أخبار الإنترنتأخبار قطاع الأعمالالأمن الإلكترونيدراسات وتقارير

سيمانتك: التهديد المدمر شمعون يظهر من جديد

أوضحت شركة سيمانتك Symantec أن البرمجية الخبيثة “W32.Disttrack.B” والمعروفة باسم شمعون Shamoon، قد عادت للهجوم من جديد في 10 ديسمبر الجاري بعد غياب عامين، لتستهدف مؤسسات جديدة في منطقة الشرق الأوسط، وتأتي هجمات شمعون الأخيرة بتأثير مضاعف، لما تحمله من برمجية ضارة جديدة تحذف الملفات وتحمل اسم “Trojan.Filerase”، والتي تقوم بمحو الملفات من أجهزة الحاسوب المستهدفة قبل قيام البرمجية الرئيسية شمعون بحذف جميع ملفات بدء التشغيل الرئيسية.

وظهرت أخبار الهجمات لأول مرة في 10 ديسمبر عندما قالت شركة “سايبم للخدمات النفطية” الإيطالية إنها تعرضت لهجوم سيبراني على خوادمها في منطقة الشرق الأوسط، وقالت الشركة بعد يومين إن شمعون تم استخدامه في هذا الهجوم الذي أصاب ما بين 300 و 400 خادم، وما يصل إلى 100 حاسوب شخصي.

ووجدت سيمانتك Symantec أدلة على هجمات ضد مؤسستين أخريتين خلال الأسبوع نفسه، بكل من المملكة العربية السعودية ودولة الإمارات العربية المتحدة، وكلاهما تعملان في مجال النفط والغاز.

استخدام حاذف جديد للملفات

على عكس هجمات شمعون السابقة، تتضمن هذه الهجمات الأخيرة قطعة أخرى جديدة من البرمجيات الضارة الحاذفة للملفات وهي “Trojan.Filerase”، وتعمل هذه البرمجية الضارة على التخلص من الملفات والكتابة فوقها على جهاز الحاسوب المصاب، وفي الوقت نفسه، يقوم شمعون بمحو سجل بدء التشغيل الرئيسي على الحاسوب، مما يجعله غير قابل للاستخدام.

وزادت الإضافة الجديدة لحاذف الملفات “Filerase” من خطر هذه الهجمات وجعلتها أكثر تدميراً من استخدام برمجية شمعون الخبيثة وحدها، ويرجع ذلك إلى أنه من الممكن استعادة الملفات من على الحاسوب المصاب، في حال الهجوم ببرمجية شمعون وحدها، لكن في حال حذف البرمجية Filerase للملفات، يصبح استعادتها أمراً مستحيلاً.

وتنتشر البرمجية الخبيثة Filerase عبر شبكة الضحية من حاسوب أولي واحد باستخدام قائمة بالأجهزة المتصلة بالشبكة، وتأتي هذه القائمة في شكل ملف نصي، يختلف باختلاف الشركة، مما يعني أن المهاجمين قد جمعوا هذه المعلومات خلال مرحلة استطلاعية سابقة للهجوم.

ويتم أولاً نسخ هذه القائمة بواسطة مكون يسمى OCLC.exe وتمريرها إلى أداة أخرى تسمى Spreader.exe، وثم يقوم مكون Spreader بنسخ البرمجية الخبيثة Filerase إلى كافة أجهزة الكمبيوتر الموجودة في القائمة، وتنشيطها جميعاً في الوقت نفسه على جميع الأجهزة المصابة.

ومن الممكن أن تكون البرمجية الخبيثة شمعون تنتشر عبر هذه الأدوات نفسها، لأنه أمر غير مؤكد، وتم تنشيط البرمجية شمعون، في حالة واحدة على الأقل، باستخدام الأداة PsExec، وهو ما يعني أن المهاجمين حصلوا على شهادات للشبكة.

علاقة محتملة بمجموعة “Elfin”

تعرض أحد ضحايا هجمات شمعون الاخيرة، التي رصدتها سيمانتك في المملكة العربية السعودية، إلى هجوم آخر من قبل مجموعة أخرى تطلق عليها سيمانتيك اسم “Elfin” أو “APT33″، وأصيبت المؤسسة في هذه الهجمة بالبرمجية الخبيثة Stonedrill (Trojan.Stonedrill)، بالإضافة إلى هجمات إضافية ضد المؤسسة نفسها في عام 2018، والتي قد تكون ذات صلة بمجموعة “Elfin”، أو يمكن أن تكون من عمل مجموعة أخرى، والسبب في التفكير بربط الحالتين، هو قرب هجمات مجموعة “Elfin” مع هجمات شمعون من حيث التوقيت ضد هذه المؤسسة.

تاريخ من الهجمات المدمرة

ظهرت البرمجية الخبيثة (W32.Disttrack)، والمعروفة باسم شمعون، للمرة الأولى في عام 2012 عندما تم استخدامها في سلسلة من الهجمات التخريبية ضد قطاع الطاقة في المملكة العربية السعودية، وتوقف النشاط حتى العودة المفاجئة في أواخر عام 2016.

وتم استخدام نسخة معدلة قليلاً من البرمجية الضارة (W32.Disttrack.B) في هجمات ضد مجموعة من الأهداف، مرة أخرى في المملكة العربية السعودية، وبدت الهجمات موقوتة لإحداث أكبر قدر من الضرر، حيث تم ضبط البرامج الضارة للعمل عند الساعة 8:45 مساءً بالتوقيت المحلي يوم الخميس الموافق 17 نوفمبر 2016.

وتبدأ أيام العمل في الممكلة العربية السعودية يوم الأحد وتنتهي يوم الخميس، ما يعني أن أن أجهزة الحاسوب المصابة تم محو ملفاتها بعد مغادرة معظم الموظفين لعطلة نهاية الأسبوع، مما يقلل من فرصة اكتشافها قبل اكتمال الهجوم.

تهديد متكرر

لا يعرف لماذا تم هجوم شمعون الأخير بشكل مفاجئ، ومع ذلك، فإن حقيقة أن البرمجيات الخبيثة تخرج من التقاعد كل بضع سنوات تعني أنه يجب على المؤسسات أن تظل متيقظة وتضمن أن جميع البيانات مدعومة بشكل صحيح وأن هناك استراتيجية أمنية قوية.

زر الذهاب إلى الأعلى