بقلم: فريق سيمانتك للتحقيق في الهجمات الإلكترونية
كان تسرب أدوات مجموعة Equation في عام 2017 من قبل مجموعة غامضة تطلق على نفسها اسم Shadow Brokers، أحد أهم قصص الأمن السيبراني في السنوات الأخيرة. وتعد مجموعة Equation من أكثر مجموعات التجسس مهارة من الناحية الفنية، وكان لإصدارها مجموعةً من أدواتها تأثيرٌ كبير، إذ اتجه العديد من المهاجمين إلى نشر البرامج الضارة واستغلالها. وقد استُخدمت إحدى تلك الأدوات – وهي: EternalBlue – في إحداث تأثير خطير خلال هجمات الفدية “وانا كراي” WannaCry في شهر أيار/ مايو 2017.
إلا أن شركة سيمانتك وجدت أخيرًا دليلًا على أن مجموعة Buckeye للتجسس الإلكتروني – المعروفة أيضًا باسم APT3 ،Gothic Panda – بدأت في استخدام أدوات مجموعة Equation في هجماتها قبل عام على الأقل من تسريبات مجموعة Shadow Brokers.
وبدأت مجموعة Buckeye في استخدام مجموعة متنوعة من DoublePulsar Backdoor.Doublepulsar من شهر آذار/ مارس 2016، وهي أداة باب خلفي أصدرتها في وقت لاحق مجموعة Shadow Brokers في عام 2017. وتُصاب الضحايا بـ DoublePulsar باستخدام أداة اختراق مخصصة تحمل اسم Trojan.Bemstour؛ صُممت خصيصًا لتثبيت DoublePulsar.
وتستغل Bemstour ثغرتين من ثغرات نظام التشغيل ويندوز في اختراق شفرة النواة الخاصة بالحاسوب المستهدف عن بعد. واكتشفت سيمانتك واحدة من هذه الثغرات الأمنية من نوع “زيرو داي” في نظام التشغيل ويندوز CVE-2019-0703. وقد أُصلحت ثغرة ويندوز الثانية CVE-2017-0143 في شهر آذار/ مارس 2017 بعدما اكتُشف استخدامها من قبل اثنين من أدوات الاختراق: EternalRomance، و EternalSynergy، اللتين أُصدرتا أيضًا كجزء من تسريبات مجموعة Shadow Brokers.
موضوعات ذات صلة بما تقرأ الآن:
وتسمح ثغرة “زيرو داي” بتسريب المعلومات، ويمكن استغلالها بالاقتران مع الثغرات الأخرى؛ للوصول إلى اختراق شفرة النواة عن بُعد.
وأبلغت شركة سيمانتك شركة مايكروسوفت عن الثغرة في شهر أيلول/ سبتمبر 2018، وقد صُححت في 12 آذار/ مارس 2019.
أما عن كيفية حصول مجموعة Buckeye على أدوات Equation قبل عام على الأقل من تسريبات Shadow Brokers، فلا يزال الأمر مجهولًا.
وكانت مجموعة Buckeye قد اختفت في منتصف عام 2017، واتُّهم ثلاثة من أعضائها في الولايات المتحدة في شهر تشرين الثاني/ نوفمبر 2017. ومع ذلك، ومع توقف النشاط المستخدم فيه أدوات Buckeye، المعروفة في منتصف عام 2017، واستمرت الأداة Bemstour، والمتغير DoublePulsar، الذي تستخدمه Buckeye في الاستخدام حتى شهر أيلول/ سبتمبر 2018 على الأقل بجانب برامج ضارة أخرى مختلفة.
تاريخ الهجمات:
بدأ نشاط المجموعة Buckeye عام 2009 على الأقل، عندما بدأت في شن سلسلة من هجمات التجسس، ضد المؤسسات التي تتخذ من الولايات المتحدة مقرًا لها.
وتمتلك المجموعة تاريخًا من استغلال ثغرات “زيرو داي” – بما في ذلك: CVE-2010-3962 – كجزء من حملة هجوم في عام 2010، و CVE-2014-1776 في عام 2014. ومع أنه قد أُبلغ عن هجمات أخرى من نوع “زيرو داي”، إلا أن سيمانتك لم تؤكدها. واعتمدت كل الهجمات، المعروفة أو المشتبه فيها – التي استغلت ثغرة “زيرو داي”، والتي قامت بها هذه المجموعة – على نقاط الضعف في متصفح “إنترنت إكسبلورر”، وتطبيق فلاش.
توقيت الهجمات:
وبدأت مجموعة Shadow Brokers في إطلاق أدوات نسبتها إلى مجموعة Equation في شهر آب/ أغسطس 2016، وفي البداية أطلقت بعض العينات من المعلومات التي بيديها، واعدة بتوفير المجموعة بالكامل لأعلى سعر. وعلى مدار الأشهر التالية، أصدرت المزيد من الأدوات تدريجيًا، حتى جاء شهر نيسان/ أبريل 2017 لتنشر المجموعة مجموعة كبيرة من أدوات القرصنة، بما في ذلك: الباب الخلفي DoublePulsar، وإطار العمل FuzzBunch، وأدوات استغلال الثغرات EternalBlue، و EternalSynergy، و EternalRomance.
ومع ذلك، كانت مجموعة Buckeye تستخدم هذه الأدوات بالفعل قبل عام على الأقل. وكان أقرب استخدام لأدوات مجموعة Equation من قبل مجموعة Buckeye في 31 آذار/ مارس 2016، أثناء هجوم على هدف في هونج كونج، وأرسلت المجموعة الأداة Bemstour للضحايا عبر البرمجية الخبيثة Backdoor.Pirpi الخاصة بالمجموعة، وبعد ساعة واحدة استُخدت الأداة Bemstour في مؤسسة تعليمية في بلجيكا.
وصُممت أداة Bemstour خصيصًا لتقديم مجموعة متنوعة من الباب الخلفي DoublePulsar. وبعد ذلك تُستخدم DoublePulsar لحقن حمولة ثانوية تُشغَّل في الذاكرة فقط. وتمكن الحمولة الثانوية المهاجمين من الوصول إلى الحاسوب المصاب، حتى بعد إزالة DoublePulsar. وتجدر الإشارة إلى أن الإصدارات السابقة لم تتضمن أي وسيلة لإلغاء تثبيت زرع DoublePulsar. وقد أُضيفت هذه الوظيفة في الإصدارات الأحدث.
ثم طُرح متغير محسن بدرجة كبيرة من أداة الاستغلال Bemstour في شهر أيلول/ سبتمبر 2016، عندما استُخدم في الهجوم على مؤسسة تعليمية في هونغ كونغ. وبينما كان المتغير الأصلي قادرًا فقط على استغلال أنظمة 32 بت، كان بإمكان المتغير الجديد استغلال أهداف 32 بت، و 64 بت، بالإضافة إلى دعمه للإصدارات الحديثة من نظام التشغيل ويندوز. وسمحت ميزة جديدة أخرى للحمولة الموجودة في المتغير الثاني للمهاجم بتنفيذ أوامر التحكم shell على الحاسوب المصاب. وصُممت هذه الحمولة المخصصة أيضًا للتحكم في نسخ الملفات، والتحكم في العمليات على الحاسوب المستهدف. وعند استخدامها ضد أهداف 32 بت، لا تزال الأداة Bemstour تُدخل الباب الخلفي DoublePulsar. أما في أهداف 64 بت، فإن الأمر يقتصر على تسليم الحمولة المخصصة فقط. وعادةً ما يستخدمه المهاجمون لتنفيذ أوامر shell، التي أنشأت حسابات مستخدمين جديدة.
واستُخدمت الأداة Bemstour مرة أخرى في شهر حزيران/ يونيو 2017 في هجوم على مؤسسة في لوكسمبورج. وعلى عكس الهجمات السابقة التي استخدمت فيها Bemstour عن طريق الباب الخلفي Pirpi من Buckeye، نُقلت أداة Bemstour إلى الضحية عن طريق أداة حصان طروادة مختلفة، وهي: Backdoor.Filensfer. ثم استُخدمت Bemstour في المدة التي بين حزيران/ يونيو وأيلول/ سبتمبر 2017، ضد أهداف في الفلبين وفيتنام أيضًا.
واستمر تطوير Bemstour حتى عام 2019. ويبدو أن أحدث إصدار من Bemstour، والذي رصدته سيمانتك، قد جُمع في 23 شهر آذار/ مارس 2019، بعد أحد عشر يومًا من تصحيح ثغرة “زيرو داي” عن طريق مايكروسوفت.
وكان الغرض من كل هذه الهجمات هو تحقيق وجود مستمر على شبكة الضحية، مما يعني أن سرقة المعلومات كانت الدافع الأكبر للهجمات.
أسئلة بلا إجابة:
هناك احتمالات متعددة لكيفية حصول مجموعة Buckeye على أدوات مجموعة Equation قبل تسريبات مجموعة Shadow Brokers. واستنادًا إلى توقيت الهجمات، وميزات الأدوات، وكيفية إنشائها، يتمثل أحد الاحتمالات في أن Buckeye قد صممت نسختها الخاصة من هذه الأدوات من الأثار الموجودة في حركة مرور الشبكة المخترقة، وربما من خلال مراقبة هجوم مجموعة Equation. وتشمل السيناريوهات الأخرى الأقل دعمًا – وبالنظر إلى الأدلة التقنية المتاحة – حصول Buckeye على الأدوات من خلال الوصول إلى خادم غير مؤمن – أو تأمينه ضعيف – تابع لمجموعة Equation، أو عن طريق أحد الأعضاء المنشقين عن مجموعة Equation أو حتى المنتمين لها مما سرب لها الأدوات.
ويحيط الغموض أيضًا بالاستخدام المتواصل لأداة الاختراق DoublePulsar بعد اختفاء Buckeye الظاهري. وقد يوحي هذا بأن Buckeye قامت بإعداد نفسها مرة أخرى بعد انكشاف أمرها في عام 2017، تاركةً كل الأدوات المعروفة المرتبطة بالمجموعة. وبصرف النظر عن الاستخدام المستمر للأدوات، لم تعثر سيمانتك على أي دليل آخر يشير إلى أن Buckeye عادت مرة أخرى. والاحتمال الآخر هو أن Buckeye نقلت بعض أدواتها إلى مجموعة أخرى ذات صلة.
