دودة الكترونية تتربص بمنطقة الشرق الاوسط

بواسطة أحمد علاء 9/21/2012 7:13:00 PM

حذَّر خبراء دوليون في مجال أمن الإنترنت من خطورة الدودة W32.Flamer التي استهدفت منطقة الشرق الأوسط مؤخراً، واصفين إياهاً بأداة تجسُّسية خبيثة.
وكانت أخبار الدودة W32.Flamer قد تصدَّرت نشرات الأخبار في وقت سابق من هذا العام.
وأجرت «سيمانتك» دراسة تحليلية مفصَّلة لاثنين من خوادم القيادة والتحكُّم (C&C Servers) التي استخدِمَت في هجمات الدودة W32.Flamer في وقت سابق من هذا العام.

إذ تمت تهيئة الخادم الأول في 25 مارس 2012، فيما تمت تهيئة الآخر في 18 مايو 2012 وفي الحالتين، وخلال دقائق معدودة من تهيئة الخادم، تمَّ رصد أول تفاعل مع حاسوب مستهدَف أصابته الدودة W32.Flamer.
وخلال أسابيع معدودة، تمكَّن الخادمان من التحكُّم بمئات الحواسيب المخترَقة حول العالم.

ورغم أن الخادِمَيْن اللذين قامت «سيمانتك» بإجراء دراسة تحليلية معمَّقة لهما يتضمَّنان أُطر تحكُّم متماثلة، غير أنهما يحققان أهدافاً مختلفة.
إذ ثبت أنَّ الخادم الذي تمَّت تهيئته في 25 مارس 2012 قد جَمَعَ قرابة 6 جيجابايت من البيانات المخزَّنة في الحواسيب المخترَقة خلال أسبوع واحد لا أكثر.
وبالمقارنة، جَمَع الخادم الذي تمت تهيئته في 18 مايو 2012 نحو 75 ميغابايت من البيانات المخزَّنة في الحواسيب المخترَقة، فقد اقتصرت مهمته على توزيع وزرع وحدة تحكُّم في الحواسيب المخترَقة.

يُذكر أن عملية القيادة والتحكُّم تتم من خلال تطبيق ويب يُسمَّى Newsforyou، حيث يقوم التطبيق المذكور بمعالجة تفاعلات الدودة W32.Flamer ليوفر منصة تحكُّم مبسَّطة يتمثل دورها في تمكين المهاجِمين من تحميل حُزم تشفيرية على الحواسيب المخترَقة، ومن ثم تنزيل حُزم بيانات منها. ولا يبدو أن استخدام التطبيق المذكور يقتصر على الدودة W32.Flamer، فهو مصمَّم للتواصل مع الحواسيب التي اخترقتها مُعرِّفات برمجيات خبيثة متعدِّدة باستخدام برتوكولات مختلفة.

ويظهر الجدول أدناه العلاقة الترابطية بين معرِّفات البرمجيات الخبيثة المختلفة والبروتوكولات المتعدِّدة التي تدعمها :

الوسيط

الهوية الداخلية

البروتوكول

التهديد

CLIENT_TYPE_SP

1

PROTOCOL_OLD

غير معروف

CLIENT_TYPE_SPE

2

PROTOCOL_OLD_E

غير معروف

CLIENT_TYPE_FL

3

PROTOCOL_OLD

W32.Flamer

CLIENT_TYPE_IP

6

PROTOCOL_SIGNUP

غير معروف

لا يوجد

لا يوجد

PROTOCOL_RED

غير معروف


وكما يظهر من الجدول أعلاه، مازلنا نجهل العديد من التهديدات المدعومة في هذا الإطار، وإن كان من المرجَّح أن تكون نسخاً متفاوتة من الدودة W32.Flamer أو برمجيات خبيثة مختلفة تماماً.

ويقول خبراء «سيمانتك» إن خوادم القيادة والتحكُّم تمت تهيئتها للكشف عن أقلّ قدر ممكن من المعلومات في حال اكتشافها، كما تمت تهيئة النُّظم لتعطيل أي عمليات تسجيل دخول غير ضرورية، فيما تمّ حذف كافة المُدخلات في قواعد البيانات على فترات منتظمة.
كما تمَّ حذف ملفات تسجيل الدخول بطريقة آمنة من الخوادم على نحو منتظَم. وكلّ ما سبق يسهم في إعاقة أي تحقيق قد تجريها سلطات مختصّة في حال استيلاء طرف ثالث على الخوادم.

ورغم حذاقة وبراعة المهاجِمين فإنهم تركوا هفوة من ورائهم، إذ تم اكتشاف ملف يكشف عن كلّ ما يتعلق بتهيئة الخادم.
كما كشفت مجموعة محدودة من السجلات المشفَّرة المتوافرة في قاعدة البيانات عن أن الحواسيب المخترَقة كانت بمنطقة الشرق الأوسط.
واستطاع خبراء «سيمانتك» أن يستردوا ألقاب أربعة من المشاركين الذين تبدأ ألقابهم بالأحرف D و H و O و R، حيث أنجزوا مهامّ التشفير في مراحل مختلفة من المشروع الذي يبدو أنه يعود إلى عام 2006.

 

اللقب

الملفات المعدَّلة

التواريخ

منصة التحكم

البروتوكولات

قاعدة البيانات

الإزالة

التشفير

يبدأ بالحرف D

33

12/4/2006

01/23/2007

X

X

X

X

X

يبدأ بالحرف H

10

09/02/2007

X

X

X

 

X

يبدأ بالحرف O

4

12/3/2006

 

 

X

 

 

يبدأ بالحرف R

1

2011

 

 

 

X

 

 
ويظهر مما سبق أن المهاجِمين اعتمدوا توزيعاً واضحاً للأدوار، فمنهم من هو مسؤولٌ عن تهيئة الخادم (مديرون)، ومنهم من هو مسؤول عن تحميل الحَزم وتنزيل البيانات المختلَسة من خلال منصة التحكم (مشغِّلون)، ومنهم من هو مسؤول عن مفاتيح التشفير الخاصة وفك تشفير البيانات المختلَسة (مهاجِمون).

ورغم كلّ ما بذله المهاجِمون للحؤول دون الكشف عن هويتهم، في حالِ الاستيلاء على الخوادم من قبل طرف آخر، تمكَّن خبراء «سيمانتك» من الكشف عن أن الخادم الذي تمت تهيئته في مايو 2012 تضمَّن وحدة تصدر تعليمات بانتحار الدودة W32.Flamer وإزالة ذاتها من الحواسيب في أواخر مايو 2012، وتم رصد ما سبق من خلال تقنية مِصْيَدة محاولات الدخول غير المشروعة في الحواسيب المخترَقة.

وأخيراً، تطلبت منصة التحكم كلمة سرّ مخزنة كتسلسل مشفَّر. ولم يتمكن خبراء الشركة من فك التشفير المذكور ومعرفة كلمة السرّ، وفي حال تمكَّن أحدٌ من معرفة ذلك يُرجى الاتصال بنا:
كلمة السرّ المشفَّرة: 27934e96d90d06818674b98bec7230fa

يُذكر أن عملية تحليل خوادم القيادة والتحكم تمَّت كجهد مشترك بين «سيمانتك» و«كاسبرسكي» CERT-Bund/BSI وIMPACT.
يمكنكم زيارة موقع «سيمانتك» للاطلاع على تحليل مفصَّل لخوادم القيادة والتحكم، وتهيئة تلك الخوادم، وتطبيق الويب الذي عكف على تطويره أربعة أشخاص على أقل تقدير منذ عام 2006، ومنصة التحكم المستخدمة من قبل المشغِّلين، وقاعدة البيانات الداعمة للتطبيق.