم جمعها مسبقاً ومهارة في الهندسة الاجتماعية. على سبيل المثال، فإن كثيرين في المعارضة السورية يعون الآن خطر التهديدات الالكترونية التي يواجهونها، ويبحثون عن أدوات لزيادة الأمن والخصوصية الخاصين باتصالاتهم. يتم التداول بالأدوات والمعلومات حول الأمن الرقمي والاتصالات بشكل مستمر، وبعض هذه المواد تتصدى لنقاط ضعف محددة جيداً. لقد لاحظنا زيادة الحرص بين نشطاء المعارضة عند مواجهة الحالات التي كانت تعد هجمات معتادة في العام 2012. مع ازدياد الوعي وتغير سلوكيات استخدام الإنترنت، نعتقد أن بعض الهجمات التي لاحظناها بشكل منتظم في العام 2012 هي أقل نجاحاً بكثير اليوم.
إلا أن مستوى بعض المعلومات والممارسات التي تتم مشاركتها بين المستخدمين، لا تتناسب مع حجم الخطر، وحتى أنها قد تكون خطرة عن غير قصد. على سبيل المثال، تتم مشاركة عدة أدوات شرعية من خلال مواقع مشاركة الملفات أو شبكات الإعلام الاجتماعي، غير المواقع الأصلية التي تملك هذه الأدوات، مما يقدم للمهاجمين خيارات عديدة لشن اعتداءاتهم، من خلال نشر كودات ثنائية خبيثة وروابط يتم تمويهها على أنها أدوات معروفة ومطلوبة تؤمن الحماية الرقمية.
نستنتج أنه، من وجهة نظر المهاجمين، لا تحتاج كل الهجمات إلى برمجيات متطورة تتيح النجاح بدرجة عالية. إلا أنه، وربما رداً على الوعي للهجمات ذات الهدف الواضح ضد المعارضة السورية، يتابع المهاجمون استحداث طرق حديثة واختبارها، وهي طرق تمزج الهندسة الاجتماعية مع أساليب جديدة في الهجوم. تكون الاختبارات في بعض الأحيان ناجحة بشكل واضح. على سبيل المثال، في الهجوم الثاني الذي ناقشناه، لم يتم التعرف على مسارات “ويندوز” المختصرة بشكل قاطع على أنها خبيثة، حتى من قبل أعضاء من المعارضة يتمتّعون بالمعرفة اللازمة.
نأمل أن تزيد هذه التدوينة الوعي حول هاتين الهجمتين بين المستهدفين المحتملين. أما المستخدمون الذين نفذوا النسخة المزيفة من “فريغايت”، أو نقروا على واحد من المسارات المختصرة الخاصة بـ “ويندوز” يمكنهم أن يعتبروا أن أجهزتهم هي في خطر.

شكر
نوجه شكراً خاصاً إلى عدة سوريين مجهولين، لفتوا انتباهنا إلى هذه النماذج من البرمجيات الخبيثة. الشكر أيضاً لبيل مارزاك، بايرون سون ورون دايبرت.

هوامش:

1 State-Sponsored Malware, “Electronic Frontier Foundation,” https://www.eff.org/issues/state-sponsored-malware.
2 We notified Freegate on June 17, 2013.
3 MD5 b3e1c2e40be54fbc0f7921ea8ce807e2
SHA1 3f6436420e84ac96d9a3c93045c07cdadda8ec81
SHA256 3712907740045871eef218fea7292c9c017e64cbb56b193b93f1a1b80afe599d
4 MD5 8eda7dfa4ec4ac975bb12d2a3186bbeb
SHA1 b5c49bbbf7499a30110adc94480b3edbc8d6e92b
SHA256 829e137279f691e493c211108b62c8e15b079bd619ba19ad388450878e0585d0
5 It failed to execute with .NET 4.0 on Windows XP.
6 The implant is installed regardless of whether or not the victim completes the FreeGate installation process.
7 The file fg735p.exe matches the hash of a legitimate FreeGate installer.
MD5 b083418be502162a4e248faab363f1b9
SHA1 030937f008bc203198e3754b1b54bb6d8d72794b
SHA256 d6ded89b91cdcd5d9ad4f6453f38f04f11f608d8db77db09e7400cfd7bcecddf
8 MD5 2ba789458781b1dfd7f34624c8410edb
SHA1 77fd62d8e630e74d637682b91d0952d48b7c52be
SHA256 80b3fa8113a89040048a87c63ab9d8117368f2579368f5ea5999b145c47c4490
9 MD5 59c6e0fa61d62a1f52b6092dc92a4aa7
SHA1 fce82013dbb9261db8b14451122fa889dfdba2e0
SHA256 71cb3e1007da3193c89a532b275cf539730b25bd63bcc5e912503ddd4bc9097f
10 MD5 61a26c391aa95084521f5c0f6f70b966
SHA1 bd901cf02778d5c76dfe7c2877d773baa5bae5a7
SHA256 2c7600e0e660b0788faf5f5de3c10ac257000a557278eba41d3e7ec6175f22fb
11 MD5 00cc589571fa6e078cb92b34ea2ee1cc
SHA1 bfe30069998c5e4c43f98f17538678074d02ca3d
SHA256 bcf32f82f0971c8984bb493f5473f0f417c203c0484c80a772ee1165a8c7675d
12 For example, see: http://undercrypter.blogspot.de/2013/03/blog-post.html.
 

المصدر: https://citizenlab.org/2013/06/a-call-to-harm

RELATED POST

للتعليقات

سجل في نشرتنا الشهرية

%d مدونون معجبون بهذه: