يقول الباحثون إنهم إكتشفوا برامج ضارة لم يسبق لها مثيل تعمل على مسح القرص وتتنكر في صورة برامج فدية حيث تطلق العنان لهجمات مدمرة على أهداف إسرائيلية.
تم نشر Apostle ، كما يطلق الباحثون في شركة الأمن SentinelOne على البرامج الضارة ، في البداية في محاولة لمسح البيانات لكنه فشل في القيام بذلك ، على الأرجح بسبب عيب منطقي في التعليمات البرمجية الخاصة به. الإسم الداخلي الذي أطلقه مطوروها على "عمل المساحات". في إصدار لاحق ، تم إصلاح الخطأ واكتسبت البرامج الضارة سلوكيات برامج الفدية الكاملة ، بما في ذلك القدرة على ترك ملاحظات تطالب الضحايا بدفع فدية مقابل مفتاح فك التشفير.
خط واضح:
في منشور نُشر يوم الثلاثاء ، قال باحثو SentinelOne إنهم قيموا بثقة عالية أنه بناءً على الكود والخوادم التي أبلغ عنها Apostle ، تم إستخدام البرنامج الضار من قبل مجموعة إكتشفت حديثاً لها علاقات مع الحكومة الإيرانية. في حين أن مذكرة رانسومواري التي إستعادها الباحثون تشير إلى أن Apostle قد تم إستخدامه ضد منشأة حرجة في الإمارات العربية المتحدة ، كان الهدف الأساسي هو إسرائيل.
ذكر تقرير يوم الثلاثاء "من الصعب إثبات إستخدام برامج الفدية كأداة تخريبية ، حيث من الصعب تحديد نوايا الفاعل المهدد". "يوفر تحليل برنامج Apostle الضار نظرة ثاقبة نادرة حول هذه الأنواع من الهجمات ، ويرسم خطاً واضحاً بين ما بدأ كبرنامج ضار ممسحة إلى برنامج فدية يعمل بكامل طاقته".
أطلق الباحثون على مجموعة القرصنة الجديدة إسم Agrius. رأى SentinelOne المجموعة تستخدم أولاً Apostle كممسحة للقرص ، على الرغم من وجود خلل في البرنامج الضار منعها من القيام بذلك ، على الأرجح بسبب خطأ منطقي في رمزها. ثم سقط Agrius مرة أخرى على Deadwood ، وهي ممسحة تم إستخدامها بالفعل ضد هدف في المملكة العربية السعودية في عام 2019.
إصدار Agrius الجديد من Apostle عبارة عن برنامج فدية كامل.
"نعتقد أن تنفيذ وظيفة التشفير موجود لإخفاء نيتها الفعلية - تدمير بيانات الضحية" ، جاء في منشور يوم الثلاثاء. "هذه الأطروحة مدعومة بنسخة مبكرة من الرسول أطلق عليها المهاجمون داخلياً إسم"عمل المساحات".
الرسول لديه رمز رئيسي يتداخل مع باب خلفي ، يسمى IPSec Helper ، يستخدمه Agrius أيضاً. يتلقى IPSec Helper مجموعة من الأوامر ، مثل تنزيل ملف قابل للتنفيذ وتنفيذه ، والتي يتم إصدارها من خادم التحكم الخاص بالمهاجم. تتم كتابة كل من Apostle و IPSec Helper بلغة .NET.
يستخدم Agrius أيضاً قذائف الويب حتى يتمكن المهاجمون من التحرك بشكل جانبي داخل شبكة مخترقة. لإخفاء عناوين IP الخاصة بهم ، يستخدم الأعضاء ProtonVPN.
تقارب للمساحات:
كان لدى المتسللين الذين ترعاهم إيران بالفعل ميل إلى مساحات القرص. في عام 2012 ، مزقت البرمجيات الخبيثة ذاتية التكرار شبكة أرامكو السعودية التي تتخذ من المملكة العربية السعودية مقراً لها ، وهي أكبر مصدر للنفط الخام في العالم ، ودمرت بشكل دائم محركات الأقراص الصلبة لأكثر من 30 ألف محطة عمل. حدد الباحثون في وقت لاحق دودة الماسحة باسم شمعون وقالوا إنها من صنع إيران.
في عام 2016 ، عاود شمعون الظهور في حملة إستهدفت عدة منظمات في المملكة العربية السعودية ، بما في ذلك عدة وكالات حكومية. بعد ثلاث سنوات ، إكتشف الباحثون ممسحة إيرانية جديدة تسمى ZeroCleare .
الرسول ليس أول ممسحة تتنكر في صورة برامج الفدية. NotPetya ، الدودة التي ألحقت أضراراً بمليارات الدولارات في جميع أنحاء العالم ، تنكرت أيضاً كبرنامج فدية إلى أن قرر الباحثون أن قراصنة تدعمهم الحكومة الروسية صنعوها لزعزعة إستقرار أوكرانيا.
قال الباحث الرئيسي في مجال التهديد ، خوان أندريس غيريرو- سعد ، في SentinelOne ، في مقابلة إن البرامج الضارة مثل Apostle توضح التفاعل الذي يحدث غالباً بين مجرمي الإنترنت ذوي الدوافع المالية والمتسللين على مستوى الدولة.
وقال: "النظام البيئي للتهديد يستمر في التطور ، حيث يطور المهاجمون تقنيات مختلفة لتحقيق أهدافهم". "نرى عصابات مجرمي الإنترنت تتعلم من مجموعات الدول القومية ذات الموارد الأفضل. وبالمثل ، فإن مجموعات الدول القومية تقترض من العصابات الإجرامية - متنكرين في هجماتهم التخريبية تحت ستار برامج الفدية مع عدم وجود مؤشر على ما إذا كان الضحايا سيستعيدون ملفاتهم مقابل الحصول على فدية ".
