‏‏استخدام آية من القرآن‏‏ الكريم‏ للإيقاع بشركة نفط خليجية

فيروس‏‏ جديد‏‏ ‏‏يحذف الملفات ويتخفّى خلف ‏‏آية من القرآن‏‏ الكريم‏
‏‏استخدام آية من القرآن‏‏ الكريم‏ للإيقاع بشركة نفط خليجية
الخميس, 10 يناير , 2019

 ‏‏كشفت اليوم‏‏ «بالو ألتو نتوركس»‏‏، تفاصيل جديدة عن‏‏ هجمات "شمعون 3" التي استهدفت ‏‏إحدى شركات الغاز والنفط ‏‏الشهر‏‏ الماضي‏‏.

وحدد‏‏ت الشركة ‏‏أثناء بحث‏‏ه‏‏ا المستمر‏‏ ‏‏فيروس ‏‏آخر يحذف‏‏ ‏‏ا‏‏لملفات يحتمل أنه على صلة بالواقعة التي تضمنت فيروس حصان طروادة سيء الصيت ‏‏و‏‏المعروف باسم "ديستراك"‏‏ والذي يتخفى خلف آية من القرآن الكريم.‏
‏‏ ‏
‏‏وقد ‏‏عمد‏‏ت الجهات‏‏ ‏‏ال‏‏مطو‏‏ّ‏‏ر‏‏ة‏‏ ‏‏ل‏‏هذا الفيروس ‏‏الذي يحذف الملفات‏‏ إلى استخدام التعليمات البرمجية لأداة "سوبر ديليت" ومن ثم حورها لإنتاج إصدار جديد معدل. وكانت النتيجة فيروس حصان طروادة ‏‏ل‏‏مسح الملفات مكتوب بلغة "سي شارب" ‏‏البرمجية‏‏.

لا يحتوي هذا الفيروس على وظائف إضافية أخرى سوى قدرته على حذف ملفات على النظام. لهذا - وبخلاف نماذج سابقة من فيروس "ديستراك" - فإن هذا الفيروس لا يستطيع الانتشار إلى أنظمة أخرى على الشبكة،  كما إنه يختلف عن فيروس "ديستراك" في عدم اعتماده على مشغلات نواة النظام لحذف الملفات.

عوضًا عن ذلك، يقوم هذا الفيروس المعدل من أداة "سوبر ديليت" بكتابة بيانات عشوائية في ملفات المستخدم قبل أن يبادر إلى حذفها، مما يجعل استعادة الملفات المحذوفة ‏‏أمرًا صعبًا ‏‏من دون نسخ احتياطي لها. أما ‏‏الجانب ‏‏الأكثر إثارة للاهتمام في هذا الفيروس فيكمن في ‏‏تعمد مطوره إضافة رسالة دينية من آية في القرآن‏‏. ‏
‏‏ ‏
‏‏وبالتحليل‏‏ المستمر لهذا الفيروس الذي يستخدم التعليمات البرمجية لأداة "سوبر ديليت" المذكورة، اكتشف‏‏ت شركة بالو ألتو نتوركس‏‏ وجود ملفين تنفيذيين ‏‏يعتقد‏‏ أن المهاجمين ‏‏قد ‏‏استخدموهما لتنفيذ هذا الفيروس على عدة أنظمة، ذلك بنشره في أجهزة أخرى حاضنة انطلاقًا من نظام متصل بشبكة مخترقة. ‏‏وأطلق‏‏ ‏‏على‏‏ هذين الملفين التنفيذيين الداعمين للفيروس باسمي "حصان طروادة الناقل" و"حصان طروادة الناشر"، ويرجح أنه يجري تحميلهما على أحد الأنظمة المخترقة على الشبكة بهدف تحويله إلى نقطة مركزية لتوزيع الفيروس الماسح على أنظمة بعيدة. ‏
‏‏ ‏
‏‏و‏‏رغم أن هجمات "شمعون" الأخيرة كانت قد ‏‏شهدت‏‏ ‏‏استخدام‏‏ أداة "ديستراك" سيئة السمعة والمستخدمة في هجمات ‏‏"‏‏شمعون‏‏"‏‏ السابقة، ‏‏إلا‏‏ أن المهاجمين قد استخدموا أيضًا فيروس حصان طروادة ثان لتدمير بيانات على الأنظمة في الشبكات المستهدفة. كما يتضح استخدام المهاجمين لأسلوب مماثل في توزيع هذا الفيروس الماسح انطلاقًا من موقع مركزي على الشبكة المخترقة، وذلك باستخدام قائمة من أسماء أجهزة مضيفة لغرض نسخ الفيروس إلى أنظمة أخرى على الشبكة. ‏
‏‏ ‏
‏‏يستند الفيروس الماسح المرتبط بهجمات "شمعون 3" على التعليمات البرمجية ذاتها لأداة "سوبر ديليت" مفتوحة المصدر. ويمتلك هذا الفيروس القدرة فقط على الكتابة فوق محتوى الملفات وحذفها هي والمجلدات، كما يعتمد لأجل التنفيذ على حصاني طروادة، أحدهما ناقل والآخر ناشر. الرسالة الدينية ضمن الفيروس مثيرة للاهتمام لأنها تعمل كرسالة قد تشير إلى دوافع المهاجمين. ‏‏ونربط ‏‏احتمال استخدام هذا الفيروس الماسح في واقعة "شمعون 3" والتي دخل فيها فيروس "ديستراك" الذي استغل في الماضي ‏‏ل‏‏نشر صور سياسية ‏‏في ‏‏الملفات ‏‏المستهدفة ضمن ‏‏هجمات "شمعون" و"شمعون 2". ‏
‏‏ ‏
‏‏و‏‏يتمتع عملاء «بالو ألتو نتوركس» ‏‏بحماية ‏‏من هذا الفيروس المعدل ‏‏والمستمد ‏‏من أداة "سوبر ديليت". ‏

اشترك بالنشرةالإخبارية

اشترك بنشرة أخبار أريبيان بزنس لتصلك مباشرة أهم الأخبار العاجلة والتقارير الاقتصادية الهامة في دبي والإمارات العربية المتحدة ودول الخليج