نشر موقع شركة "blog.look" المتخصص بالبرمجيات والأمن الإلكتروني دراسة حول محاولات لما يُسمى الجيش الإلكتروني السوري التابع للنظام لنشر برامج وفيروسات خبيثة ومنها الفيروس التاجي الجديد "COVID-19 Lures" كأحدث إغراء لجذب أهدافه وتنزيل البرامج الضارة من خلاله.
ولفت الموقع في تقريره الذي كتبته "كريستين ديل روسو" إلى أن هذا الاكتشاف جاء بعد مراقبة طويلة الأمد للأجهزة الفاعلة في هذا المجال والمرتبطة بالنظام السوري، مشيرة إلى أن هذه الحملة بدأت منذ العام 2018 لتستهدف المستخدمين الناطقين باللغة العربية في سوريا والمنطقة المحيطة بها على الأرجح.
وحسب "روسو" فإن هذه التطبيقات الخبيثة لم تكن متاحة على متجر Google Play الرسمي، ما يشير إلى احتمال تزويد الجيش الإلكتروني السوري بها من قبل متاجر تطبيقات تابعة لجهات خارجية وينتحل المهاجمون مجموعة متنوعة من التطبيقات بعناوين مثل "Covid19" و"Telegram Covid_19" و "Android Telegram" و"Threema Arabic" (تطبيق مراسلة مشفر من طرف إلى طرف) للوصول إلى هدفهم، بالإضافة إلى الداعم إشارة الهاتف وتطبيق OfficeSuite.
وتشير أسماء الحزم أيضًا إلى الاستهداف السوري، بأسماء مثل "com. syria.tel" و"syria.tel.ctu" syriatel.ctu. com".
ولفتت كاتبة المقال وهي مهندسة في أبحاث الأمن الإلكتروني إلى أن باحثي Lookout اكتشفوا تطبيقًا خبيثًا من Android متصلًا بخادم الأوامر والتحكم (C2) نفسه ويقع عنوان IP لخادم C2 في كتلة من العناوين التي يحتفظ بها مزود خدمة الإنترنت Tarassul، وهو مزود خدمة الإنترنت المملوك لمؤسسة الاتصالات السورية الحكومية (STE) وهي المؤسسة التي تمتلك تاريخاً في استضافة البنية التحتية للجيش الإلكتروني السوري SEA (مجموعة اختراق تم تأسيسها 2013 وتعمل برعاية النظام)، وكان هذا الجيش قد أعلن مؤخراً على أحد حساباته على Twitter مسؤوليته هذا الشهر عن هجمات DDoS ضد وسائل الإعلام البلجيكية بالإضافة إلى تشويه مواقع PayPal وeBay في 7 نيسان أبريل الحالي 2020.
وحسب المصدر أبلغ باحثون في Lookout عن أن خوادم C2 الخاصة بـ SilverH awk، وهي عائلة من برامج ضارة تعمل بنظام Android وكانت موجودة على عناوين IP الخاصة بـ STE.
ولم يتم مسح جميع التطبيقات في هذه الحملة تمامًا من المعلومات الحساسة عند إنشائها، وظل جزء كبير من التطبيقات الضارة وهي عينات SpyNote، التي تخزن معلومات C2، جنبًا إلى جنب مع أسماء المستخدمين التي وأرقام الإصدارات والمعلومات الأخرى تم إدخالها في res / القيم / strings.xml . في ملفات strings.xml لهذه التطبيقات، ويشير 22 ملف APK إلى "Allosh" (علوش)، وهو اسم ارتبط بشخصية معروفة في الجيش الإلكتروني السوري.
وتعمل مؤسسة الاتصالات السورية (STE) كمزود خدمة إنترنت ومنظم للاتصالات السلكية واللاسلكية في مناطق سيطرة النظام، مما يوفر للحكومة سيطرة صارمة على البنية التحتية للإنترنت، علاوة على ذلك، يطلب من مزودي خدمات الإنترنت الثابتة والمتنقلة التوقيع على مذكرة تفاهم للاتصال بالإنترنت.
وتشرح الباحثة آلية الاختراق التي اتبعها الجيش الإلكتروني السوري فبعد تثبيت Covid19 الأصلي يخفي التطبيق الرمز الخاص به ويعرض فقط تطبيق Measure (قياس الدرجة) المثبت حديثًا موضحة أن التطبيق المثبت حديثًا (com.finger.body.temperature.ap) عبارة عن خدمة مقياس حرارة رقمي زائف يعمل بمثابة شرك.
وفي الوقت نفسه، تستمر البرامج الضارة في العمل في الخلفية، ولدى ضغط المستخدم على بصمة الإصبع في الشاشة يتم إبلاغه أن درجة حرارة جسمه هي 35 درجة مئوية ومن بين التطبيقات الخبيثة في هذه الحملة من 64 إلى 71 هي عينات SpyNote، وهي عائلة أدوات مراقبة تجارية معروفة. والباقي ينتمون إلى عائلات SandroRat وAndoServer وSLRat، ولم يتم الإبلاغ عن هاتين الأخيرتين علناً حتى الآن.
ولم تستبعد كاتبة المقال بالنظر إلى تاريخ الرقابة في سوريا وحملات المراقبة السابقة على الأجهزة المحمولة وأجهزة الكمبيوتر المكتبية أن تكون هناك حملة أخرى نشطة باستخدام برنامج Android للمراقبة التجارية AndroRat قبل تخصيصه ثم تطوير أدوات الهاتف المحمول الخاصة بهم.
وشركة Lookout التي تم تأسيسها في سان فرانسيسكو بالولايات المتحدة الأمريكية عام 2007 هي شركة خاصة بأمن وتكنولوجيا المعلومات تقوم بتطوير وتسويق برامج الأمان المستندة إلى مجموعة النظراء للأجهزة المحمولة.
جيش الأسد الإلكتروني ينشر فيروس "COVID-19 Lures" للدخول إلى حسابات المستخدمين السوريين والعرب
ينتحل المهاجمون مجموعة متنوعة من التطبيقات - جيتي
فارس الرفاعي - زمان الوصل
تعليقات حول الموضوع
لإرسال تعليق,الرجاء تعبئة الحقول التالية