تكنونيوز - دبي - عادت البرمجية الخبيثة "W32.Disttrack.B" والمعروفة باسم "شمعون"، للهجوم من جديد في 10 ديسمبر الجاري بعد غياب عامين، لتستهدف مؤسسات جديدة في منطقة الشرق الأوسط. وتأتي هجمات "شمعون" الأخيرة بتأثير مضاعف، لما تحمله من برمجية ضارة جديدة تحذف الملفات وتحمل اسم "Trojan.Filerase"، والتي تقوم بمحو الملفات من أجهزة الحاسوب المستهدفة قبل قيام البرمجية الرئيسية "شمعون" بحذف جميع ملفات بدء التشغيل الرئيسية.

وظهرت أخبار الهجمات لأول مرة في 10 ديسمبر عندما قالت شركة "سايبم للخدمات النفطية" الإيطالية إنها تعرضت لهجوم سيبراني على خوادمها في منطقة الشرق الأوسط. وبعد يومين، قالت الشركة إن "شمعون" تم استخدامه في هذا الهجوم الذي أصاب ما بين 300 و400 خادم، وما يصل إلى 100 حاسوب شخصي.

ووجدت "سيمانتك" أدلة على هجمات ضد مؤسستين أخريتين خلال الأسبوع نفسه، بكل من المملكة العربية السعودية ودولة الإمارات العربية المتحدة، وكلاهما تعملان في مجال النفط والغاز.

استخدام حاذف جديد للملفات
وعلى عكس هجمات "شمعون" السابقة، تتضمن هذه الهجمات الأخيرة قطعة أخرى جديدة من البرمجيات الضارة الحاذفة للملفات وهي "Trojan.Filerase". وتعمل هذه البرمجية الضارة على التخلص من الملفات والكتابة فوقها على جهاز الحاسوب المصاب. وفي الوقت نفسه، يقوم "شمعون" بمحو سجل بدء التشغيل الرئيسي على الحاسوب، مما يجعله غير قابل للاستخدام.

وزادت الإضافة الجديدة لحاذف الملفات "Filerase" من خطر هذه الهجمات وجعلتها أكثر تدميراً من استخدام برمجية "شمعون" الخبيثة وحدها. ويرجع ذلك إلى أنه من الممكن استعادة الملفات من على الحاسوب المصاب، في حال الهجوم ببرمجية "شمعون" وحدها، لكن في حال حذف البرمجية Filerase للملفات، يصبح استعادتها أمراً مستحيلاً.

وتنتشر البرمجية الخبيثة Filerase عبر شبكة الضحية من حاسوب أولي واحد باستخدام قائمة بالأجهزة المتصلة بالشبكة. وتأتي هذه القائمة في شكل ملف نصي، يختلف باختلاف الشركة، مما يعني أن المهاجمين قد جمعوا هذه المعلومات خلال مرحلة استطلاعية سابقة للهجوم. ويتم أولاً نسخ هذه القائمة بواسطة مكون يسمى OCLC.exe وتمريرها إلى أداة أخرى تسمى Spreader.exe. ثم يقوم مكون Spreader بنسخ البرمجية الخبيثة Filerase إلى كافة أجهزة الكمبيوتر الموجودة في القائمة، وتنشيطها جميعاً في الوقت نفسه على جميع الأجهزة المصابة.

ومن الممكن أن تكون البرمجية الخبيثة "شمعون" تنتشر عبر هذه الأدوات نفسها، لأنه أمر غير مؤكد. وتم تنشيط البرمجية "شمعون"، في حالة واحدة على الأقل، باستخدام الأداة PsExec، وهو ما يعني أن المهاجمين حصلوا على شهادات للشبكة.

علاقة محتملة بمجموعة "Elfin"
وتعرض أحد ضحايا هجمات "شمعون" الاخيرة، التي رصدتها "سيمانتك" في المملكة العربية السعودية، إلى هجوم آخر من قبل مجموعة أخرى تطلق عليها "سيمانتيك" اسم "Elfin" أو "APT33"، وأصيبت المؤسسة في هذه الهجمة بالبرمجية الخبيثة Stonedrill (Trojan.Stonedrill). بالإضافة إلى هجمات إضافية ضد المؤسسة نفسها في عام 2018 والتي قد تكون ذات صلة بالمجموعة "Elfin"، أو يمكن أن تكون من عمل مجموعة أخرى.

والسبب في التفكير بربط الحالتين، هو قرب من هجمات مجموعة "Elfin" مع هجمات "شمعون" من حيث التوقيت ضد هذه المؤسسة.

تاريخ من الهجمات المدمرة
ظهرت البرمجية الخبيثة (W32.Disttrack)، والمعروفة باسم "شمعون"، للمرة الأولى في عام 2012 عندما تم استخدامها في سلسلة من الهجمات التخريبية ضد قطاع الطاقة في المملكة العربية السعودية.

وتوقف النشاط حتى العودة المفاجئة في أواخر عام 2016. وتم استخدام نسخة معدّلة قليلاً من البرمجية الضارة (W32.Disttrack.B) في هجمات ضد مجموعة من الأهداف، مرة أخرى في المملكة العربية السعودية. وبدت الهجمات موقوتة لإحداث أكبر قدر من الضرر، حيث تم ضبط البرامج الضارة للعمل عند الساعة 8:45 مساءً بالتوقيت المحلي يوم الخميس الموافق 17 نوفمبر 2016. وتبدأ أيام العمل في الممكلة العربية السعودية يوم الأحد وتنتهي يوم الخميس، ما يعني أن أن أجهزة الحاسوب المصابة تم محو ملفاتها بعد مغادرة معظم الموظفين لعطلة نهاية الأسبوع، مما يقلل من فرصة اكتشافها قبل اكتمال الهجوم.

تهديد متكرر
ولا يعرف لماذا تم هجوم "شمعون" الأخير بشكل مفاجئ. ومع ذلك، فإن حقيقة أن البرمجيات الخبيثة تُخرج من التقاعد كل بضع سنوات تعني أنه يجب على المؤسسات أن تظل متيقظة وتضمن أن جميع البيانات مدعومة بشكل صحيح وأن هناك استراتيجية أمنية قوية.

التاريخ : 2018/12/26 11:40:26