مجموعة تجسس تخترق بيانات وأنظمة الأجهزة الحكومية وشركات النفط والغاز والمؤسسات غير الحكومية وشركات الاتصالات ومؤسسات خدمات تكنولوجيا المعلومات: Seedworm

موبايلك - كشف باحثون من من شركة "سيمانتك" عن احصاءات مكثفة حول مجموعة تجسس إلكترونية وراء سلسلة من الهجمات الإلكترونية تهدف إلى جمع المعلومات حول عددٍ من الأهداف على امتداد منطقة الشرق الأوسط وأوروبا وأمريكا الشمالية.

وتنشط مجموعة Seedwom (المعروفة باسم مادي ووتر)، منذ عام 2017 على الأقل، وتم رصد أحدث نشاط لها في ديسمبر 2018.

ووجد المحللون فريق "البحث المتعمق لتحليلات الهجمات المُدارة والتهديدات" (MATI) بوابةً خلفيةً جديدةً، تُسمي Backdoor.Powemuddy، وهي عبارة عن أنماط متغيرة جديدة من برمجية تسمى Powermud (المعروفة أيضاً باسم POWERSTATS) الخاصة بـSeedworm ، وهي مستودع GitHub تستخدمه المجموعة لتخزين نصوصها، بالإضافة إلى العديد من أدوات ما بعد الاختراق والتي تستخدمها المجموعة لاستغلال الضحايا بمجرد تمكّنها من الدخول إلى شبكتها.

اقتفاء أثر الهجمات

كشفت "سيمانتك" في سبتمبر 2018، عن أدلة على وجود Seedworm ومجموعة التجسس APT28 (المعروفة أيضاً باسم Swallowtail ، Fancy Bear)، على أحد أجهزة الحاسوب في سفارة البرازيل لدى إحدى الدول المنتجة للنفط. ويثير وجود مجموعتين نشطتين في الوقت نفسه اهتماماً كبيراً، لذا بدأت "سيمانتك" في تتبع هذا الخيط، لتجد المزيد من الأدلة التي أدت إلى الكشف عن معلومات جديدة حول "سيدورم".

ولم تعثر "سيمانتك" على نقطة الدخول الأولى فحسب، بل تمكّنت من متابعة نشاط Seedworm لاحقاً بعد الإصابة الأولية بسبب قدرة القياس الهائلة الموجودة لدى "سيمانتك" بفضل شبكة التحليلات العالمية الخاصة بها. وتمكن محللو "سيمانتك" من تتبع الإجراءات التي اتخذتها مجموعة Seedworm بعد دخولها الشبكة. ووجدت "سيمانتك" تنويعات جديدة من البرمجيةPowermud Backdoor، وباباً خلفياً جديداً يحمل اسم (Backdoor.Powemuddy)، وأدوات مخصصة لسرقة كلمات المرور وإنشاء قذائف عكسية وزيادة الصلاحيات واستخدام أداة إنشاء خزانة Windows الأصلية، والملف makecab.exe، وعلى الأرجح من أجل ضغط البيانات المراد تحميلها. ويمكن لعملاء فريق البحث المتعمق (MATI) الاستفادة من هذه الأفكار الفريدة لمكافحة التهديدات السيبرانية الناشئة.

وتشبه دوافع مجموعة Seedworm الكثير من مجموعات التجسس السيبراني التي تم الكشف عنها، فهي تسعى للحصول على معلومات قابلة للاستخدام حول المؤسسات والأفراد المستهدفين. وتحقق هذه المجموعات هذه الأهداف نتيجة تفضيل المؤسسات للسرعة والسلاسة على حساب أمن عملياتها، مما أدى في النهاية إلى اختراق بنيتها الأساسية التشغيلية.

طريقة العمل والأدوات

من المحتمل أن مجموعة Seedworm تعمل على شكل مجموعة تجسس إلكتروني تسعى للحصول على معلومات قابلة للاستخدام يمكن أن تفيد مصالح من يدعمها. واستخدمت المجموعة خلال العمليات، أدوات تتفق مع تلك التي تم رفعها خلال عمليات الاختراق السابقة بما في ذلك Powermud، وهي أداة مخصصة تستخدمها مجموعة Seedworm، بالإضافة إلى ملفات برمجية مخصصة مثل PowerShell وLaZagne وCrackmapexec.

وتتحكم مجموعة Seedworm في برمجية الباب الخلفي Powermud من خلف شبكة بروكسي لإخفاء موقع القيادة والتحكم الرئيسي. وتعد Seedworm المجموعة الوحيدة المعروفة باستخدام الباب الخلفي Powermud.

وبعد اختراق أي نظام، عادةً عن طريق تثبيت Powermud أو Powemuddy، تبدأ مجموعة Seedworm في البداية بتشغيل أداة لسرقة كلمات المرور المحفوظة في متصفحات الويب للمستخدمين والبريد الإلكتروني، مما يدل على أن الوصول إلى البريد الإلكتروني للضحية ووسائط التواصل الاجتماعي وحسابات الدردشة هو أحد أهدافها المحتملة. ثم تستخدم Seedworm أدوات مفتوحة المصدر مثل LaZagne وCrackmapexec للحصول على بيانات اعتماد ترخيص Windows. وتستخدم المجموعة إصدارات جاهزة وغير معدّلة من هذه الأدوات بالإضافة إلى المتغيرات المجمعة المخصصة، والتي أشرنا سابقاً أنها لا تستخدم إلا من خلال هذه المجموعة.

تكتيكات التحوّل

ومنذ ظهورها للمرة الأولى، شهدت "سيمانتك" تغيرات في طريقة عمل المجموعة. ومنذ أوائل عام 2017، قامت المجموعة  بتحديث الأداة Powermud باستمرار لتجنب الكشف وإحباط محاولات الباحثين في مجال أمن المعلومات الذين يقومون بتحليل الأدوات. واستخدمت المجموعة أيضاً GitHub لتخزين البرامج الخبيثة ومجموعة من الأدوات المتاحة للجمهور، والتي يتم تخصيصها بعد ذلك لتنفيذ عمل المجموعة.

وحددت "سيمانتك" حسابات متعددة على الإنترنت من المحتمل أن تكون مرتبطة بالجهات الفاعلة وراء عمليات مجموعة Seedworm. وكانت النتيجة الأولى عبارة عن مستودع Githup عام، يحتوي على نصوص تتطابق إلى حد كبير مع تلك الملاحظة في عمليات "سيدورم". وبعد ذلك تم إنشاء رابط إضافي لشخص على تويتر باستخدام بيانات ملف شخصي مشابهة. ويتابع هذا الحساب العديد من حسابات الباحثين الأمنيين، بمن فيهم الذين كتبوا عن المجموعة في الماضي بالإضافة إلى المطورين الذين يبرمجون الأدوات مفتوحة المصدر التي يستخدمونها.

ومن المحتمل أنه تتم إدارة هذه الحسابات من قبل مجموعة ٍSeedworm. ويحتوي مستودع Github على نص برمجيPowerShell ، والذي يتم تشغيله على أجهزة الضحايا عن طريق Seedworm؛ وهناك أيضاً العديد من أوامر Crackmapexec PowerShell  التي تتطابق مع نشاط المضيف الضحية.

ويسمح اختيار الاعتماد على الأدوات المتاحة لأي شخص لـSeedworm بتحديث عملياتها بسرعة باستخدام شفرة مكتوبة من قبل الآخرين، وتطبيق التخصيصات المحدودة فقط. ويبدو أيضاً أنها تعتمد على بعض الأدوات الأكثر فعالية وقدرة، والتي تستخدمها العديد من الفرق التي تختبر قدرات المؤسسة والمسماة بـ "الفريق الأحمر".

الأهداف والخط الزمني

وقامت "سيمانتك" بتحليل بيانات 131 ضحية تم اختراقها من قبل الباب الخلفي Powermud الخاص بمجموعة Seedworm منذ أواخر سبتمبر إلى منتصف نوفمبر 2018.

وقد تبيّن أن ضحايا مجموعة Seedworm يتركزون في كلٍ من باكستان وتركيا في المقام الأول، ولكن يوجد أيضاً ضحايا للمجموعة نفسها في روسيا والمملكة العربية السعودية وأفغانستان والأردن وأماكن أخرى. وقامت المجموعة أيضاً، بتهديد المؤسسات في أوروبا وأمريكا الشمالية والتي ترتبط بعلاقات في منطقة الشرق الأوسط.

ومن خلال تحليل ضحايا Powermud، تمكنت "سيمانتك" من تحديد القطاع المحتمل لـ 80 من أصل 131 ضحية. وشكّلت قطاعات الاتصالات وخدمات تكنولوجيا المعلومات أهدافاً رئيسية لهجمات المجموعة. وكثيراً ما تقدم الشركات العاملة في هذه القطاعات "الضحايا"، وفي الوقت نفسه تزود شركات خدمات الاتصالات أو وكالات خدمات تكنولوجيا المعلومات والبائعين، مجموعة Seedworm بالمزيد من الضحايا من أجل اختراقهم. وعند التمكّن من اختراق هذا النوع من الضحايا بنجاح في هذين القطاعين، تتوفر أدلّة إضافية حول مدى تطور مجموعة Seedworm وقدراتها.

ويحتل قطاع الغاز والنفط المرتبة الثانية في التعرض للهجمات، حيث أن جميع الضحايا الـ11 في هذه المجموعة ينتمون إلى شركة روسية واحدة نشطة في الشرق الأوسط. ويقع واحد فقط من هؤلاء الضحايا الـ11 في روسيا؛ وتتوزع البقية في أمريكا الشمالية والشرق الأوسط وأفريقيا وآسيا.

وكانت الجامعات والسفارات هي الأهداف التالية الأكثر تعرضاً لهذه الهجمات، لا سيما الجامعات في الشرق الأوسط، والسفارات التي تمثل دول الشرق في أوروبا. كما تعرضت شركتان غير حكوميتين كبيرتان للخطر؛ وحدّدنا سبعة ضحايا كانوا ضمن مؤسسات الصحة العامة على مستوى العالم.

وأبلغت "سيمانتك" الشركاء المعنيين من القطاعين العام والخاص فيما يتعلق بأحدث أهداف Seedworm وأدواتها وتقنياتها.

يمكنك تصفح موقع موبايلك النسخة الانجليزية الآن

تصفح دليل أدوات الذكاء الاصطناعي :

الذكاء الاصطناعي