تكنولوجيا

المجموعة 5 : سوريا والعلاقات الإيرانية – سيتزن لاب – جامعة تورونتو

صورة تظهر جميع المجموعات الفاعلة في سوريا ومنها المجموعة5

بواسطة: جون سكوت ريلتون*، بحر عبد الرزاق*، آدم هولكوب*، مات بروكس*، و كاتي كليمولا **
* سيتيزن لاب (مدرسة مونك للشؤون العالمية، جامعة تورنتو) ، ** شركة Lookout.

هذا التقرير مترجم عن تقرير سيتزن لاب: Group5: Syria and the Iranian Connection

ملخص سريع

يَصف التقرير و يُحلل هجمة منظّمة بشكل متقن عبر استخدام برمجيات خبيثة ضد أهداف في المعارضة السورية، نُفّذت الهجمة باستخدام مجموعة واسعة من التقنيات لاستهداف أجهزة الكمبيوتر (ويندوز) والهواتف (أندرويد)، كان الهدف منها اختراق أجهزة الكمبيوتر الخاصة بأفراد لديهم اتصال جيد بالمعارضة السورية.

اكتشفنا الهجوم في أواخر عام 2015 عندما لمح أحد أفراد المعارضة السورية بريداً إلكترونياً مشبوهاً، يحتوي ملف عرض شرائح بوربوينت مرفق.
استطعنا من هذه الرسالة كشف موقع مليء بالبرمجيات الخبيثة، وملفات البوربوينت الخبيثة، و الفيروسات خاصة بالهواتف، جميعها -على ما يبدو- قد تم تصميمها لاستهداف أعضاء المعارضة.

كانت المعارضة السورية مستهدفة منذ الأيام الأولى في الثورة؛ من قِبل ” مجموعات هاكرز مرتبطة بالنظام، الجيش السوري الإلكتروني،و داعش، و جماعة مرتبطة بلبنان (نشرت FireEye تقريراً عنهم في عام 2015) ” وقد حاول جميعهم اختراق أجهزة واتصالات المعارضة،لا تزال بعض من هذه المجموعات ناشطة حتى وقت كتابة هذا التقرير.

ويضيف هذا التقرير تهديداً جديداً إلى القائمة. وقد قمنا بتسميتها (المجموعة 5)، لتعكس المجموعات الأربعة الاخرى المعروفة.

هجمة المجموعة 5 تختلف عن الهجمات التي سبق وأن نشرنا تقارير عنها، إذ إن بعض التكتيكات والأدوات لم تظهر مسبقاً في الحالة السورية؛ أصحاب العملية (المهاجمون) يبدو أنهم مرتاحون بالتعامل مع أدوات تستخدم اللغة الفارسية و شركات استضافة إيرانية , ويستخدمون أيضا عناوين IP تابعة لمزودات إنترنت إيرانية.

صورة تظهر جميع المجموعات الفاعلة في سوريا ومنها المجموعة5
صورة تظهر جميع المجموعات الفاعلة في سوريا ومنها المجموعة5

مثل الحرباء،أخذت المجموعة 5 نصوص من المعارضة وشعارات تم استخدامها في رسائل البريد الإلكتروني، وهذا دليل على امتلاكهم معلومات جيدة في الهندسة الاجتماعية ومعرفتهم بالأهداف، ولكن على صعيد آخر، فإن معلوماتهم التقنية والجودة الفنية منخفضة، ومعايير الأمن الشخصي تفاوتت بشكل كبير, وهذا الأمر هو سمة عامة مشتركة في العديد من الهجمات في السياق السوري؛ فالأمن منخفض جدا عند العديد من الأهداف، العديد من الجهات المهاجمة تنجح في الهجوم، إذ إن هذه الجهات لا تحاول تطوير تقنياتها (أو لا تملك القدرة).

نعتقد بأننا قد تعرّفنا على المجموعة 5 في فترة مبكرة من دورة حياتها، قبل أن يتم تجهيز جميع الفيروسات ونشرها ضمن حملة كاملة.

يشير تحليلنا أن المجموعة 5 قد تكون الوافد الجديد في سوريا.

نحن نظهر الأدلة التي تشير إلى العلاقة الإيرانية، ولكن لا نربط المجموعة 5 بجهة معينة (على الرغم من أن هناك شك بوجود مصلحة للنظام الإيراني)، بشكل أو بآخر.

المجموعة 5 هي إضافة جديدة إلى مجموعات من الجهات الفاعلة التي تستهدف المعارضة السورية، ودخول هذه المجموعة حيز الساحة السورية يظهر استمرار المخاطر على أمن المعلومات التي يواجهونها.

خلفية: الاستهداف الدائم للمعارضة السورية

شهد السوريون رصد وحجب اتصالاتهم الإلكترونية للعديد من السنوات، ونتيجة لذلك، تشكلت لديهم المعرفة الفنية بالشبكات الافتراضية (VPN) وباقي أدوات تجاوز الحجب وتحقيق جزء من الخصوصية. بعد ثورة 2011 قطع النظام خدمات الاتصالات في العديد من المناطق التي تسيطر عليها جماعات المعارضة، ما أدى إلى انتشار أجهزة الاتصال الفضائي، وغالباً عبر أجهزة VSAT؛ مثل Tooway و iDirect, وأيضاً استخدام قليل لأجهزة BGAN.

في الوقت ذاته، ازدادت نشاطات المعارضة خارج البلد بشكل كبير، سواء في دول الجوار كتركيا، أو في الشتات، وكثير من هذه النشاطات كانت تتم عبر شبكات التواصل الاجتماعي، وحسابات البريد الإلكتروني مثل Gmail (وايضاً Google Apps for Work)، وكذلك عبر برامج التواصل الصوتية مثل سكايب.

حدّ هذا الانتقال من فعالية التقنيات التي يستخدمها نظام الأسد لحجب المواقع والمراقبة، وبالتالي حّد من قدرة النظام على مراقبة المعارضة.

مع ذلك، خلق هذا الانتقال إلى الشبكات الاجتماعية، وباقي الأدوات المتوفرة فرصاً جديدة للنظام لاستهداف المعارضة. إذ يتبادل أعضاء المعارضة -باستمرار- المعلومات من ملفات وأدوات وتطبيقات عبر الشبكات الاجتماعية. هذه الشبكة المترابطة تسمح لهم بالحصول الفوري على آخر مستجدات الأحداث، والحصول على الموارد عند الطلب. إضافة إلى ذلك، فإن هناك عددا من الخدمات عبر الإنترنت محجوبة أو مقيدة، مثل متجر Google Play. ونتيجة لهذا ظهرت ثقافة لتبادل ملفات تنصيب التطبيقات APK.

الاعتماد الكبير على الشبكات الاجتماعية وتبادل الملفات الدائم، خلق الكثير من الفرص لتوليد ونشر ملفات خبيثة. بالنسبة للنظام، فإن الهجمة الناجحة تعني استعادة القدرة على معرفة نشاطات المجموعات داخل سوريا، والتي يمتد انتشارها في دول الجوار. وبالنسبة للمجموعات الأخرى (مثل داعش) فالثغرة لدى المعارضة تشكل فرصة لتطوير القدرة ضد اتصالات المعارضة.

يبين القسم التالي العديد من هذه الجهات المعروفة.

جماعات مرتبطة بالنظام

الجهة الأكثر شهرة، والتي تستهدف الثورة السورية هي”الجيش السوري الإلكتروني” (SEA). و الكثير من أهدافهم هي منظمات غربية، كما يحاولون الاستمرار بإجراء هجمات ذات ظهور غير معلن ضد المعارضة. هذه المجموعات بدأت بالعمل منذ عام 2011، واستخدمت الكثير من المنتجات الجاهزة، وبرامج التحكم عن بعد (RAT) لاستهداف المعارضة. عادةً ما تقوم هذه المجموعات بدمج ملف الفيروس مع مستند نص أو برنامج يُستخدم من قبل المعارضة. عبر السنوات تضمنت عناوين هذه الهجمات كل شيء قد يهم المعارضة؛ بدءاً من “خطط ثورية” و “قائمة بالمطلوبين” وانتهاء ببرامج التشفير والحماية الوهمية. تم كشف هذه الحملات عبر تقارير من “سيتزن لاب” ومنظمة EFF وشركات خاصة مثل “تريندميكرو” و”كاسبرسكي”. هناك مجموعة كبيرة من التقارير وثقت هذه الحملات المرتبطة بالنظام على مر السنين.

الجماعات الموالية للنظام خارج سوريا

هناك أيضاً دليل على مجموعات موالية للأسد خارج سوريا تشترك في حملات الاختراق ضد المعارضة السورية. ومن الجدير بالذكر، أن هناك مجموعة تم ذكرها في تقرير لـ FireEye في عام 2015 (بالتعاون مع أحد كتّاب التقرير الحالي)، إذ استخدمت صور شخصية لنساء لإرسال ملفات اختراق لشخصيات بارزة في المعارضة السياسية، و جهات الإغاثة، والجيش السوري الحر، وفصائل من المعارضة المسلحة. و قد أسفرت هذه الهجمة عن استخلاص أكثر من 31,000 محادثة، والكثير من المعلومات الحساسة حول خطط و أنشطة وتحركات هذه الجهات. استخدمت هذه المجموعة أيضاً مواقع تعارف وهمية وحسابات تواصل اجتماعية لدعم خططها في الخداع.

الجماعات المرتبطة بتنظيم داعش

على جانب آخر من السياق السوري، قام Citizen Lab بتوثيق عملية اختراق مرتبطة بتنظيم داعش ضد مجموعة “الرقة تذبح بصمت” في عام 2015. تنكّر منفذو هذه العملية على أنهم مجموعة من المتعاطفين مع “الرقة تذبح بصمت” و أنهم متواجدون في كندا؛ إذ استخدموا ملفاً ادعوا بأنه يحتوي مواقع تواجد تنظيم داعش، وأماكن الضربات الجوية الأمريكية داخل سوريا. ولكن الملف فعلياً كان يضم فيروساً معدّلاً يقوم بجمع وإرسال معلومات من الجهاز المصاب. وخلص التقرير إلى أن هناك أدلة ظرفية قوية تربط بين هذه الهجمة، وبين أعضاء تنظيم داعش.

الكثير من المجموعات، تكتيكات متماثلة

لكل مجموعة من هذه المجموعات تكتيكات وتقنيات وإجراءات مختلفة. ومع ذلك، فإن أغلب هذه الهجمات لا تستخدم الثغرات الأمنية، بل تعتمد على الهندسة الاجتماعية، والخداع لإقناع الأهداف بتحميل وفتح الملفات الخبيثة، على أنها ملفات مفيدة.

قد يعكس هذا ضعف هذه المجموعات تقنياً؛ فعلى سبيل المثال، يبدو أن المجموعات المرتبطة بالنظام لديها مهارات وموارد تقنية محدودة جداً، إذ تعتمد بشكل شبه كامل على برمجيات التحكم عن بعد ( RATs ) بالإضافة إلى الهندسة الاجتماعية. هذه التقنيات قد تطورت ولكنها لم تتحسن بشكل جذري منذ عام 2011. وفي مثال آخر، كالمجموعة المرتبطة بـ لبنان (المذكورة في تقرير FireEye)، كان لأصحاب هذه الحملة وصول لتقنيات أكثر تطوراً، لكنهم لم يستخدموها نظراً للقدرات التقنية المحدودة لدى المعارضة السورية.

القسم 1: اكتشاف المجموعة 5

يصف هذا القسم رسائل البريد الإلكتروني التي نبهتنا أول الأمر إلى وجود هجوم يستهدف المعارضة السورية في أكتوبر 2015.

في الثالث من أكتوبر، وصل إلى نورا الأمير؛ و هي شخصية معروفة في المعارضة السورية، و عضو وفد مفاوض سابق، و نائب الرئيس السابق للائتلاف الوطني السوري لقوى الثورة والمعارضة، رسالة الكترونية(١). ادعت الرسالة أنها من منظمة توثيق انتهاكات حقوق إنسان تدعى “جرائم الأسد”. المرسل قام باستخدام العنوان البريدي [email protected][.]info, وادعى أنه يقوم بمشاركة معلومات عن “الجرائم الإيرانية”، وهذا موضوع مألوف لأشخاص كثر في المعارضة.

الشكل 1: نورا الأمير، ونائب الرئيس السابق للائتلاف الوطني السوري. ناشطة من حمص-سوريا. نورا كانت معتقلة وتم تعذيبها في الفروع الأمنية السورية سيئة السمعة، وتم نقلها لاحقاً إلى سجن عدرا في دمشق وذلك قبل أن تغادر البلاد. اليوم نورا عضو هيئة سياسية في الائتلاف الوطني السوري، وتعمل على توثيق انتهاكات جرائم الحرب التي ارتكبت أثناء الثورة. تم استخدام اسمها ضمن معلومات تسجيل اسم النطاق assadcrimes.info
الشكل 1: نورا الأمير، ونائب الرئيس السابق للائتلاف الوطني السوري. ناشطة من حمص-سوريا. نورا كانت معتقلة وتم تعذيبها في الفروع الأمنية السورية سيئة السمعة، وتم نقلها لاحقاً إلى سجن عدرا في دمشق وذلك قبل أن تغادر البلاد. اليوم نورا عضو هيئة سياسية في الائتلاف الوطني السوري، وتعمل على توثيق انتهاكات جرائم الحرب التي ارتكبت أثناء الثورة. تم استخدام اسمها ضمن معلومات تسجيل اسم النطاق assadcrimes[.]info

من المثير للاهتمام, أنه قد تم استخدام اسم نورا من أجل تسجيل اسم النطاق assadcrimes[.]info, وذلك بالإضافة للعديد من المعلومات الكاذبة الأخرى ( الأسباب التي نعتقد أنها الدافع لاستخدام اسمها موجودة في القسم 6: تحليل الفرضيات)

إضافة إلى عنوان الرسالة، والنص المختصر، كان البريد الالكتروني يحتوي على ملف عرض شرائح بوربوينت (PowerPoint) كمرفق. عندما يتم فتحه، يعرض شرائح وصور.

البريد 1: الرسالة الأولية (الفيروس الأول)

في الثالث من أكتوبر، وصل لـ نورا الأمير رسالة إلكترونية، تحتوي على أول فيروس.

البريد 1

بعد فحص معلومات الرسالة، تم اكتشاف أن الرسالة قد أرسلت من عنوان آي بي 88.198.222.163 وهو نفس العنوان الذي يتصل به الفيروس، ويتم عن طريقه التحكم بالأجهزة واستخلاص المعلومات (انظر: القسم 3: فيروسات ويندوز)

Assadcrimes.ppsx

MD5 : 76F8142B4E52C671871B3DF87F10C30C

التواصل مع المهاجم

نورا التي اعتادت على التهديدات الرقمية، تعرفت على أن البريد الذي وصلها هو بريد مشبوه، وبناء على تعليماتنا، قامت بالتواصل مع المهاجم على نفس البريد الإلكتروني، وذلك على أمل أن نحصل على المزيد من الفيروسات.

رسالة نورا الامير:

رسالة نورا الامير

البريد 2: رد المهاجم (الفيروس الثاني)

بعد وقت قصير قام المهاجم بإرسال ردّ يضم ملف جديد، تم إرساله عبر برنامج البريد الإلكتروني (RoundCube):

رد المهاجم

لا نعلم ما هو سبب عدم وجود أي نص في الرسالة الإلكترونية الثانية، من الممكن أن يكون قد تم إرسال الرسالة بشكل غير مقصود قبل الكتابة، أو قد يكون المهاجم غير مرتاح للكتابة باللغة العربية.

Assadcrimes1.ppsx

MD5 : F1F84EA3229DCA0CCACB7381A2F49F99

محتويات الطُعم: سوريا وإيران في عرض شرائح بوربوينت

ملفات عرض الشرائح بوربوينت (assadcrimes.ppsx و assadcrimes1.ppsx) قد احتويا على مجموعة من الصور والنصوص العربية، تضم رسوم كرتونية، وصور تشرح أحداث سياسية حساسة، كالاعتداءات التي شنتها إيران ضد المملكة العربية السعودية، وكذلك بعض المعلومات عن الثورة السورية. تضم هذه الملفات أيضاً لمحة تاريخية عن “هجمات” إيران وغيرها من الأحداث في المملكة العربية السعودية.

الشكل 2: لقطة شاشة من إحدى الشرائح تظهر الهجوم الإيراني ضد مصنع البتروكيماويات في عام 1984. عند تشغيل الملف، يتم تحميل الفيروس على جهاز الضحية، تم تحليل هذه الفيروسات في القسم 3: فيروسات ويندوز.
الشكل 2: لقطة شاشة من إحدى الشرائح تظهر الهجوم الإيراني ضد مصنع البتروكيماويات في عام 1984.
عند تشغيل الملف، يتم تحميل الفيروس على جهاز الضحية، تم تحليل هذه الفيروسات في القسم 3: فيروسات ويندوز.

القسم 2: موقع جرائم الأسد

أنشأت المجموعة 5 موقع (assadcrimes[.]info) بحيث يتم استخدامه كفخ وبؤرة لفيروسات الويندوز وهواتف الأندرويد. يشرح هذا القسم الملفات المختلفة الموجودة على الموقع.

بعد الرسالة الإلكترونية الأولى, بدأنا بمراقبة الموقع المرتبط بالبريد الإلكتروني assadcrimes[.]info. عندما وصل البريد الالكتروني (3 أكتوبر 2015) لم يكن الموقع يعمل بشكل كامل. وفي غضون بضعة أيام, (11 أكتوبر 2015) تم استبدال الصفحة الرئيسية بصفحة تظهر “جرائم بشار الأسد” كعنوان, ويضم محتواها مقالات تنتقد بشار الأسد. المحتوى الموجود في الصفحة تم أخذه من مدونة معارضة للنظام, وأيضاً صور من مواقع اخرى. المدونة المذكورة تم إنشاؤها من أجل طل الملوحي, -المعروفة كأصغر معتقلة رأي-. المدونة الأصلية كانت تعمل من قبل انطلاق الثورة السورية.

الشكل 3: لقطة شاشة من الموقع تم أخذها في أبريل 2016.
الشكل 3: لقطة شاشة من الموقع تم أخذها في أبريل 2016.

قبل وقت قصير من نشر هذا التقرير، كان الموقع يعرض رسالة تظهر انتهاء مدة الحجز، و يبدو أن المالك قد اختار عدم تجديد اسم النطاق.

المجموعة 5: التحضير والاستهداف
المجموعة 5: التحضير والاستهداف

فيروس على الموقع (الفيروس 3)

استطعنا أثناء مراقبة الموقع تحديد عدة مجلدات تقوم بتحميل ملف فيروس آخر بشكل تلقائي (assadcrimes.info.ppsx). يبدو أن هذه الروابط مصممة لأنواع أخرى من الهندسة الاجتماعية، ربما قد تكون كطعم آخر مشابه للطعم الذي تم استهداف نورا الأمير به. ملف assadcrimes.info.ppsx متعلق بالقضية السورية، مع صور ورسوم كرتونية تم أخذها من مواقع وشبكات اجتماعية من الإنترنت.

الشكل 4: شريحة من الملف assadcrimes.info.ppsx
الشكل 4: شريحة من الملف assadcrimes.info.ppsx

عندما يتم تشغيل الملف، يصاب الجهاز بدون أية رسالة خطأ أو تنبيه (انظر: القسم 3: فيروسات ويندوز)

Assadcrimes.info.ppsx

MD5 : 30BB678DB3AD0140FC33ACD9803385C3

الشهداء الأطفال (الفيروس 4)

وجدنا في مجلد آخر على الموقع عدة صفحات html، وعند فتحها تقوم بتحميل ملف خبيث اسمه “alshohadaa alatfal.exe”. وعند تشغيل هذا الملف، يحمّل الملف صوراً من الموقع assadcrimes[.]info، هذه الصور هي من الهجوم الكيميائي على الغوطة، وفي الوقت ذاته، يصيب الجهاز بفيروس.

الشكل 5: يظهر لقطة شاشة من "alshohadaa alatfal.exe" وهو يعمل.
الشكل 5: يظهر لقطة شاشة من “alshohadaa alatfal.exe” وهو يعمل.

الفيروسات من الموقع تم وصفها في القسم 3: فيروسات ويندوز

alshohadaa alatfal.exe

MD5 : 2FC276E1C06C3C78C6D7B66A141213BE

فيروس أندرويد

أثناء فحص الموقع assadcrimes[.]info، استطعنا أيضاً تحديد فيروس خاص بالهواتف التي تعمل بنظام تشغيل أندرويد، إذ يتم تقديمه عبر صفحة “تحديث مشغل فلاش أدوبي”. قمنا بوصف هذا الفيروس بالتفصيل في القسم 4: فيروس هواتف اندرويد.

adobe_flash_player.apk

MD5 : 8EBEB3F91CDA8E985A9C61BEB8CDDE9D

القسم 3: فيروسات ويندوز

استخدمت المجموعة 5 -أو كانت تحضّر لاستخدام- مجموعة من الفيروسات في هذه العملية، بدءاً من ملفات بوربوينت التي تستخدم ثغرة في البرنامج لتنفيذ ملف الفيروس مباشرة. التحليل الكامل لفيروساتهم موجود في الملحق أ: تحليل فيروسات ويندوز.

ملف بوربوينت الخبيث

لاحظنا في الرسائل البريدية التي أرسلتها المجموعة 5 إلى نورا من قبل وجود مرفقات؛ مثل ملفات بوربوينت تستخدم تقنيتين مختلفتين:

  1. تنفيذ كائنات OLE عبر استخدام “تأثيرات التحريك” داخل عرض الشرائح.
  2. استخدام الثغرة CVE-2014-4114 لتنفيذ كود خبيث.

في ملف assadcrimes.ppsx قام المهاجم بتضمين كائن OLE داخل عرض الشرائح. عندما يتم عرض تأثيرات التحريك يتم تنفيذ كائن الـ OLE -وهذه التقنية قد تم شرحها مسبقاً – (للمزيد من التفاصيل, انظر: الملحق أ: الملف 1 وأيضاً الملحق أ: الملف 3). وفي هذه الحالة، يطلب من المستخدم إن كان يرغب بتشغيل الكائن.

الشكل 6: في وضعية التعديل، يظهر ملف الفيروس التنفيذي بداخل عرض الشرائح. النقر مرتين على ملف عرض الشرائح لن يظهر الفيروس للمستخدم.
الشكل 6: في وضعية التعديل، يظهر ملف الفيروس التنفيذي بداخل عرض الشرائح. النقر مرتين على ملف عرض الشرائح لن يظهر الفيروس للمستخدم.

في ملف assadcrimes1.ppsx أنشأ المهاجم ملف بوربوينت يستغل الثغرة CVE-2014-4114 وهي ثغرة في مكوّن كائنات OLE في نظام تشغيل ويندوز. (انظر: الملحق أ: الملف 2)

التطبيقات الوهمية (تطبيقات الخداع)

أنشأ المهاجم أيضاً تطبيقاً وهمياً ، و حمّله على موقع assadcrimes[.]info ؛ حيث يعرض التطبيق صوراً لأطفال من الهجوم الكيميائي على غوطة دمشق. و عندما يتم فتح التطبيق فإنه يصيب الجهاز بالفيروس (انظر: الملحق أ: الملف 4)

المجموعة 5: تقنيات الفيروسات المستخدمة
المجموعة 5: تقنيات الفيروسات المستخدمة

فيروسات التحكم عن بعد (RATs)

استخدم المهاجمون هذه التقنيات بهدف إصابة الأجهزة بنوعين من فيروسات التحكم عن بعد (RAT)؛ الأول هو njRAT، والثاني هو NanoCore. في الحالتين، أضافت المجموعة 5 عدة طبقات من الشويش، بما فيها التشفير والتجميع. وذلك من أجل الحد من إمكانية كشفها عبر برامج مضادات الفيروسات.

يقدم كل من برنامجي التحكم عن بعد المذكورين مجموعة كبيرة من الوظائف والخدمات، مثل الوصول للملفات و مشاهدة الشاشة عن بعد، والوصول لكلمات السر، وتسجيل ما يتم كتابته على لوحة المفاتيح. بالإضافة إلى التجسس على الكاميرا والميكروفون.

الشكل 7: لقطة شاشة من njRAT يعمل، وتظهر نافذة لملفات الجهاز المصاب.
الشكل 7: لقطة شاشة من njRAT يعمل، وتظهر نافذة لملفات الجهاز المصاب.

التعرف على الفيروسات

في 26 تموز 2016 أجرينا بحثاً على موقع VirusTotal عن الـ MD5 الخاص بالملفات التي واجهتنا في العملية. النتائج الموجودة في الملحق ث: معرّفات الملفات (Hashes)، تظهر لنا أن ملفين فقط من أصل 16 (12.5%) موجودين على الموقع. مما يؤكد أن العملية مركّزة ومستهدفة لأشخاص محددين.

القسم 4: فيروس هواتف أندرويد

أثناء فحص موقع assadcrimes[.]info توصّلنا إلى أن الموقع يحتوي على صفحة تحديث لمشّغل فلاش وهمية. هذه الصفحة الموجودة على نطاق فرعي, تحتوي على رابط لتحميل ملف APK خبيث.( التحليل الكامل لهذا الفيروس، انظر الملحق ب: فيروس هواتف أندرويد).

أثناء فحص الموقع، وجدنا أن المهاجمين قد أعدوا فيروساً لهواتف أندرويد، متنكر كتحديث لبرنامج أدوبي فلاش. وعند النقر على رابط “تحديث” (انظر الشكل 8) يتم تحميل ملف ضارّ متنكر على أنه تحديثٌ لبرنامج.

الشكل 8: لقطة شاشة من عنوان النطاق الفرعي الذي تم استخدامه لاستضافة التحديث الوهمي لبرنامج فلاش بلاير
الشكل 8: لقطة شاشة من عنوان النطاق الفرعي الذي تم استخدامه لاستضافة التحديث الوهمي لبرنامج فلاش بلاير

ملف التنصيب هو نسخة من برنامج DroidJack. ووفقاً لشركة سيمانتيك فإن هذا الفيروس قد تطور من برنامج قديم معروف باسم SandroRAT. تقدم أداة التحكم عن بعد هذه مجموعة واسعة من الوظائف، إذ تتيح للمهاجم الحصول على الرسائل و جهات الإتصال و الصور والملفات الموجودة على الجهاز. كما يسمح البرنامج بالوصول وتشغيل الكاميرا والميكروفون، وذلك دون تنبيه الضحية. (الشكل 9 يظهر بعض هذه الوظائف).

الشكل 9: لقطة شاشة تظهر قائمة بوظائف برنامج DroidJack.
الشكل 9: لقطة شاشة تظهر قائمة بوظائف برنامج DroidJack.

يمكن مراجعة التحليل الشامل لفيروس DroidJack في الملحق ب: فيروس أجهزة أندرويد. ومن المثير للاهتمام أن DroidJack قد تم استخدامه مؤخراً في نسخة من لعبة Pokémon Go

الطريقة التي استخدمها المهاجمون لنشر الفيروس -مع أنها مرهقة- إلا أنه من المفترض تحقق نجاحاً أكبر مع المستهدفين السوريين، أكثر مما لو كانت مع أهداف أخرى. إذ إنه من الشائع لدى السوريين مشاركة ملفات التنصيب للبرامج من خارج متجر Google Play، وذلك بسبب أن خدمات غوغل غير متوفرة في سوريا. وقد انتقلت هذه الممارسات مع انتقال الأشخاص إلى خارج سوريا، -رغم وجود خدمات غوغل- . نتيجة لذلك، نتوقع أنه قد تم تعيين معظم أجهزة الهواتف لقبول ملفات تنصيب من مطورين غير معروفين.

القسم 5: الإسناد

تركت المجموعة 5 العديد من الأدلة التي تشير إلى هويتهم و مصدرهم؛ كالأدوات التي استخدموها، وأماكن استضافة الموقع، ومركز التحكم والقيادة، وطريقة دخولهم للموقع. و من الجدير بالذكر، استخدام المجموعة 5 نسخة مخصصة من أداة تشويش إيرانية.

هذا القسم يقدم لمحة عامة عن الأدلة التي تركتها المجموعة 5 على الموقع، و داخل الفيروسات.

أولاً، قمنا بتحليل سجلات الدخول التي تركها المهاجم على موقع assadcrimes[.]info عن طريق الخطأ. هذه السجلات ليست فقط لزوار الموقع، بل تضم كذلك عناوين IP و معرفات المتصفحات (UserAgent) التي تعود للمهاجم أثناء دخوله للموقع خلال فترة التجهيز. هذه السجلات تقدم أدلة مثيرة للاهتمام حول هوية المهاجم، والممارسات الأمنية التي يستخدمها، مثل استخدام شبكات افتراضية وهمية (VPN) والتي تشير إلى علاقة إيرانية قوية.

ثانياً، لاحظنا استخدام المجموعة 5 لأدوات مكتوبة باللغة الفارسية، كبرنامج إرسال الرسائل، و برنامج التشفير. في النهاية قمنا بتحليل الملفات، “Mr.Tekide” هو اسم تكرر في الملفات الخبيثة. قمنا بربط هذا الاسم بمبرمج إيراني،عمل على تطوير سلسلة من أدوات البرمجيات الخبيثة، والعديد منها مستخدم في هذه العملية. إضافة إلى ذلك قمنا بفحص الأدلة الظرفية التي تربط المبرمج بنشاطات المجموعة 5.

السجلات غير المحمية

تركت العديد من المجلدات على موقع assadcrimes[.]info مفتوحة للزوار، ومنها مجلد يحتوي سجلات الدخول للموقع، و هي ميزة يبدو بأن المجموعة 5 قد فعّلتها في بدايات العملية. يعود تاريخ هذه السجلات إلى بداية تطوير الموقع، وعمله، وتكشف أدلة هامةً عن هوية المهاجم وممارساته الأمنية.

بعد معالجة السجلات وحذف المدخلات الخاصة بعناكب محركات البحث (Google, Bing, Yandex وآخرون)، فحصنا السجلات للحصول على أدلة عن الضحايا، ولكننا لم نستطع التأكد بشكل كامل من وجود عناوين للضحايا.

تحديد المهاجم من سجلات الموقع

على الرغم من أن السجلات لم تقدم أدلة قوية عن الضحايا، لكنها أثبتت أنها مفيدة جداً في الكشف عن عناوين IP التي تم استخدامها من قبل المجموعة 5 أثناء تطويرهم للموقع. وعبر فحص أول السجلات، والتي يعود تاريخها إلى 11 تشرين الأول 2015، وأثناء تطوير الموقع نلاحظ أن المهاجم يقوم بالدخول للموقع كل ساعة عبر عنوان IP من إيران.

الشكل 10: لقطة شاشة من سجلات 11 تشرين الأول 2015 تظهر عناوين IP, وإحالة من موقع hostnegar[.]com
الشكل 10: لقطة شاشة من سجلات 11 تشرين الأول 2015 تظهر عناوين IP, وإحالة من موقع hostnegar[.]com

أول زيارة للموقع أتت من عنوان 37.137.131.70 والتابع لمجموعة مسجلة تحت اسم “Rightel Communication”، وهي شركة هواتف نقالة إيرانية.

inetnum:        37.137.128[.]0 – 37.137.255[.]255
netname:        RighTel
descr:          “Rightel Communication Service Company PJS”
country:        IR
admin-c:        RP12366-RIPE
tech-c:         RP12366-RIPE
status:         ASSIGNED PA
mnt-by:         TA59784-MNT
created:        2013-08-20T11:13:17Z
last-modified:  2014-05-17T05:28:10Z
source:         RIPE
person:         RighTel PJS
address:        9th floor, Chooka Building, No 8 , west Armaghan Street, Vali-e-Asr Street (After Niayesh Highway), Tehran, Iran
phone:          + 982127654530
nic-hdl:        RP12366-RIPE
mnt-by:         TA59784-MNT
created:        2014-05-17T05:23:47Zlast-modified:  2014-05-17T05:23:47Z
source:         RIPE

ولتأكيد العلاقة أكثر، نلاحظ أن عمليات دخول المهاجم قد تضمنت تحويلا من موقع شركة استضافة إيرانية hostnegar[.]com (الشكل 10).

الشكل 11: صفحة تسجيل الدخول لشركة Hostnegar’s
الشكل 11: صفحة تسجيل الدخول لشركة Hostnegar’s

بمتابعة المهاجم عبر قيم معرف المستخدم UserAgent (نسخة من Windows NT 6.3), وعناوين الـ IP. وجدنا أنهم يدخلون للموقع عبر هاتف آيفون، من عناوين إيرانية أخرى، بالإضافة لاستخدام VPN.

الشكل 12: معرّف المستخدم الخاص بصاحب الموقع، يدخل الموقع من عناوين إيرانية، و VPN.
الشكل 12: معرّف المستخدم الخاص بصاحب الموقع، يدخل الموقع من عناوين إيرانية، و VPN.

إضافة لذلك قام المهاجم بالدخول للموقع مباشرة من المخدّم الخاص بمركز التحكم والقيادة (88.198.222.163)

الشكل 13: معرّف المستخدم الخاص بصاحب الموقع يدخل للموقع من مركز التحكم والقيادة, و VPN.
الشكل 13: معرّف المستخدم الخاص بصاحب الموقع يدخل للموقع من مركز التحكم والقيادة, و VPN.

هذه الروابط تقدم دليلاً على ارتباطٍ إيراني، وتشير إلى أن المهاجم قد حاول اتخاذ خطوات لإخفاء عنوان الـ IP الأصلي الخاص به. إلا أن هذه الخطوات لم يتم تنفيذها بشكل جيد، مما جعلنا قادرين على تتبع المجموعة 5 أثناء دخولهم للموقع

من المثير للاهتمام أنه بعد موجة من النشاط خلال شهر تشرين الأول 2015، وخلال شهري تشرين الثاني و كانون الأول، قام المهاجم بدخول الموقع 7 مرات فقط، و خلال كانون الثاني وشباط 2016 دخله مرتين فقط (من الممكن أن يكون قد غاب عنا بعض النشاطات والتي ظهرت على أنها زيارات طبيعية). وبناء على هذا، استنتجنا أن المجموعة 5 قد تراجعت عن الموقع في مرحلة ما في بدايات العام الجديد.

برنامج إرسال الرسائل باللغة الفارسية

قبل أن يحتوي موقع assadcrimes[.]info على محتوى مخادع، اكتشفنا بأنه يستضيف برنامجاً مكتوباً باللغة الفارسية لإرسال الرسائل الالكترونية (انظر: الشكل 14). لكننا لم نكن قادرين على تحديد ما إن تم استخدامه من قبل المجموعة 5، إذ إنه لم يظهر في الرسائل الإلكترونية التي تمكنّنا من تحليلها.

الشكل 14: لقطة شاشة من برنامج الإرسال، كما ظهر في 4 تشرين الأول 2015
الشكل 14: لقطة شاشة من برنامج الإرسال، كما ظهر في 4 تشرين الأول 2015

الارتباطات بجهات خطرة معروفة

يبدو أن المجموعة 5 قد استخدمت مزود استضافة واحد للموقع، واستخدمت كذلك مركز تحكم وقيادة واحد من أجل هذه العملية. نحن غير متأكدين ما إن كان هذا الأمر هو نتيجة محدودية الموارد، أو هو محاولة لتحييد أو فصل هذه العملية عن النشاطات الأخرى، أو إن كانت ببساطة هي عملية مستهدفة ومركزة على هدف معين.

البنية التحتية الضيقة والعدد القليل من الأهداف أدى إلى الحد من إمكانية البحث عن تقاطعات مع مجموعات أخرى. و كتقييم شامل للحملة، فقد فشلنا في تحديد صلات مع التكتيكات والتقنيات والإجراءات التي تتخذها مجموعات أخرى في سوريا. ولم ننجح كذلك في إيجاد صلة في عمليات البحث في قواعد بيانات البرمجيات الخبيثة ومصادر البحث المفتوحة.

على مستوى التكتيكات والتقنيات والإجراءات، ظاهرياً هناك تشابه بين هذه المجموعة وبين مجموعات ناشطة أخرى في إيران؛ المجموعة التي تم توثيقها مراراً من قبل شبكات Palo Alto,، والتي أسموها “Infy” معروفة باستخدامها ملفات بوربوينت في هجماتها، على الرغم من أننا لم نعثر على أي ترابط أو تداخل في البنية التحتية لكلتي المجموعتين.

علاوة على ذلك،فإن استهداف “Infy” (بناء على ما قالته شبكات Palo Alto) يختلف قليلاً عن المجموعة 5، إذ إنهم يستخدمون ملفات بوربوينت 97-2003 (وليس ملفات PPSX) وفي نفس الفترة كانت المجموعة 5 تستخدم تكتيكاً مختلفاً.

لا يمكننا أن نستبعد احتمال أن يكون هناك مجموعة معروفة خلف هذه العملية، وأنه غاب عنا، أو أننا افتقرنا إلى الجزء الرئيس من الأدلة التي من شأنها أن تربط هذه المجموعة بالمجموعة 5 من خلال البنية التحتية أو الأدوات. الاتجاه المثير للاهتمام بالمزيد من التحقيق هو استخدامهم أداةً لتشفير ملفات الفيروسات، والتي أسفرت عن العديد من الروابط مع أدوات و جهات خطرة معروفة. بشكل واضح : نلاحظ أداة تشفير PAC Crypt و “Mr. Tekide” الاسم الوهمي لمبرمج فيروسات إيراني.

أداة تشفير الملفات PAC Crypt

من الشائع استخدام التشفير في حملات الفيروسات؛ المشفّرات (crypters) ؛و هي برامج مصممة لإخفاء الكود المصدري لملف الفيروس، إذ تخفيه ضمن طبقات من التشويش، ويتم فك تشفير هذا التشويش أثناء تشغيل الفيروس. وبهذه الطريقة يؤمن تشفير الفيروسات طبقة من الحماية ضد وسائل الحماية القائمة على “التوقيع الرقمي” كالوسائل الموجودة في مضادات الفيروسات. في الملحق (أ) قمنا بكشف سلسلة من المتغيرات تشير إلى أنه قد تم إنشاء ملفات التجسس عبر njRAT و NanoCore ومن ثم تمت إضافة التشفير والتشويش في وقت لاحق باستخدام أداة PAC Crypt

كشف التفتيش الدقيق أن عملية بناء تطبيق التشفير في هذه الحالة قد تم في وضع التحليل “debug mode” و أدت إلى الحفاظ على معلومات ملف PDB المرجعية؛ ملفات PDB المرجعية شائعة في تطبيقات .NET التي تم بناؤها تحت خيار التنقيح، وهي غالباً ما تكشف المسار المستخدم على جهاز المبرمج، والذي كان يضم الشيفرة المصدرية المستخدمة أثناء البرمجة.

في الجدول أدناه توجد المتغيرات التي تم اكتشافها أثناء دراسة ملفات njRAT و NanoCore المشفرة.

الجدول 1

تظهر متغيرات الـ PDB نقطتين مرتبطتين في نقاش الإسناد؛ الأولى هي اسم المستخدم الذي قام بإنشاء برنامج الـ .NET المستخدم للتشفير وهو “mr.tekide”،و الثانية هي أنه لا يظهر فقط اسم برنامج التشفير المستخدم “PAC Crypt” بل يظهر أيضاً إشارات واضحة إلى برامج التجسس المستخدمة “nano core” و أيضاً “njrat”.

هاتان الحقيقتان مجتمعتين، تظهران أن الشخص الذي يستخدم اسم المستخدم “mr.tekide” قام بإنشاء نسخة من “PAC Crypt” لمشروعين محددين، يحتويان على njRAT و NanoCore RAT.

سيناريو الاستخدام الشائع لبرمجيات تشفير الفيروسات، هو أن يشتري المهاجم نسخة جاهزة من برنامج التشفير (أو يستخدم نسخة مقرصنة)، ثم يستخدم برنامج التشفير من أجل تشويش نسخة الفيروس التي سيتم نشرها. في هذا السيناريو، لا يعلم مبرمج برنامج التشفير ما هي الملفات التي سيتم تشفيرها في نهاية المطاف باستخدام برنامج التشفير الخاص به.

حقيقة إن ملفات PDB المرجعية المكتشفة في “PAC Crypter” تحتوي على كلمات “njrat” و “nano core” تشير إلى إمكانية معرفة مسبقة بالملفات الخبيثة التي سيتم تشفيرها باستخدام البرنامج.

كشف البحث أن أداة التشفير PAC Crypt قد تم تطويرها وبيعها من قبل مبرمج فيروسات إيراني معروف باسم “Mr. Tekide”.

Mr. Tekide

الاسم Mr. Tekide ؛ اسم مستعار لمبرمج إيراني وهو المسؤول عن موقع crypter[.]ir ؛ وهو منتدى اختراق إيراني و متجر على الإنترنت. من الجدير بالذكر أن هذا الموقع يقدم العديد من الخدمات والأدوات الخاصة بالاختراق، بما في ذلك أداة “PAC Crypt” (انظر الشكل 15 أدناه).

الشكل 15: الصفحة الرئيسية لموقع Crypter[.]ir (يمين) وصفحة اتصل بنا (يسار).

إضافة إلى المنتدى والمتجر على crypter[.]ir, يبدو أن Mr. Tekide في خضم إنشاء موقع جديد لبيع أدواته وخدماته الخاصة بالاختراق. تظهر المحتويات في (الشكل 16 أدناه) ، (تم الحصول عليها من موقع crypting[.]org ) تظهر “خدمات تحكم عن بعد” للزوار. يقدّم هذا المتجر أيضاً خدمات “RootKit” لويندوز (قريباً) والعديد من “الثغرات الأخرى”.

الشكل 16: الصفحة الرئيسية لموقع crypting[.]org (يمين) وصفحة خدمات الاختراق (يسار).

يحافظ Mr. Tekide على ظهور و مشاركة دائمة كمسؤول في منتديات Ashiyane؛ وهي منتديات أمن إيرانية، يتم تشغيلها من قبل “فريق Ashiyane للأمن الرقمي” (اختصاراً ADST). فريق ADST هو فريق أمني إيراني ومجموعة اختراق معروفة، اكتسبت سمعة سيئة بسبب نشاطاتها في الاختراقات. هذه الاختراقات تحتوي دائماً على قائمة المهاجمين، وجملة “نحن نحب إيران”

اختراقات المواقع التي تمت من قبل ADST قامت بتسمية Mr. Tekide كعضو, كما هو مبين في (الشكل17 ) أدناه.

الشكل 17: صفحة اختراق لفريق Ashiyane للأمن الرقمي، تذكر اسم Mr. Tekide.
الشكل 17: صفحة اختراق لفريق Ashiyane للأمن الرقمي، تذكر اسم Mr. Tekide.

إضافة إلى نشاطاتهم في الإختراق، فإن فريق ADST قد تم ربطه مؤخراً بحادثة من قبل وزارة العدل الأمريكية عن سبع أشخاص إيرانيي الجنسية، مسؤولين عن هجمات رقمية ضد القطاع المالي الأمريكي، في الحادثة زعمت وزارة العدل في لائحة الاتهامات أن هناك أعضاء من جهتي أمن إيرانيتين، ITSecTeam وشركة مرصد، كانوا مسؤولين عن هجمات الحرمان من الخدمة (DDoS) ضد العديد من المواقع الإلكترونية التابعة لبنوك أمريكية بين أيلول 2012 وأيار 2013. و قد وصفت وزارة العدل شركة مرصد أنها تأسست على أيدي أفراد من فريق ADST, وقد قام فريق ADST كذلك بإصدار بيانات عامة تتبنى هذه النشاطات بالنيابة عن الحكومة الإيرانية.

المزيد من المعلومات عن Mr. Tekide موجودة في الملحق ت: Mr. Tekide.

الظهور الإيراني الواضح

لا يمكننا أن نتيقن من صحة استنتاجنا القائل بأن المجموعة 5 هي موجودة في إيران، بالرغم من أن كل المعلومات المذكورة أعلاه تشكّل حالة ظرفية؛ عناوين ال IP التي لاحظناها خلال فترة التطوير الأولى لموقع جرائم الأسد Assadcrimes ، فضلاً عن مزود الاستضافة الإيراني، وبرنامج إرسال الرسائل المكتوب بالفارسية، كلها تشير إلى الظهور الإيراني الواضح. والاشتراك الواضح من قبل مطور البرمجيات الخبيثة الإيراني والمعروف بارتباطه بجهات اختراق معروفة، سواء كان تورطه عن قصد أو عن غير قصد، لكن وجوده يعزز الارتباط الإيراني.

القسم 6: تحليل الفرضيات

في هذا القسم يتم تقييم عدّة فرضيات تتنافس لشرح هوية المشغّل (المهاجم)، و لا يمكننا الجزم بواحدة من هذه الفرضيات،إذ نعتقد بأنه من المعقول أن تكون هذه العملية تابعة لجماعة إيرانية نشطت حديثاً في سوريا.

نعتقد أننا وجدنا المجموعة 5 في وقت مبكر من عملية تحضيرهم لعملية حملة برمجيات خبيثة، وذلك بفضل يقظة نورا الأمير، هذه اليقظة أتاحت لنا رؤية فريدة من نوعها لتحضيراتهم، ولكن كانت رؤيتنا محدودة عن أهداف محتملة أخرى. إلا أن اعتماد المجموعة 5 على بنية ضيقة، حد من قدرتنا على ربط العملية بمجموعات أخرى، كما ذكرنا سابقاً.

مع أخذ هذه القيود والمحاذير بعين الاعتبار، فقد قمنا بتحديد العناصر المعروفة في العملية و تقديم عدة افتراضات: (الافتراض الأول) أنها مجموعة إيرانية تنشط مؤخراً في سوريا، (الافتراض الثاني) أن هذه العملية هي من المجموعات المعروفة بارتباطها بالنظام كمجموعات الفيروسات السورية، (الافتراض الثالث) أنها مجموعة أخرى غير معروفة. و بعد معالجة كل الفرضيات و إجراء تقييم شامل لها، نخلص إلى أن الفرضية الأولى توفر أفضل تفسير لما لاحظناه.

الفرضية الأولى: مجموعة إيرانية تنشط مؤخراً في سوريا

مجموعة غير مبلّغ عنها مسبقاً في سوريا، لديهم مهارات متفاوتة، لكن تظهر تفكير واعتناء في اختيار الهدف و التحضير للعملية، مع وجود علاقة إيرانية، وارتباط محتمل بالحكومة.

لم تشاهد مسبقاً في سوريا

لم نستطع أن نجزم بوجود تداخل أو تقاطع في البينة التحتية أو الفيروسات مع مجموعات مبّلغ عنها مسبقاً. و قد واجهنا صعوبات كذلك في ربط العملية مع مجموعات عالمية أخرى. علاوة على ذلك، فإن استخدام الثغرات وبرنامج DroidJack و أدوات أخرى لا يتفق مع التكتيكات والتقنيات والإجراءات التي تقوم بها المجموعات المعروفة التي تستهدف المعارضة السورية عادةً، خاصة المجموعات المرتبطة بالنظام. أظهرت المجموعة 5 معرفة أو رغبة في :

  • الاستمرار في عمل مواقع تغذية الفيروسات المتعددة الأوجه.
  • استهداف مستخدمي أندرويد.
  • استخدام الثغرات في ملفات بوربوينت

تميل المجموعات المبّلغ عنها مسبقاً -خاصة المجموعات المرتبطة بالنظام- إلى إعادة استخدام البنية التحتية، وتعيد استخدام نفس الأدوات والمنهجيات، وسيكون تخليهم فجأة عن التكتيكات التي ما تزال تعمل أمراً مستغرباً جداً، والتوقف كذلك عن استخدام مراكز تحكم وقيادة لا يمكن إيقافها (كونها تعمل من داخل سوريا).

بينما التكتيكات التي استخدمتها المجموعة 5 تشترك في كثير من القواسم المشتركة مع مجموعة تم التبليغ عنها في تقرير FireEye؛ كاستخدام مواقع وهمية و استخدام برمجيات فيروسات .NET جاهزة، وفيروسات هواتف أندرويد، وعدم وجود تداخل في الأدوات أو البنية التحتية، ووجود دلائل محدودة عن الهندسة الاجتماعية (مثل استخدام الصور الشخصية).

علاوة على ذلك، فإن انعدام تطور تقنياتهم، إضافةً إلى مستويات منخفضة من الأمن التشغيلي، يشير إلى أن هذه المجموعة قد كانت فاعلة سابقاً لفترة ما، وكان من الممكن أن تكون عرضة لخطر الاكتشاف، لا سيما في ضوء جميع التقارير الحالية حول المجموعات الموالية للنظام في سوريا.

التطور التقني غير المتكافئ

أظهر المشغّلون معرفةً بمجموعة من أدوات الجريمة الإلكترونية، لكن ارتكبت المجموعة جملة من الأخطاء الأمنية التشغيلية؛ مثل ترك سجلات الدخول مفتوحة، و الدخول عبر مركز التحكم والقيادة، وترك متغيرات التنقيح في الملفات التي تم بناؤها. تتنافى هذه الخصائص (أو الصفات) مع جهود وقدرات حكومية داخلية.

الارتباط الإيراني

كشفت عملية تحليل الفيروس وتوزيعه عن وجود إيراني ثابت؛ المتغيرات التي تحتوي على آثار إيرانية، وإيرانية -فارسية، مثل الأدوات المستخدمة في التشفير، والمعروفة في منتديات الجرائم الإلكترونية الإيرانية، وأيضاً بشكل مشابه برنامج إرسال الرسائل الذي اكتشف على موقع assadcrimes[.]info قد تمت كتابته بالفارسية، هناك أيضاً تكهنات -لكنها غير مثبتة- بأن برنامج التشفير قد تم بيعه إلى المجموعة 5 من قبل مبرمج فيروسات إيراني، وعلاوة على ذلك، فإن سجلات الدخول إلى موقع assadcrimes[.]info تكشف أن المهاجمين يعملون من ضمن نطاق عناوين الانترنت الإيرانية، وأيضاً ملفات البوربوينت تحتوي على موضوعات إيرانية. وأخيراً فإن مزود خدمة الإستضافة (Hostnegar) هو إيراني، والنقطة الأخيرة من الأدلة الظرفية القوية، هي أن ملفات البوربوينت المستخدمة ،والتي تحتوي على الثغرات قد ظهرت مسبقاً كميزة مبلّغ عنها في تقارير نشرت مؤخراً عن حملات إيرانية.

تطور الاستهداف

لم تستهدف المجموعة 5 شخصاً ذو صلات قوية بالمعارضة السورية و حسب، بل وقامت باستخدام معلوماتها الشخصية لحجز اسم النطاق assadcrimes[.]info. يشير الموقع والمحتوى الموجود فيه إلى معرفة باهتمامات المعارضة ونشاطاتهم، واختيار الهدف يدل على أنهم كانوا يستهدفون شخصاً رئيسياً في المعارضة السياسية والمفاوضات المتعددة الأطراف، ولكنه غير مرئي خارج الدوائر المطلعة. اللافت للنظر أن اختيار الهدف هو مؤشر على مصالح ترقى لمستوى الدولة، أو لجهة ما تقوم بتوجيه أو إعطاء معلومات للمجموعة 5. هناك عدد من الحكومات والجهات الفاعلة تقوم بتقديم دعم مباشر، أو غير مباشر لنظام الأسد. نناقش هذه الاحتمالات بمزيد من التفصيل أدناه في تقييم الفرضيات.

الفرضية الثانية: مجموعة معروفة مرتبطة بالنظام

مجموعة معروفة بارتباطها بالنظام، غيّرت تكتيكاتها لتعمل ضد أهداف مألوفة.

الأهداف المألوفة

تأتي التهديدات الأكثر توثيقاً ضد المعارضة السورية من مجموعات مرتبطة بالنظام، وبشكل خاص مجموعات البرمجيات الخبيثة، والجيش السوري الإلكتروني -بدرجة أقل- . تستفيد هذه الجماعات من الروابط مع نظام بشار الأسد، والذي لديه مصلحة قوية ومباشرة في رصد أعضاء المعارضة السورية، ومنهم الأهداف في هذه العملية. ونحن على دراية بعمليات سابقة من قبل مجموعات مرتبطة بالنظام تم تنفيذها ضد نفس المنظمات.

تعديل التكتيكات

لا يمكننا استبعاد احتمال أن المجموعات الحالية -و باستمرار الصراع- قد قامت بإضافة مجموعة من التكتيكات والتقنيات والإجراءات لعملها الحالي.

بالتأكيد لدى المجموعات المرتبطة بالنظام الدافع لتنفيذ العملية، ولكن هل لديهم المهارات اللازمة لإجراء هذه العملية؟ هناك مجموعة من المزايا في هذه العملية تشير إلى أن المجموعة 5 قد لا تكون مجموعة مرتبطة بالنظام؛ أولاً: تميل المجموعات المرتبطة بالنظام إلى استخدام عدد محدود من مراكز التحكم والقيادة، ودائماً ما تستخدم مركز تحكم (أو مركز احتياطي) موجود ضمن سوريا، بينما المجموعة 5 لا تمتلك مركز القيادة هذا، وبالمثل، فإن المركز الذي استخدمته المجموعة 5 لم يكن من الشركات المرتبطة بالنظام السوري، ولم يكن هناك أي دليل مسبق على أن الجماعات المرتبطة بالنظام قد استخدمت أدوات مكتوبة باللغة الفارسية، أو عناوين IP إيرانية.إضافة لذلك، كانت المجموعات السورية فاعلة منذ حوالي 5 سنوات دون أي دليل على معرفة بالتعامل مع ثغرات في ملفات بوربوينت PPSX. من غير الواضح لماذا قد يستخدمون الكثير من الأساليب الجديدة بوقت واحد، بالرغم من أنهم يقومون بتكرار استخدام التقنيات المألوفة لديهم.

مجموعات أُخرى تركّز على سوريا؟

ذكرنا في المقدمة مجموعتين أخريين من المجموعات التي استهدفت المعارضة السورية : مجموعة متخفية مرتبطة بلبنان كشف عنها في 2014 ، و عملية مرتبطة بداعش في 2015 . كنا قد وصفنا المجموعة الأولى في تقرير ل FireEye في 2015، تمت كتابته بمشاركة أحد كتّاب هذا التقرير، إذ قامت بحملة واسعة ضد المعارضة السورية، اعتمدت الحملة بشكل كبير على نساء متحدثات باللغة العربية لمغازلة شخصيات من المعارضة و خداعهم من أجل تحميل برمجيات خبيثة على أجهزة الويندوز أو هواتف أندرويد. و بكل الأحوال فقد اختلفت تلك الحملة من حيث أدوات البرمجيات الخبيثة و بنيتها التحتية و شكل الهندسة الاجتماعية عن المجموعة 5 . إضافة إلى أنها تفتقر إلى أي عنصر من عناصر اللغة الفارسية و غير متصلة بأي عنوان IP إيراني.

في أواخر عام 2014 نُشر تقرير لـ Citizen Lab -شارك أحد كُتّاب هذا التقرير فيه- قام بتحديد البرمجيات الخبيثة المرتبطة بداعش، و التي استهدفت “الرقة تذبح بصمت” ؛ وهي مجموعة توثيقية إعلامية تعمل على كشف انتهاكات حقوق الإنسان في الرقة و مناطق سيطرة داعش . تلك البرمجيات الخبيثة -كانت على ما يبدو- مصممة تحت الطلب و لكنها كانت بسيطة . هذا الفيروس، كان فيما يبدو مصمم بشكل مخصص ولكن ليس على درجة عالية من التعقيد. إذ إنه لا يحوي وظائف ال RAT ، أو الاختراق عن طريق البريد الالكتروني، كانت العملية بشكل أساسي أقل تعقيدا من نشاطات المجموعة 5، نظن أنه من غير الممكن أن يكون المهاجم خلف البرنامج الخبيث قد قام بـ :

  1. تطوير قدراته .. أو ..
  2. البدء في الاعتماد على أدوات و شركات استضافة إيرانية.

الفرضية الثالثة: مجموعة أخرى غير معروفة

جماعة مجهولة، غير موجودة في إيران، وليست على صلة بالجماعات السابقة.

من الممكن أن تكون هذه العملية من عمل مجموعة أخرى غير معروفة. الاحتمال الذي ندرسه هو أن تكون العملية هي عملية تعمل تحت “علم مزيف” من دولة ممولة أخرى، وأُنشئت عمداً كي تبدو كمجموعة إيرانية، بشكل آخر إننا ننظر أيضا إلى دوافع أخرى معروفة لعمليات مشابهة، بما في ذلك الجرائم المالية.

العَلم المزيف

بالتأكيد تهتم العديد من الحكومات الأخرى بالمعلومات عن المعارضة السورية. بالنظر إلى الأدلة الظرفية القوية الموجودة في جميع جوانب هذه العملية، والتي تشير إلى جماعة مقرها إيران؛ الاحتمال الذي ندرسه أن يكون المهاجمون قد تنكروا كمجموعة إيرانية، في الوقت الذي يعملون فيه لصالح طرف حكومي آخر.

في مثل هذا السيناريو فإن كل جزء من الأدلة الظرفية التي جمعناها هو جزء من سلسلة من الأدلة المزروعة عمداً، و التي تهدف إلى تشتيت النظر عن هوية المهاجم الحقيقية. هذه الفرضية مثيرة للاهتمام، ولا يمكن استبعادها، ومع ذلك يجب أن نسأل لماذا؟ آخذين بعين الاعتبار أن ضجيج المجموعات التي تستهدف المعارضة السورية لن يتم ملؤه ببساطة عبر عملية “علم مزيف”، مع الأخذ بالعلم كمية التقارير المعلنة عن الارتباطات والأدوات المرتبطة بجماعات مؤيدة للنظام. فإننا نتساءل بالمقابل؛ لماذا يتمتع مهاجم بكل هذه المهارات المتطورة و لم يستخدم ملفات خبيثة أكثر تطوراً، أو تقنيات نشر أفضل.

اختراقات اقتصادية/تجارية

لم نجد أي دليل يشير إلى أن العملية هي جريمة مالية، أو مؤامرة اقتصادية. العملية مركزة بشكل ضيق، والاستهداف على سبيل المثال لا يبدو على أنه موجه ضد أفراد أثرياء، أو من الذين لديهم إمكانية الوصول إلى موارد مالية ضخمة.

تقييم الفرضيات

لدينا ثقة جيدة تقول بأن أفضل فرضية هي الفرضية الأولى؛ مجموعة إيرانية نشطت حديثاً في سوريا. إذ إن عملية المجموعة 5 تظهر ارتباطات إيرانية قوية، ومؤشرات قليلة تربطها بمجموعات سابقة مبلّغ عنها (بما في ذلك جماعات مرتبطة بالنظام السوري). وبما أنه كان لدينا نظرة محدودة للأهداف نتيجة لتصميم العملية، فهناك تحذير هام بأن هذا التحليل قد يتغير.

نعتقد أيضاً أن المجموعة 5 تظهر مؤشرات على وجود توجيهات حكومية، لكن ليس لدينا ما يكفي من الأدلة لربط المجموعة 5 بحكومة معينة. ويبدو أن الاحتمالات المرجحة هي :

  1. أن المجموعة 5 تعمل تحت إمرة أو توجيه من جهة حكومية داخل إيران، أو مع جهة متعاطفة مع هذه الجهة، عبر تلقي ومشاركة المعلومات معهم.
  2. المجموعة 5 تعمل بالتعاون مع -أو بالنيابة عن- جهة حكومية داخل سوريا لأسباب أيديولوجية، أو كعميل مأجور.

كلتا الحكومتين -السورية والإيرانية- لا تتحاربان في الصراع السوري، وكلتاهما لديهما مصلحة قوية في الوصول إلى اتصالات المعارضة السورية.

الحكومة الإيرانية ظهرت كمؤيد قوي للنظام طوال فترة الصراع، و لديها -بشكل واضح- مصلحة في معرفة وإفشال المناورات السياسية للمعارضة السورية. ووفقا لما تم نشره، فإن أجهزة الاستخبارات والأجهزة الأمنية الإيرانية قد قدّمت دعماً عسكرياً واستخباراتياً للنظام السوري، تتراوح ما بين القوات المحاربة والتدريب، وصولا إلى قدرات مراقبة إلكترونية، على الأقل فإن المهاجمين الموجودين في إيران لن يواجهوا أية عقوبات من حكومتهم بسبب العمل ضد المعارضة السورية. وخاصة بأن مثل هذه العمليات قد توفر معلومات عن المعارضة السورية لعناصر في الحكومة الإيرانية، وتسمح لهم باستباق النقاش ونقاط الحوار خلال المفاوضات المتعددة الأطراف ، والكثير من المزايا الأخرى.

المهم أنه لا يوجد أي دليل على اتصال المجموعة 5 بالحكومة الإيرانية، ولا يوجد دليل لاستبعاد إمكانية أن المهاجمين يقيمون في إيران، ولكن يعملون بالنيابة عن النظام السوري.

الجزء الأكثر حيرةً من النشاط الذي نلاحظه، هو أن تلك العملية قد تم التحضير لها بشدة، وعلى ما يبدو أنها توقفت بعد الزرع الأولي للملفات الخبيثة. جاء هذا التوقف بعد وقت ليس بالطويل من بداية مهاجمة نورا الأمير؛ استمر تطوير الموقع لفترة بعد تلقيها رسالة البريد الإلكتروني الأولية ومن ثم أغلق.ربما هاجمت المجموعة 5 نورا الأمير مبدئياً على أمل الاستفادة من موقعها الجيد من حيث التواصل واستغلال هويتها الالكترونية لمهاجمة الآخرين في المعارضة السورية. ستفسر سرقة هويتها الإلكترونية لماذا تم استخدام اسمها في موقع WHOIS[.]info لجرائم الأسد ولماذا لم تتلق الحملة أي عمل جديد بعد الفشل في استهداف نورا الأمير، ومن ثم تم التخلي عن البنية التحتية نهائياً.

التفسيرات الأخرى لتوقف النشاط محتملة -ولا نستطيع اعتبارها مبنية على أدلة محدودة- أنه ربما خضعت المجموعة 5 لتحويل في تركيز أهدافها، كون حملتها قد أطلقت ومن ثم قد تم إهمالها، أو أنها واجهت مشاكل في الموارد البشرية أو مشاكل سياسية، أو بشكل أبسط خلصت لنتيجة أن العملية تستخدم تقنية غير مجدية.

الاستنتاج

عندما رصدت المعارضة السورية نورا الأمير الرسالة المشبوهة وامتنعت عن الضغط على الرابط، فإنها قد أحبطت خدعة موضوعة بإحكام . ونحن نتوقع أنها قد استهدفت بهدف سرقة هويتها الإلكترونية بهدف إعداد حملة أكبر. بالبدء بهذه الرسالة المبدئية، نحن قادرون على التعرف ووصف المجموعة 5 ، على ما يبدو أنهم قد دخلوا اللعبة حديثاً.

مع التعرف على المجموعة 5 ، فإن عدد العمليات المعروفة بشكل عام أنها هاجمت المعارضة بواسطة البرمجيات الخبيثة ارتفع إلى خمسة على الأقل؛ مجموعات مرتبطة بالنظام (مجموعات البرمجيات الخبيثة السورية والجيش السوري الالكتروني)، المجموعة اللبنانية، داعش والمجموعة 5 الأخيرة. نظن أن التفسير الأكثر إقناعاً لنشاطات المجموعة 5 هو أنه هناك مجموعة في إيران -ربما- كانت تحاول أن تحصل على اتصالات المعارضة. هذه الأدلة الحالية والتي تشير إلى مجموعة إيرانية ليست مفاجئة، بالأخذ بعين الاعتبار تورط إيران العسكري النشط في سوريا، وتعاطف العديد من هذا البلد مع نظام الأسد.

أيا يكن، بالتنبه لمحدودية تحقيقنا، نتحفظ عن إعطاء تصريحات استنتاجية حول ارتباطات تتعلق بهوية المشغلين أو الجهات المحتمل رعايتها لهم، ونأمل أنه بنشر هذا التقرير وتبادل المؤشرات سيكون عملنا مفيداً لباقي الباحثين الذين ربما يتمكنون من رؤية قطعة من الأحجية التي لم نتمكن منها.

على الرغم من تنوع المجموعات التي تستهدف المعارضة السورية، إلا أنها تتشارك في خواص عامة؛ ضعف أو تفاوت التمرس التقني، بالإضافة إلى هندسة اجتماعية جيدة وأهداف محددة جيداً. هذه العناصر مميزة لمعظم هجمات البرمجيات الخبيثة و لعمليات التصيد التي استهدفت المعارضة السورية خلال السنوات العدّة الماضية.

يعكس الاستهداف المستمر ودخول مجموعات جديدة ضعفاً في الأمن الإلكتروني للمعارضة السورية، وبشكل أعم المخاطر التي تواجهها المجموعات عند استخدام المنصات المشهورة على الإنترنت للمشاركة في النشاطات السياسية.

يظهر بوضوح أن المشغلين الذين يستهدفون المعارضة السورية لا يحتاجون إلى أدوات معقدة، لأن البرمجيات الخبيثة المتوفرة بسهولة ما زالت تعمل عندما يتم إشراكها مع هندسة اجتماعية جيدة. المتطلبات التقنية لدخول اللعبة متدنية، مما يمكن المجموعات البسيطة من تحقيق النجاح، بينما يسمح للمجموعات الأكثر تطوراً بتوفير التقنيات الأفضل للأهداف الأصعب.

يترتب على نقص مركزية التواصل جعل مجموعات المعارضة مستجيبة وسريعة التكيف. على أي حال فإن عدم المركزية توفر أيضاً المزيد من فرص الاستغلال الرقمي. يستطيع المهاجمون استهداف المجموعات لفترات أطول دون أن تتم ملاحظتهم، و دون القلق من كشفهم وحظرهم بواسطة فريق أمني. حتى عندما تلاحظ محاولات الاستغلال، ولأن أمن هذه المجموعات يعتمد على سلوك أفرادها، فسيكون من الصعب جداً التأكد من أنه قد تم اتخاذ المزيد من السلوكيات الآمنة.

تواجه مجموعات المعارضة وشركاؤها العديد من التحديات، -ونحن نقّدر صعوبة تأمين السلوكيات-. البنية التحتية التي قمنا بتحليلها خلال إعداد هذا التقرير مهملة على ما يبدو، على أية حال، فإننا نتوقع أن المجموعة 5 أو الاهتمامات التي خلفها، ربما ستستمر بممارسة الجهود لاستهداف المعارضة، وإننا نأمل بتقوية الرسالة التي تقول بأن اليقظة الدائمة ضرورة للدفاع المعارضة.

اضغط هنا للحصول على بعض الاقتراحات حول كيفية تطوير أمنك الإلكتروني. إذا كنت تعتقد أنك ربما استهدفت عبر هذه العمليات أو أية عمليات أخرى، نحن نرحب بك للتواصل مع باحثينا عبر البريد الالكتروني التالي: [email protected].

شكر وتقدير

نشكر نورا الأمير على تعاونها في هذا التحقيق، وعلى موافقتها ليتم ذكرها في هذا التقرير. طبيعة الاستهداف لعمليات كهذه تعني أنه دون مساعدة المستهدفين الشجعان لا نستطيع معرفة ما يجري وأننا سنبقى على اطلاع محدود عمّا يحدث.

ونحن ممتنون للغاية لزملائنا في Citizen Lab لتعليقاتهم ، وملاحظاتهم و مساعدتهم في إعداد هذا التقرير، بما في ذلك رون ديبيرت ،و بيل ماركزاك، و مورغان ماركيز-بوير،و إيرين بويترانتو، و آدم سينفت.

شكراً ايضاً لـ جستن كوسلين، وبراندون ديكسون على اقتراحاتهم وملاحظاتهم المفيدة.

نود ايضاً ان نشكر الفرق التالية: Lookout, PassiveTotal, RiskIQ, VirusTotal وفريق Threat Grid في قسم مكافحة الفيروسات في شركة Cisco.

شكر خاص جداً للمحققين الآخرين الذين رغبوا في البقاء مجهولين، والذين قدموا مساعدات كبيرة خاصة TNG و Tuka.

ملاحظة: الصورة الليلية التي استخدمت كخلفية في العديد من الرسومات, هي من مدونة CIMSS في جامعة ويسكونسون ماديسون.

الملحق أ: تحليل فيروس الويندوز

هذا القسم يحلل الفيروسات الخبيثة التي استخدمتها المجموعة 5. وتفصّل الفيروسات التي تتراوح ما بين ملفات OLE خبيثة في ملفات عرض شرائح بوربوينت (PPSX) مدمجة بثغرة، و حتى  ملفات تنفيذية تحتوي الفيروس بشكل مباشر.

الملف الأول (من البريد الأول)

Assadcrimes.ppsx

MD5 : 76F8142B4E52C671871B3DF87F10C30C

عرض الشرائح هذا يقوم بتنفيذ الملف الخبيث عبر إساءة استخدام إمكانيات تضمين ملفات OLE في بوربوينت. بشكل أوضح،  الملف الخبيث هو مرفق داخل العرض كملف OLE من نوع “حزمة” (Package)

الشكل 18: إضافة حزمة OLE لملف بوربوينت.
الشكل 18: إضافة حزمة OLE لملف بوربوينت.

بعد إضافتها، يتم استخدام ميزة “تأثيرات الحركة” لتنفيذ الملف مباشرة بعد عرض أول شريحة. وفي أحد ملفات بوربوينت الخبيثة، يمكننا أن نرى الحزمة المدمجة عبر عرض الشرائح في وضعية العرض العادي.

الشكل 19: حزمة OLE الخبيثة، تظهر أثناء تعديل ملف البوربوينت
الشكل 19: حزمة OLE الخبيثة، تظهر أثناء تعديل ملف البوربوينت

بعد أن يتم تفعيلها، يحفظ الملف المرفق إلى القرص ضمن المسار: %TEMP%\putty.exe، ثم يتم تنفيذه. الملف التنفيذي هو عبارة عن برنامج تحميل مكتوب بلغة .NET

الشكل 20: يظهر الملف putty.exe (برنامج التحميل)
الشكل 20: يظهر الملف putty.exe (برنامج التحميل)

في (الشكل 20) يمكننا أن نرى أن المرحلة الثانية هي بتحميل الفيروس من الرابط http://assadcrimes[.]info/1/dvm.exe (الرقم 1) و من ثم حفظ الملف على القرص ضمن المسار %temp%\dwm.exe (الرقم 2) ومن ثم يتم تنفيذه (الرقم 3)

الملف الموجود في مسار %temp%\dwm.exe يحمل المعرّفات التالية :

SHA256 MD5
c19bc1ff5f8472fb7ba64f33c2168b42ea881a6ae6e134a1cc142e984fb6647f 7d898530d2e77f15f5badce8d7df215e

الملف الخبيث الذي يتم تحميله وتنفيذه من قبل “برنامج التحميل” هو عبارة عن فيروس NanoCore، وهو تروجان (حصان طروادة) المعروف جداً، للتحكم عن بعد، يسمح بالمراقبة عن بعد لأجهزة الضحايا. ملف الفيروس تم إخفاؤه عبر عدد من طبقات تشويش التعليمات البرمجية، وقد تم وصفها في الأسفل.

فك تشفير الملف الخبيث:

تم تشويش الفيروس أولاً عبر التشفير،ومن ثم تجميعه قبل نشره

خطوات العمل

سنقوم بشرح هذه الخطوات بترتيب عكسي أدناه.

فك التجميع

المجمّع (Packer)  قام باستخدام تقنية بسيطة من base64 لتجميع الملف الجاهز، إذ قام بتقسيمه إلى العديد من الأسطر بحيث يتم بعد ذلك دمجها مع قسم الموارد في ملف التجميع. يقوم برنامج التجميع أثناء تشغيله بعكس هذه العملية، ثم يقوم باستدعاء الملف الكامل الناتج من الذاكرة.

الشكل 21: متغيرات Base64 التي تم العثور عليها في قسم الموارد من ملف التجميع التنفيذي.
الشكل 21: متغيرات Base64 التي تم العثور عليها في قسم الموارد من ملف التجميع التنفيذي.

يكشف استخراج هذا النص المجمّع عن ملف .NET ؛ وهو عبارة عن طبقة أخرى لحماية الكود، وتم تنفيذها باستخدام برنامج تشفير. هذا الملف يحمل المعرّفات التالية:

SHA256 MD5
d81ec563387e2ea47bc8ed50fd36e1de955cb2331d6eaae9f966b5d7ab094806 a4f1f4921bb11ff9d22fad89b19b155d

فك التشفير

هذا الملف القابل للتنفيذ، هو عبارة عن ملف يقوم بتنفيذ عمليات فك تشفير AES في الذاكرة لمتغيرات base64 المشوشة. تحمل هذه المتغيرات النسخة المشفرة من ملف NanoCore.

الشكل 22: عملية فك تشفير AES
الشكل 22: عملية فك تشفير AES

تُستخدم عملية تشفير الفيروسات عادة لتجاوز إمكانية الكشف عن الفيروس من قبل أدوات الحماية مثل مضادات الفيروسات. تتوفر العديد من أدوات “التشفير” المعروفة للشراء أو للتبادل في مختلف منتديات الاختراق.

من الجدير بالذكر أن عملية فك التشفير هذه قد أظهرت معلومات ملف PDB (اختصار ل قاعدة بيانات البرنامج ). تظهر معلومات ملف PDB عادة عند إنشاء تطبيقات .NET في وضعية التحليل (debug mode)، وهي عادة ما تكشف مسار الملف الأصلي للكود المصدري على جهاز كمبيوتر المبرمج.

هذا الملف القابل للتنفيذ كشف مسار ملف PDB التالي:

c:\users\mr.tekide\documents\visual studio 2013\projects\paccryptnano core dehgani -vds\windowsapplication2\obj\debug\launch manager.pdb

تشير قيم ملف PDB إلى أن ‘mr.tekide’ كان اسم المستخدم الذي قام ببناء هذا الجزء، وكذلك تم بناؤه كجزء من مشروع فيجوال ستوديو “Visual Studio” يدعى “paccryptnano core dehgani -vds”. إضافة إلى ذلك تمكنا من العثور على جزء فرعي يدعى “tekide”. ناقشنا في الاعلى أهمية متغيرات PDB في القسم 5: الإسناد.

من أجل الحصول على ملف الفيروس الأساسي من الملف المشفر، قمنا بإنشاء برنامج .NET صغير ليقلّد عملية فك التشفير، ويحفظ الملف الناتج على القرص، و قد حصلنا على الملف الخبيث الأساسي، والذي يحمل المعرفّات التالية:

SHA256 MD5
a9db5a548ea17d6606bfbdb20306a3a08b38dbfe720f9f709f4d3369288be104 dd5bedd915967c5efe00733cf7478cb4

ملف NanoCore الأصلي:

الآن وبما أننا وصلنا إلى ملف NanoCore الأصلي، فيمكننا فحص الإعدادات التي قام المهاجم بوضعها. ومن أجل استخلاص معلومات الإعدادات من هذه النسخة، قمنا بالاعتماد على أداة RATDecoders من برمجة كيفن برين.

باستخدام أداة برين، وصلنا إلى هذه الإعدادات:

الشكل 23: إعدادات NanoCore، بعد استخدام أداة RATDecoders
الشكل 23: إعدادات NanoCore، بعد استخدام أداة RATDecoders

تجدر الإشارة هنا إلى أن العنوان 88.198.222.163 والمنفذ 8081 هو مركز التحكم والقيادة لهذا الفيروس، وكما لاحظنا في (القسم 1) نفس العنوان يظهر في معلومات ترويسة الرسالة.

الملف الثاني

assadcrimes1.ppsx

MD5:F1F84EA3229DCA0CCACB7381A2F49F99

ملف بوربوينت يستفيد من الثغرة CVE-2014-4114، وهي ثغرة في مكون OLE،  والذي هو جزء من نظام التشغيل ويندوز. كما ذُكر في تقرير سابق فإن هذه الثغرة تؤدي إلى نسخ ملف موجود داخل ملف البوربوينت، إلى القرص، ومن ثم تشغيل الملف بدون أي تنبيه على الأجهزة المصابة بالثغرة.

يقوم ملف البوربوينت بنسخ ملف اسمه dvm.gif إلى القرص، ويعيد تسميته إلى dvm.exe،  ومن ثم يقوم بتنفيذه. يحمل ملف dvm.exe نفس النسخة المشفرة والمجمّعة التي يتم جلبها وتنفيذها من قبل برنامج التحميل المذكور في القسم السابق.

الملف الثالث

assadcrimes.info.ppsx

MD5:30BB678DB3AD0140FC33ACD9803385C3

يستخدم ملف بوربوينت هذا نفس الطريقة المذكورة أعلاه في (الملف 1) ، الملف المرفق هو ملف قابل للتنفيذ ككائن OLE, ويتم تنفيذه أثناء تشغيل “تأثيرات الحركة” داخل عرض شرائح بوربوينت.

الشكل 24: ملف حزمة OLE الخبيث، يظهر أثناء تعديل الملف.
الشكل 24: ملف حزمة OLE الخبيث، يظهر أثناء تعديل الملف.

كما في (الملف 1) فإن تفعيل حزمة OLE يحفظ الملف المرفق إلى القرص على المسار %TEMP%\putty.exe وثم يتم تنفيذه. هذا الملف هو تطبيق .NET يقوم بتوظيف نفس طبقات التشويش  من طرق التجميع والتشفير كما شاهدنا في الملفات الموجودة في (الملف1 ) و (الملف 2) , ولكن الملف الخبيث هنا هو ملف من أداة njRAT المعروفة للتحكم عن بعد.

بعد فك تجميع ملف OLE المرفق (putty.exe) وصلنا مجدداً إلى عملية فك تشفير متغيرات base64 وتشغيلها من الذاكرة. وهذا الملف يحمل المعرّفات التالية:

SHA256 MD5
d72676bbf8de82486c3cebfdad2961cc68a6b564a43f9f987c95320fcd6a330a 6161083021b695814434450c1882f9f3

كما في (الملف 1) فإن قيم ملف PDB موجودة في الملف التنفيذي:

C:\Users\mr.tekide\Documents\Visual Studio 2013\Projects\paccrypt11njratmalii\paccryptalipnahzade\obj\Debug\LManager.pdb

مجدداً يمكننا ملاحظة نفس اسم المستخدم “mr.tekide” في مسار الملف الأصلي للكود المصدري. وعلاوة على ذلك فإننا نلاحظ أيضاً مسارات البرمجة paccrypt11njratmalii وأيضاً paccryptalipnahzade.

للحصول على ملف njRAT التنفيذي قمنا باستخدام نفس البرنامج الذي استخدمناه للحصول على (الملف 1) أعلاه. والنتيجة كانت هي ملف njRAT و يحمل المعرّفات التالية:

SHA256 MD5
1a287331e2bfb4df9cfe2dab1b77c9b5522e923e52998a2b1934ed8a8e52f3a8 b4121c3a1892332402000ef0d587c0ee

من المثير للاهتمام أن الملف التنفيذي njRAT -على ما يبدو- أنه قد أنشئ من قبل نفس المصدر ومن قبل نفس المستخدم الذي أنشأ برنامج التشفير المذكور أعلاه. لاحظ قيم ملف PDB التي وجدت بداخل ملف njRAT التنفيذي:

C:\Users\mr.tekide\Documents\Visual Studio 2013\Projects\njrat7stubsoures – Copy\njrat7stubsoures\obj\Debug\dvvm.pdb

بنظرة سريعة على الإعدادات الموجودة بداخل الملف التنفيذي njRAT  تظهر لنا مركز التحكم والقيادة والمنفذ المستخدم:

الشكل 25: إعدادات ملف njRAT, تظهر عنوان مركز التحكم والقيادة والمنفذ.
الشكل 25: إعدادات ملف njRAT, تظهر عنوان مركز التحكم والقيادة والمنفذ.

الملف الرابع

alshohadaa alatfal.exe

MD5: 2FC276E1C06C3C78C6D7B66A141213BE

هذا الملف هو عبارة عن تطبيق .NET مصمم كطعم ليعرض نافذة تعرض صور لأطفال شهداء (انظر الشكل 5). و أثناء عرض هذه الصور, يقوم التطبيق باستخراج ملف من قسم الموارد من التطبيق، ويقوم بنسخه إلى المسار %TEMP%\dvm.exe و من ثم يقوم بتنفيذ عملية جديدة من هذا الملف. انظر (الشكل 26) أدناه:

الشكل 26: يظهر الملف الخبيث داخل التطبيق.
الشكل 26: يظهر الملف الخبيث داخل التطبيق.

هذا الملف يحوي أيضاً قيم PDB التالية:

C:\users\enterok\desktop\slideshow\slideshow\obj\x86\debug\alshohadaa alatfal.pdb

الملف dvm.exe هو ملف .NET تنفيذي, تم تجميعه باستخدام نفس برنامج .NET المذكور أعلاه في الملفات 1 و 3. عندما يتم فك تجميعه, ينتج ملف .NET تنفيذي يحمل نفس القيم المشفرة من الملف 3 أعلاه. ويحمل معرّف MD5 التالي : 6161083021b695814434450c1882f9f3 ويحتوي على فيروس njRAT.

البنية التحتية للبرمجيات الخبيثة

مركز التحكم والقيادة

تم ضبط إعدادات أدوات التحكم عن بعد (RAT) الثلاثة، للتواصل مع مركز تحكم وقيادة واحد، يعمل على عنوان الـ IP التالي : 88.198.222[.]163

مخصص لـ اسم النطاق عنوان الـ IP
HETZNER-RZ-NBG-BLK4 Hetzner Online GmbH static.88-198-222-163.clients.your-server.de 88.198.222[.]163

كان هذا الخادم هو  النقطة الوحيدة لاستخراج جميع البيانات لكل البرمجيات الخبيثة. كما ذكرنا أعلاه لـ njRAT و لـ NanoCore، وأدناه في الملحق ب لـ DroidJack، كانت منافذ TCP المستخدمة لمركز التحكم والقيادة على الشكل التالي :

الشكل 27: منافذ أدوات التحكم عن بعد المتصلة بمركز التحكم والقيادة.
الشكل 27: منافذ أدوات التحكم عن بعد المتصلة بمركز التحكم والقيادة.

 

إضافة إلى ذلك، نظن بوجود أداة XpertRAT للتحكم عن بعد، والتي كانت مستضافة على هذا العنوان في نوفمبر 2015، ومع ذلك لم نستطع الكشف عن أية عينات تقوم بالاتصال مع مركز التحكم الخاص بـ XpertRAT.

كما نلاحظ في الجدول أعلاه فإن عنوان الـ  IP 88.198.222[.]163 هو معيّن لشركة Hetzner Online؛ وهي شركة استضافة تقع في ألمانيا. Hetzner توفر خدمات الاستضافة، و المخدمّات VPS و Dedicated. وقد تم التواصل مع موظف تقني من الشركة أثناء اكتشاف الأنشطة الخبيثة الواردة في هذا التقرير. وذكرنا في الملحق ح: الإخطار تفاصيل عن هذا التواصل.

تظهر البيانات الحالية لعنوان ال IP هذا أنه قد تم إعادة تعيينه، إلى عميل لدى Hetzner في مطلع شباط 2016 على أبعد تقدير، ومن ثم -ربما- لمرة ثانية في أيار. و قد تم توجيه عدد من أسماء النطاقات (المواقع) المرتبطة بالألعاب على الانترنت  إلى هذا العنوان. وواحد منها كان يستضيف ملف html خبيث.

استضافة موقع Assadcrimes

تم تسجيل اسم النطاق assadcrimes[.]info  في بداية حزيران 2015، ولكنه كان متوقفاً حتى أوائل أكتوبر، إذ استضيف على مزود استضافة إيراني اسمه Hostnegar. تزامنت هذه العملية مع إرسال الرسائل الإلكترونية الموجودة في (القسم 1).

كان موقع assadcrimes[.]info مستضافاً على استضافة مشتركة، ومثل هذه العناوين يتم مشاركتها مع عدد من المواقع الأخرى غير المرتبطة ببعضها.

Reverse DNS PTR IP
server22.rayanegarco[.]com 212.7.195[.]171

 

 

 

تظهر الترويسة من البريد الالكتروني الأول في (الشكل 28) أدناه،تشير هذه الترويسة إلى أن الرسالة قد أرسلت باستخدام تطبيق Horde، يعمل على مخدم استضافة مواقع ويب. وعلاوةً على ذلك، فإن الترويسة تشير أيضاً إلى أن المرسل كان يقوم باستخدام البريد Horde من عنوان IP التابع لمركز التحكم والقيادة المذكور في الأعلى.

الشكل 28: الترويسة من البريد الإلكتروني الأول.
الشكل 28: الترويسة من البريد الإلكتروني الأول.

أخيراً، تشير معلومات حجز اسم النطاق assadcrimes[.]info إلى أنه قد انتقل إلى حالته الأساسية (متوّقف)  بتاريخ 4 أيار 2016.

الملحق ب: تحليل فيروس هواتف أندرويد

ملف التنصيب الخبيث (APK) – وصف عام

الشكل 29: التطبيق الخبيث منصّب، ويظهر ضمن التطبيقات-في الإعدادات- (يمين)، ولكنه مختفٍ من قائمة التطبيقات (يسار)

عند التنفيذ، يتم تنصيب التطبيق الخبيث، ثم يخفي نفسه من قائمة التطبيقات المثبتة كي لا يلفت الانتباه.

الشكل 30: التطبيق الخبيث يعطي رسالة خطأ "التطبيق غير مثبت" عندما ينقر المستخدم عليه قبل أن يختفي من القائمة.
الشكل 30: التطبيق الخبيث يعطي رسالة خطأ “التطبيق غير مثبت” عندما ينقر المستخدم عليه قبل أن يختفي من القائمة.

بعد التنصيب، تختفي أيقونة التطبيق من قائمة التطبيقات المنصبة، و لكنه لا يزال يعمل في الخلفية.

ملف التنصيب APK يحمل المعرّفات التالية:

Adobe_Flash_Player.apk

MD5: 8EBEB3F91CDA8E985A9C61BEB8CDDE9D

ملف التنصيب هذا هو نسخة من DroidJack. و وفقاً لـ Symantec، فإن هذا التطبيق قد تطور من كود مصدري آخر معروف باسم SandroRAT.

يحتوي ملف التنصيب الذي اكتشفناه على إشارات لكلي الاسمين، كما يظهر في (الشكل 31 ) أدناه:

الشكل 31: إشارات لـ DroidJack و لـ SandroRat واضحة في الكود المصدري.

يظهر ملف Manifest في التطبيق معلومات مهمة عن إمكانيات عينة الفيروس،  وعن نوايا المهاجم. يطلب نظام التشغيل أندرويد المعلومات من ملف Manifest قبل أن يقوم بتنفيذ التطبيق. هذا التطبيق سيطلب الصلاحيات ويستخدم المزايا التالية على الجهاز:

الشكل 32: لقطة شاشة من ملف Manifest تظهر الأذونات المطلوبة للتطبيق.
الشكل 32: لقطة شاشة من ملف Manifest تظهر الأذونات المطلوبة للتطبيق.

في نظام أندرويد تكون الواجهات (Activities) هي مكونات تستخدم عادة  للسماح لصاحب الجهاز بتنفيذ شيء معين. أيضاً الواجهة الرئيسية (Main Activity) هي محددة في ملف Manifest، تظهر في(الشكل 33).

الشكل 33: الواجهة الرئيسية (Main Activity) تظهر في ملف Manifest.
الشكل 33: الواجهة الرئيسية (Main Activity) تظهر في ملف Manifest.

في هذه الحالة، فإن  الواجهة الرئيسية مصممة لتقوم بتشغيل المتحكم (Controller)  كخدمة ويغلق نفسه.

تحتوي تطبيقات الأندرويد أيضاً على خدمات “Services” وعلى مستقبلات “Receivers” محددة، تستخدم الخدمات للعمليات التي تتم في الخلفية، بينما تحدد المستقبلات أنواع الرسائل الجماعية التي يستقبلها التطبيق من التطبيقات الأخرى ومن الجهاز. هذه الرسائل معروفة كـ “أهداف/نوايا”.

يحتوي ملف التنصيب الموجود لدينا الكثير من الخدمات التي تشتمل : “Controller” و “GPSLocation” و أيضاً “Toaster”. (انظر الشكل 34)

الشكل 34: الخدمات التي يتم تفعيلها من قبل ملف التنصيب APK.
الشكل 34: الخدمات التي يتم تفعيلها من قبل ملف التنصيب APK.

كلاس التحكم (Controller class)، المشار إليه من قبل الواجهة الرئيسية، يبدأ كخدمة في الجهاز، ويقوم بمعالجة طلبات المهاجم. بينما كلاس GPSLocation مسؤول عن طلب موقع GPS (عبر الأقمار الصناعية) من LocationManager الخاص بالجهاز. أما كلاس Toaster، فلا يتم تنفيذه في هذا الملف؛ ولكن يتم تنفيذه في الإصدارات القديمة من تطبيقات SandroRAT.

لملف التنصيب APK العديد من المستقبلات المحددة للتعامل مع رسائل محددة من الجهاز (انظر الشكل 35).

الشكل 35: كلاسات المستقبلات المحددة.
الشكل 35: كلاسات المستقبلات المحددة.

 

هدف المستقبل الاستخدام
Connectivity change تسمح للتطبيق بمراقبة أية تغييرات في الاتصال، بما في ذلك الانتقال من بيانات الهاتف إلى شبكات الاتصال اللاسلكي (Wi-Fi). حيث يتم تحديد قيمة عندما يحصل أي تغيير.
Boot completed تسمح للتطبيق بإعادة الاتصال عند إعادة تشغيل الجهاز. ويتم تحديد قيمة ثابتة عندما ينتهي الجهاز من الإقلاع.
Phone state تسمح للتطبيق بمراقبة المكالمات الواردة. حيث يتم تعيين قيمة ثابتة عندما تتغير حالة المكالمة.

يبدأ مستقبل الاتصال (Connector Receiver)  بخدمة التحكم (Controller) و عندما يكتمل إقلاع الجهاز، يسمح للفيروس بالعمل في الخلفية بعد الإقلاع.

يسمح مستقبل استماع المكالمات (CallListener Receiver) للمهاجم بتسجيل سجل مكالمات، و  إنشاء مكالمة، وتسجيل المكالمات (في حال قام المهاجم بتفعيلها) بصيغة AMR، ويتم إرسالها إلى مركز التحكم والقيادة.

و أخيراً، في ملف Manifest، يقوم التطبيق بتفعيل واجهتين , الأولى “CAMSNAP” والثانية “VIDEOCAP”, كما يظهر في الشكل 36.

الشكل 36: واجهتين تفّعلان تسجيل الكاميرا والفيديو.
الشكل 36: واجهتين تفّعلان تسجيل الكاميرا والفيديو.

تسمح هذه الواجهات للمهاجم باستخدام كاميرا الجهاز المصاب بالتقاط صور، وتسجيل فيديو. تكون هذه الواجهة مخفية عن الضحية عبر استخدام قالب شفاف.

ملف التنصيب الخبيث – المتحكم

كما ذكرنا مسبقاً، فإن كلاس المتحكم هو المسؤول عن باقي الوظائف. الملف الذي فحصناه كان معدّاً للاتصال بنفس مخدّم فيروس الويندوز من أجل عمليات التحكم والقيادة.

الشكل 37: إعدادات DroidJack تظهر بأنها تشارك المخدّم مع بقية فيروسات المجموعة 5.
الشكل 37: إعدادات DroidJack تظهر بأنها تشارك المخدّم مع بقية فيروسات المجموعة 5.

قمنا بتثبيت نسخة للتجربة كي نعرف كيف يعمل الفيروس، وكيف يمكنه مراقبة الضحايا. من الواضح أن المهاجم سيكون له حق الوصول الكامل تقريباً لمعلومات الضحايا.

المزايا المقدّمة من الفيروس:

  • تصفح الملفات
  • تسجيل الرسائل وسجل المكالمات.
  • جهات الاتصال.
  • سجل المتصفح.
  • مدير التطبيقات.
  • سجل المواقع.
  • قارئ رسائل WhatsApp (يعمل فقط على أجهزة عليها رووت).
  • التحكم عن بعد بالكاميرا والميكروفون.
الشكل 38: نسخة من DroidJack تستعرض سجلات WhatsApp من جهاز مصاب.
الشكل 38: نسخة من DroidJack تستعرض سجلات WhatsApp من جهاز مصاب.

بعض الميزات لا تعمل إلا على أجهزة عليها رووت. كمثال، إمكانية قراءة رسائل WhatsApp تحتاج لرووت. إذ إن تطبيقات أندرويد لا يمكنها الوصول لملفات التطبيقات الأخرى إلا إن كانت موقعة بنفس الشهادة، أو إن كان التطبيق يقوم بتنفيذ أوامر بصلاحيات رووت. إذا استطاع DroidJack الحصول على صلاحيات رووت، و يقوم بالوصول إلى قاعدة البيانات الخاصة ب WhatsApp والتي تحتوي على الرسائل.

الملحق ت: Mr.Tekide

يقدم هذا الملحق معلومات موسعة أكثر عن Mr. Tekide، أولاً خضنا في كيفية تحديد برنامج التشفير الخاص به (PAC Crypt) عبر متغيرات في الملفات، وثانياً قمنا بتسليط الضوء على نتائج بحث عن أسمائه المستعارة و متغيرات مرتبطة به.

العينات المرتبطة بمتغيرات PDB

في ملفات المجموعة 5،  وجدنا العديد من المراجع التي تشير إلى أن برنامج التشفير قد تم استخدامه مع نوعين من أدوات التحكم عن بعد (RAT) وهما njRat و NanoCore وتم تشفيرها باستخدام برنامج Mr.Tekide وهو “PAC Crypt”.

عينة فيروس njRAT من الملف الثالث، و يمكننا رؤية أن الفيروس قد تم تجميعه من قبل “mr.tekide” أيضاً

الجدول 2

تظهر مجلدات مشاريع برنامج Visual Studio الموجودة أعلاه وجود نسخة معينة من “PAC Crypt”، و قد  أنشأت من قبل Mr. Tekide وكان يتم إعدادها في حالة واحدة من أجل ملف njRAT خبيث، و أيضاً نسخة من أجل ملف NanoCore. المتغيرات ‘dehgani –vds’, ‘malii’ و ‘alipnahzade’ قد تكون ذات أهمية إضافية.

أجرينا عمليات بحث عبر مواقع فيروسات وخدمات تحليل متعددة (مثل VirusTotal, Malwr,  و TotalHash) في محاولة للحصول على بيانات إضافية تتعلق باستخدام برنامج PAC Crypt. كشفت عمليات البحث هذه القليل فيما يتعلق ب PAC Crypt على وجه الخصوص، و لذلك قمنا بحثنا بشكل أوسع عن ملفات تحتوي على “tekide” في ملفات PDB.

ويحذونا الأمل في أن البيانات المبينة أدناه قد تكون ذات قيمة لباحثين آخرين.

احتوت النتائج التي فحصناها على أكثر من 200 عينة، و قد جمعناها ضمن مجموعات، بناء على تاريخ التجميع، ومسار ملف PDB كما يظهر في الجدول أدناه:

table3

لوحظت مراجع PDB وتواريخ التجميع التالية في حالات فردية:

table4

مع أخذ القيود المفروضة على أوقات التجميع بعين الاعتبار،فإننا لم نستطع مقارنة الوقت مع أول ظهور للعينة على مواقع الفيروسات وخدمات التحليل (مثل VirusTotal, Malwr,  و TotalHash). بدأت العينات – في أغلب الحالات- في الظهور على المواقع خلال ساعات من تاريخ تجميع الملف.

كشف التحليل الديناميكي للعينات في هذه المجموعات، الملفات التالية وإعداداتها:

table5

ما يزال من غير الواضح، فيما إذا كانت العينات التي تم فحصها في المجموعة A أعلاه، قد استخدمت من قبل ‘Mr. Tekide” بنفسه، أو هي فقط مجرد نتائج لنشاطات نفذها أشخاص آخرون باستخدام أدواته.

في النهاية، فإن تحليل تواريخ التجميع -والتي تم ملاحظتها في العينات التي عثرنا عليها- يظهر وجود ضعف في النشاط في نهاية منتصف عام 2014. هناك العديد من الأسباب التي تفسّر سبب قلة عدد العينات، إما تغيير في الظروف الشخصية أو ربما انتقال لأعمال برمجة فيروسات أقل في العلن.

Mr.Tekide على الانترنت

حافظ Mr.Tekide على ظهور علني في العديد من المنتديات المرتبطة بالفيروسات، و أيضاً على الشبكات الاجتماعية. عبر البحث عن اسمه، عثرنا على العديد من النتائج التي تكشف استخدام اسم  Mr.Tekide وصورته الشخصية، و عرضنا هذه النتائج أدناه.

الشكل 39: Mr.Tekide يقوم بعرض برنامج "Ashiyane crypter v7.0" في منتديات Ashiyane.
الشكل 39: Mr.Tekide يقوم بعرض برنامج “Ashiyane crypter v7.0” في منتديات Ashiyane.

الشكل 40: يظهر حساب Mr.Tekide كحساب مدير على منتديات crypter[.]ir
الشكل 40: يظهر حساب Mr.Tekide كحساب مدير على منتديات crypter[.]ir
الشكل 41: صفحة برنامج "PAC Crypt" على متجر crypter[.]ir.
الشكل 41: صفحة برنامج “PAC Crypt” على متجر crypter[.]ir.

عبر رابط “اتصل بنا” في صفحة crypter[.]ir وجدنا رابط حساب فايسبوك مسجل باسم “Pezhman Blackhat”. إضافة لحساب الفيسبوك استطعنا العثور على حساب لينكدإن, حيث يقول بأنه مشفّر “crypter” ويسمي نفسه بأنه يعمل لصالح فريق Ashiyane للأمن الرقمي. و أيضاً يقوم بإدارة حساب انستغرام.

الملحق ث: معرّفات الملفات.

جدول كامل بكل الملفات:

table6

الملحق ج: معلومات البريد

table7

الملحق ح: الإخطار

Hetzner

تواصلنا في 12 نيسان 2016 مع شركة Hetzner عبر البريد الإلكتروني،  وعبر استمارة التبليغ عن سوء استخدام الخدمة، و أعلمناهم أن المخدم لديهم يستضيف برمجيات خبيثة. و كذلك وفرنا سجلات دخول الموقع وعينة من البرمجيات الخبيثة. ولاحقاً تابعنا الموضوع بمكالمتين هاتفيتين.

عبر مكالمة الهاتف، رفض موظف من شركة Hetzner أن يحقق في الموضوع،  وصرّح بأنهم لن يجروا أية تحقيقات قبل مشاركة معلومات التبليغ عن سوء الخدمة مع عميلهم، والذي بدوره لديه 24 ساعة ليقوم باتخاذ إجراءات. وعندما اقترحنا أن هذا الأمر قد يؤدي إلى حذف الأدلة، ويكشف عن الحالة الخاصة للعملية، رفض الموظف اتخاذ أية إجراءات أخرى.

====

التقرير تم نشره على موقع سيتزن لاب في الثاني من آب عام 2016 على الرابط.
تم ترجمة التقرير بتاريخ الخامس من تشرين الاول عام 2016 على الرابط من قبل بحر عبد الرزاق.
تعتمد النسخة الانكليزية كنسخة اساسية صادرة عن سيتزن لاب – جامعة تورونتو.
للملاحظات: [email protected]

UnDyInG

اضف تعليق

انقر هنا لإضافة تعليق

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *