بالو ألتو نتوركس: هجمات فيروس “ويند شيفت” تستهدف حكومات الشرق الأوسط
حذرت اليوم بالو ألتو نتوركس، الشركة المتخصصة في تطوير الجيل التالي من الحلول الأمنية، من قيام جهات معادية باستخدام فيروس ويند شيفتWINDSHIFTلشن هجمات تستهدف حكومات الشرق الأوسط.
وأشارت بالو ألتو نتوركس إلى أن الفيروس يستهدف أنظمة تشغيل ماك، وقد تمكنت الشركة من تحديد وربط أنشطة إضافية للجهة المهاجمة بعد التدقيق في سمات الملفات ومؤشرات البنية التحتية التابعة لها. بناء على ذلك،تستطيع الشركة الآن تقديم تفاصيل دقيقة عن هجوم “ويند شيفت” الذي يستهدف الهيئات الحكومية في الشرق الأوسط.
وقد جرى رصد نشاط فيروس “ويند شيف” من قبل شركة بالو ألتو نتوركس في الفترة الواقعة ما بين يناير ومايو 2018، إذ وقع الهجوم الأول مطلع يناير 2018 باستخدام نموذج من فيروس “ويند تايل”WINDTAIL (وهو من عائلة فيروسات الأبواب الخلفية الذي يستخدمها فيروس “ويند شيفت”) وهدفه عنوان داخلي تابع للهيئة الحكومية المستهدفة. وبعد تحليل لاحق، تمكنت بالو ألتو نتوركس من كشف عنوان خادم التحكم والقيادة الهجومي المؤازر للفيروس، وفي حين لم تكوّن الشركة أي رؤية معمقة عن طريقة نشر العدوى في تلك الحالة، إلا أن تكتيكات وأساليب وإجراءات الجهة المعادية توحي على نحو شبه مؤكد اتباع الجهة المعادية لأسلوب التصيد الاحتيالي الموجه.
بعيد المحاولة الأولى لنشر العدوى الفيروسية، جرى إطلاق عدة نماذج لفيروس “ويند تايل” من عنوان خارجي لاستهداف العنوان الداخلي ذاته التابع للجهة الحكومية في الفترة من يناير وحتى مايو 2018. وتموهت جميع نماذج فيروس “ويند تايل” على شكل حزم تطبيقات لنظام ماك مضغوطة في ملف من نوع zip، وهو سلوك متطابق مع تكتيكات وأساليب وإجراءات فيروس “ويند شيفت”.
لدى تحليل الهجوم بالتفصيل، كونت بالو ألتو نتوركس رؤية مهمة عن ماهية التكتيكات والأساليب والإجراءات التي تتبعها على أرض الواقع واحدة من المجموعات المعادية المعروفة. واستنتجت الشركة أن العنوان المملوك للمهاجمين يرتبط مع أنشطة جهة معادية أخرى تدعى “هانج أوفر. وبالإجمال فإن هذا الدليل يصب في تعزيز فرضية مجموعة من الباحثين الأمنيين بأن “عملية هانج أوفر” ونشاط فيروس “ويند شيفت” مرتبطان ببعضهما البعض على الأرجح.
وفي ضوء رصد اشركة بالو ألتو نتوركس لنماذج متعددة واردة من فيروس “ويند تايل” التي استهدفت عنوان بروتكول الانترنت الداخلي ذاته، يتجه تقدير الشركة إلى أن المهاجمين لم يتمكنوا من تأسيس موطئ قدم لهم ضمن البيئة المستهدفة.
ويمكن رؤية الدليل على ذلك في جدول نماذج الفيروسات المرصودة المبين أعلاه، حيث أن أسماء ملفات وترميز نماذج فيروس “ويند تايل” الواردة كانت قد تغيرت عدة مرات. وفي حين أن بالو ألتو نتوركس لا تستطيع تحديد الأسلوب الهجومي الذي اتبعته تلك النماذج بشكل حاسم، إلا أن تكتيكات وأساليب وإجراءات فيروس “ويند تايل” تشير إلى أنها كانت تعتمد على أسلوب التصيد الاحتيالي الموجه.
هذا يتمتع عملاء شركة “بالو ألتو نتوركس” بحماية من هذا التهديد.
