برمجية الفدية الخبيثة (ثانوس) تُلحق أضراراً جسيمة بالمؤسسات الحكومية في الشرق الأوسط وشمال إفريقيا
أعلنت شركة بالو ألتو نتوركس اليوم عن تعرّض مؤسسات حكومية في الشرق الأوسط وشمل إفريقيا إلى أضرار جسيمة نتيجة برمجية الفدية الخبيثة ثانوس (Thanos).
وقد تمّ رصد برمجية ثانوس للمرة الأولى من قبل شركة “ريكورديد فيوتشر” المتخصصة بتوريد حلول الأمن الإلكتروني، وذلك في شهر فبراير من العام 2020، حيث تم الإعلان والترويج لبيع هذه البرمجية عبر منتديات الشبكة الخفية. وتتميز برمجية ثانوس باحتوائها على أداة إنشاء تتيح لمالكها إمكانية تخصيص عمل البرمجية وفقاً لمجموعة متنوعة من الإعدادات المتاحة. كما أن طرح برمجية ثانوس للبيع يشير إلى احتمالية استخدامها من قبل عدة جهات، وهو ما استطاعت شركة بالو ألتو نتوركس إثباته وبدرجة عالية من التأكيد، من خلال رصد استخدامها في هجمات استهدفت مؤسستين حكوميتين تقعان في منطقة الشرق الأوسط وشمال أفريقيا.
واستناداً لمؤشر القياس عن بُعد الخاص بشركة بالو ألتو نتوركس، ظهرت برمجية ثانوس لأول مرة في الـ 13 من يناير 2020، حيث تمكت الشركة من رصد أكثر من 130 عينة مختلفة منها منذ ذلك الحين. وفي الـ 6 والـ 9 من يوليو 2020، استطاعت بالو ألتو نتوركس رصد ملفات مرتبطة بهجوم استهدف مؤسستين حكوميتين تقعان في منطقة الشرق الأوسط وشمال إفريقيا، حيث تم تنصيب الملفات وتشغيل برمجية الفدية الخبيثة ثانوس. لكن الشركة تعتقد بأن الجهات التي تقف وراء هذه التهديدات تمكنت بالفعل من التسلل بشكل مسبق إلى شبكات هذه المؤسسات، فقد احتوت عينات البرمجية التي تم رصدها على بيانات اعتماد استطاعت الجهات المهاجمة سرقتها من الأنظمة العاملة على شبكة هذه المؤسسات قبل أن تقوم بنشر برمجية الفدية الخبيثة.
وقد تضمن هذا الهجوم بالذات الاستعانة بعدة طبقات من النصوص البرمجية للـ PowerShell، المبنية على لغة الـ C# وبرمجية الـ shellcode، وذلك كي يتمكنوا من تحميل برمجية ثانوس إلى الذاكرة، لتبدأ العمل بالتزامن مع إقلاع نظام التشغيل المحلي. وتستند هذه الطبقات من النصوص البرمجية بدرجة كبيرة على التعليمات البرمجية المتاحة مجاناً ضمن منظومات المصادر المفتوحة، مثل Sharp-Suite وDonut. ويشار إلى أن إحدى الطبقات تضمنت نصاً برمجياً من الـ PowerShell تنحصر مهمته على نشر برمجية ثانوس على امتداد باقي الأنظمة على الشبكة المحلية، وذلك باستخدام بيانات الاعتماد المسروقة التي ذكرناها سابقاً.
وبهذه المناسبة، قال روبرت فالكون، محلل التهديدات الأمنية لدى بالو ألتو نتوركس: “الجزء الأكثر إثارة للانتباه والاهتمام في هذه العينة من برمجية ثانوس، قيام الجهة المهاجمة بتهيئة البرمجية كي تتمكن من إعادة الكتابة على سجل الإقلاع الرئيسي، ما يشير إلى تبني هذه البرمجية منهجية أكثر ضرراً وتخريباً. كما أن مسح سجل الإقلاع الرئيسي سيعزز من صعوبة تتبع المستخدم لعمليات السجل، وذلك كي يتمكن من استعادة وظائف النظام”.
وقد تمكنت بالو ألتو نتوركس من تحليل عينة برمجية ثانوس هذه، التي تم تحميلها وتشغيلها من داخل الذاكرة، والتي قامت الجهات المهاجمة بتصميمها بشكل خاص لاستهداف المؤسسات الحكومية في منطقة الشرق الأوسط وشمال إفريقيا.
ويحظى جميع عملاء شركة “بالو ألتو نتوركس” بحماية كاملة ضد هذا النوع من الهجمات، وذلك بفضل محرك تحليل البرمجيات الخبيثة WildFire، الذي يقوم بتحديد وتعريف كافة العينات ذات الصلة على أنها برمجيات خبيثة، بالإضافة إلى منصة الكشف والاستجابة المتطورة Cortex XDR، التي تقوم بحظر الملفات الحاضنة لمكونات هذه البرمجية الخبيثة.