اكتشافات جديدة تربط بين برنامج Kwampir الخبيث وهجمات Shamoon المتطورة المستمرة
مقدمة
تشارك هذه المدونة نتائج Cylera Labs باحثو استخبارات التهديد، الذين وجدوا لأول مرة رابطًا بين كوامبرس شمعون بعد 2018 سيمانتيك اكتشاف Kwampirs وOrangeworm. الآن، يتم تقديم أدلة جديدة علنًا بواسطة Cylera Labs، مما يعطي ثقة متوسطة إلى عالية في نسب Kwampirs.
ملخص عن شامون
يُعتقد أن شمعون مستوحى من البرامج الضارة التي تم نشرها لأول مرة ضد صناعة النفط الإيرانية في أبريل 2012 ويطلق مؤلفو البرنامج الخبيث "Wiper" على هذا البرنامج اسم "Wiper". ويقوم البرنامج الخبيث "Shamoon" بسرقة المعلومات، ويتضمن وحدة مسح مدمرة، ويبلغ المهاجمين بمعلومات الإصابة. ويجعل هذا البرنامج الخبيث أجهزة الكمبيوتر المصابة عديمة الفائدة، ولا يمكن استرداد البيانات.
في الخامس عشر من أغسطس/آب 15، وخلال عطلة شهر رمضان، تعرضت شركة أرامكو السعودية المملوكة للدولة لهجوم من قبل فيروس شامون المعروف باسم ديست تراك. وقد تم تسليم الفيروس عبر رسالة بريد إلكتروني فتحها أحد العاملين في مجال تكنولوجيا المعلومات والذي يتمتع بصلاحيات الوصول إلى المعلومات. وانتشر الفيروس بسرعة عبر الشبكة، مما أدى إلى توقف العمل على الفور، واستغرق الأمر شهوراً للتعافي الكامل. وفي نهاية المطاف، اضطرت أرامكو السعودية إلى استبدال 2012 ألف جهاز كمبيوتر متضرر، مما تسبب في ندرة عالمية وارتفاع أسعار مكونات الكمبيوتر في ذلك الوقت. كما تم استخدام فيروس شامون ضد شركة راس غاز للبتروكيماويات في نوفمبر/تشرين الثاني 35,000.
بعد سنوات من الخمول، قامت حملة شامون باستخدام متغيرات مسح محدثة، ثم عادت إلى الظهور عدة مرات في جميع أنحاء العالم، وفي كل مرة كانت العواقب مدمرة - (نوفمبر 2016، ويناير 2017، وديسمبر 2018).
من 2018 إلى الآن
في أبريل/نيسان 2018، كان العالم يشهد برنامج Kwampirs، وهو برنامج خبيث قادر على الوصول عن بعد (RAT) والذي يوفر إمكانية الوصول من خلال "الباب الخلفي" إلى الأنظمة التي قام باختراقها. سيمانتيك وقد نشرت مدونة تفاصيل الهجمات التي شنتها مجموعة أطلق عليها اسم Orangeworm. وفي ذلك الوقت، لم يعتبروا Orangeworm جهة فاعلة تابعة لدولة، كما لم تعتبرها منظمات بحثية أخرى تجري تحليلات مماثلة.
__________________________________________________________________________________________
"في حين أنه من المعروف أن Orangeworm كانت نشطة منذ عدة سنوات على الأقل، فإننا لا نعتقد أن المجموعة تحمل أي علامات مميزة لفاعل برعاية دولة - فمن المرجح أن يكون عمل فرد أو مجموعة صغيرة من الأفراد. لا توجد حاليًا أي مؤشرات تقنية أو عملياتية لتحديد أصل المجموعة." - 23 أبريل 2018، مدونة سيمانتيك
__________________________________________________________________________________________
وجدت شركة سيمانتك أدلة على أن Orangeworm كانت تستهدف منذ عام 2015 قطاعات البنية التحتية العالمية الحرجة، بما في ذلك الرعاية الصحية وسلاسل التوريد ذات الصلة، باستخدام Kwampirs. وباعتبارها حصان طروادة، قامت Kwampirs بتثبيت باب خلفي على الأنظمة المخترقة وحافظت على الوصول إليها سراً بمرور الوقت، واستكشاف أجهزة الكمبيوتر والشبكات الخاصة بضحاياها.
القطاعات الصناعية لضحايا كوايمبيرز المعروفين
(اعتبارًا من أبريل 2018، سيمانتيك)
الشكل 1. بيانات قطاع الصناعة حول ضحايا كوايمبير المعروفين وغير المعروفين. في ذلك الوقت، كانت النسبة الأعلى من الضحايا (40%) في قطاع الرعاية الصحية. (أبريل 2018، سيمانتيك)
النتائج المبكرة لـ CYLERA
ثم بدأ باحثو Cylera Labs تحقيقًا شاملاً في عام 2018 حول نسب Orangeworm ونواياها ودوافعها داخل سلاسل توريد الرعاية الصحية ومكونات البرامج الضارة Kwampirs في أغسطس 2018. أثناء التحقيق، شوهد Kwampirs حتى على أجهزة الأشعة السينية والتصوير المقطعي المحوسب والتصوير بالرنين المغناطيسي.
بعد ثلاثة أشهر، أثناء مراقبة الحملات الجديدة، اكتشف باحثو Cylera خادم Kwampirs Command and Control الذي كان نشطًا بشكل متقطع، وكان به ثغرة تسمح لباحثينا بجمع بيانات عن بعد للضحايا. تم إنشاء حفرة لهذه الحملة.
الإفصاح العام - 2019
عندما اكتشفت Cylera لأول مرة أوجه تشابه واعدة بين Shamoon وKwampirs في عامي 2018 و2019، كان من المناسب مشاركتها مع المجتمع. كان أول إفصاح عام لدينا عن عينات التعليمات البرمجية وأوجه التشابه المرتبطة في ديسمبر 2019 المؤتمر الثالث عشر لتكنولوجيا المعلومات والاتصالات في مدريد، قدم بابلو ريكون كريسبو، نائب رئيس الأمن السيبراني والباحث الرئيسي في سيليرا، عرضًا تقديميًا. في ذلك الوقت، شارك العرض التقديمي عينات أولية من التحقيق مع القطع الأثرية والارتباطات، مما أظهر الكثير من الإمكانات، لكننا كنا نعلم أن المزيد من البحث سيكون ضروريًا.
ثم، من يناير إلى مارس 2020، وبعد العرض التقديمي الثالث عشر للجنة مكافحة الإرهاب الدولية مباشرة، أصدر مكتب التحقيقات الفيدرالي الأمريكي (FBI) إخطارات تحذيرية متتالية بشأن Kwampirs، واستمر في الضغط بشكل عاجل لاتخاذ إجراءات دفاعية في قطاعات البنية التحتية الحيوية والرعاية الصحية وسلاسل التوريد ذات الصلة:
خلال ربيع عام 2020، تم نشر مجموعة من مؤشرات الاختراق (IoCs) والبائعين الذين يقدمون المساعدة والتقارير وعينات التعليمات البرمجية والتخفيف من حدتها في جميع أنحاء الصناعة فيما يتعلق بـ Kwampirs وكيفية معالجة وتعزيز الدفاعات.
السمة
وفي الهجوم على أرامكو عام 2012، كانت المجموعة التي أعلنت مسؤوليتها عن الهجوم هي "سيف العدل القاطع"، وهي مجموعة يُعتقد أنها مدعومة من إيران، رغم أن القيادة الإيرانية نفت ذلك.
بحلول ديسمبر 2018، مقالة ZDNet استشهد بفريق أبحاث التهديدات المتقدمة التابع لشركة McAfee والذي نسب فيروس Shamoon والنشاط الأخير إلى مجموعة القراصنة الإيرانية APT33 "أو مجموعة متخفية باسم APT33." وفي الدوائر الأمنية، يُعتقد أن شمعون مرتبط بمجموعات الهجوم الإيرانية. APT33 APT34.
وبما أن Shamoon 1 و2 من التهديدات المتطورة المستمرة الإيرانية، فإن Kwampirs ستكون أيضًا من التهديدات المتطورة المستمرة الإيرانية، والتي تستهدف أنظمة التحكم الصناعي والمؤسسات الصحية العامة والخاصة وسلاسل التوريد لصناعات البنية التحتية الحيوية منذ عام 2015 على الأقل، كما هو مذكور أيضًا في إخطارات مكتب التحقيقات الفيدرالي.
ملخص
وبالانتقال السريع إلى الوقت الحاضر، في حين لم تكن هجمات Kwampirs وShamoon منتشرة في مشهد التهديدات، فقد لوحظ مرارًا وتكرارًا أن الهجمات القديمة يمكن أن تظهر مرة أخرى. ومن الأمثلة على ذلك كونفيكريبدو أن الفيروسات الخبيثة لا تزال موجودة: حيث تظهر أكواد عمرها 14 عامًا وتهدد المنظمات. وفي هذه الحالة، كانت هناك حملات برامج ضارة محدثة بعناصر جديدة للتمييز بين كل موجة، مثل Shamoon/Kwampirs وغيرها.
تُظهر أدلة بحثنا تحديد التطور المشترك بين عائلتي البرامج الضارة Shamoon وKwampirs خلال الجدول الزمني المعروف. تحتوي مدونتنا الفنية حول هذا الموضوع وتقرير التحليل التفصيلي على تحليل تفاضلي لجميع الإصدارات المكونة لكلا العائلتين، والمعروفة باسم "المراسلين"، مما سمح لنا بفهم التطور المشترك في نفس الجدول الزمني.
إذا كان Kwampirs يعتمد على Shamoon الأصلي، وكانت أكواد الحملة Shamoon 2 و3 تعتمد على Kwampirs، مع دعم كلا البيانين من خلال النتائج التي توصلنا إليها، فإن مؤلفي Kwampirs قد يكونون نفس مؤلفي Shamoon أو يجب أن تكون هناك علاقة قوية جدًا بينهما، كما رأينا على مدار سنوات عديدة.
ونحن نعتقد بثقة متوسطة إلى عالية أن الأدلة المتوفرة تدعم نسب برنامج Kwampir إلى الجهات الفاعلة الإيرانية المهددة، وأن البنية التحتية للرعاية الصحية والحيوية، بالإضافة إلى سلاسل التوريد ذات الصلة بالرعاية الصحية وغيرها من القطاعات، تحتاج إلى أن تكون على أهبة الاستعداد لمزيد من التحديثات المحتملة وإعادة الاستخدام المدمر.
لمزيد من المعلومات التفصيلية، يرجى الرجوع إلى مدونة Kwampirs-Shamoon التقنية، والعميق تقرير فني عن Kwampirs Shamoon من Cylera Labs.
