وجهت شركة سيمانتيك أصابع الاتهام إلى مجموعة قرصنة وتجسس إلكتروني تدعى “جرين بج” والتي تعتقد سيمانتيك أنها الجهة التي تقف وراء فيروس “شمعون” الذي عاد ليضرب في الساعات الماضية عدداً من الجهات الرسمية في المملكة العربية السعودية. واستندت سيمانتيك في اتهامها على تحليل تقني معمق.
وكانت سيمانتيك قد اكتشفت مجموعة القرصنة والتجسس الإلكتروني “جرين بج” أثناء تحقيقها في هجوم تسبب في تدمير ومسح بيانات استخدم فيه فيروس W32.Disttrack.B المعروف باسم شمعون Shamoon. وتصدر فيروس W32.Disttrack الأخبار لأول مرة في عام 2012 عندما استخدم في هجوم إلكتروني استهدف شركات الطاقة في المملكة العربية السعودية. وظهر الفيروس بوجه جديد في نوفمبر 2016 باسم W32.Disttrack.B ليستهدف مرة أخرى شركات في المملكة العربية السعودية.
ويحمل فيروس W32.Disttrack فقط أوامر المسح، ويلزمه ملفات أخرى ليستطيع الدخول والانتشار في شبكات الشركات المستهدفة، وهذه الملفات يجب أن تكون مبنية على ملفات الشركة المصرح بها. وفي الوقت الذي تمت تغطية الهجمات في وسائل الإعلام، تبقى الإجابة على السؤال التالي غامضة: كيف استطاع القراصنة المهاجمون الاستيلاء على هذه الملفات المعتمدة وتوجيه W32.Disttrack إلى الشبكات المستهدفة؟!.
وبينت أنه تم اكتشاف مجموعة “جرين بج” عندما استهدفت مجموعة من المؤسسات في الشرق الأوسط، منها شركات تعمل في مجالات مثل الطيران والطاقة والاستثمار والتعليم وحتى الحكومية. واستخدمت المجموعة برمجية من نوع “حصان طروادة” (Trojan (RAT لسرقة المعلومات عن بعد والمعروفة باسم Trojan.Ismdoor، بالإضافة إلى مجموعة من أدوات القرصنة التي ساعدتها على سرقة ملفات معتمدة حساسة من المؤسسات المخترقة.
ولا يوجد دليل قاطع على صلة مجموعة “جرين بج” بفيروس “شمعون”، إلا أن المجموعة سيطرت على حاسوب رئيس واحد على الأقل في هجمة شمعون التي سبقت هجمة W32.Disttrack.B والتي استهدفت شبكة المؤسسة في 17- نوفمبر- 2016.
ونشطت مجموعة القرصنة والتجسس "جرين بج" في شهر يونيو 2016، وتعتمد المجموعة في هجماتها على البريد الإلكتروني لتتمكن من اختراق المؤسسة. وترى سيمانتيك أن هذه المجموعة تملك صلاحيات دخول حصرية على البرمجية الخبيثة Trojan.Ismdoor. وتستخدم المجموعة أدوات إضافية للسيطرة على أجهزة الحاسوب الأخرى المتصلة بالشبكة وسرقة اسم المستخدم وكلمة السر الخاصة بكل حاسوب من داخل نظام التشغيل نفسه أو حساب البريد الإلكتروني ومتصفح الإنترنت.
واستخدمت برمجية Trojan.Ismdoor الخبيثة بين يونيو ونوفمبر 2016 ضد عدد من الأهداف وعلى نطاق واسع في منطقة الشرق الأوسط. وكجزء من العملية استخدمت المجموعة البنية التحتية لإحدى شركات الطاقة لاستضافة Ismdoor. وشملت الهجمات شركات تعمل في مجال الطيران والتعليم والمنظمات الحكومية والاستثمار. وتأثرت بها بلاد مثل المملكة العربية السعودية والبحرين والعراق وقطر والكويت وتركيا وإيران. وتم استهداف مؤسسة سعودية في أستراليا.
ويعتقد أن الهجوم بدأ ببريد إلكتروني طلب من المستخدم تحميل ملف مضغوط RAR يحمل معلومات وصفت في البريد بأنها عرض عمل، والملف مستضاف على موقع إنترنت قانوني قد تكون المجموعة سيطرت عليه قبل الهجمة، وبداخل الملف RAR توجد برمجية Ismdoor الخبيثة مختبئة باستخدام تقنية دفق البيانات البديلة.
وتقنية "تدفق البيانات البديلة" Alternate Data Streams تعمل على الأقراص الصلبة التي تعمل بنظام NTFS على نظام Windows، وتستخدم في الأصل لإضافة تفاصيل الملف الأصلي ولا يستطيع المستخدم رؤيتها، ما يجعلها مكاناً مثالياً للمهاجم ليخبئ بها ملفات البرمجية الخبيثة المراد زرعها داخل الحاسوب لاختراقه.
وجود "جرين بج" على شبكة المؤسسات المستهدفة قبل هجوم مسح البيانات W32.Disttrack.B يبني صلة مبدئية لعلاقتهم بالهجمات. فاختيار "جرين بج" المؤسسات المستهدفة والأدوات المستخدمة وهجمة Ismdoor جاءت قبل يوم واحد من هجوم "شمعون" في 17-نوفمير-2016 كل هذا يثير الشبهات حول المجموعة. وأكدت سيمانتيك أنها ستراقب المجموعة حتى ظهور أدلة جديدة.