أعلنت شركة بالو ألتو نتوركس في وقت سابق من الآن عن تعرّض مؤسسات حكومية في الشرق الأوسط وشمال أفريقيا إلى أضرار جسيمة نتيجة برمجية ثانوس (Thanos)، وهي برمجية فدية خبيثة.
وقد تمّ رصد برمجية ثانوس للمرة الأولى من قبل شركة “ريكورديد فيوتشر” المتخصصة بتوريد حلول الأمن الإلكتروني، وذلك في شهر فبراير من العام 2020، حيث تم الإعلان والترويج لبيع هذه البرمجية عبر منتديات الشبكة الخفية. وتتميز برمجية الفدية الخبيثة باحتوائها على أداة إنشاء تتيح لمالكها إمكانية تخصيص عمل البرمجية وفقاً لمجموعة متنوعة من الإعدادات المتاحة. كما أن طرح برمجية ثانوس للبيع يشير إلى احتمالية استخدامها من قبل عدة جهات، وهو ما استطاعت شركة بالو ألتو نتوركس إثباته وبدرجة عالية من التأكيد، من خلال رصد استخدامها في هجمات استهدفت مؤسستين حكوميتين تقعان في منطقة الشرق الأوسط وشمال أفريقيا.
مؤشر القياس عن بُعد
واستناداً لمؤشر القياس عن بُعد الخاص بشركة بالو ألتو نتوركس، ظهرت برمجية ثانوس لأول مرة في 13 يناير 2020، حيث تمكت الشركة من رصد أكثر من 130 عينة مختلفة منها منذ ذلك الحين. وفي السادس والتاسع من يوليو 2020، استطاعت بالو ألتو نتوركس رصد ملفات مرتبطة بهجوم استهدف مؤسستين حكوميتين تقعان في منطقة الشرق الأوسط وشمال أفريقيا، حيث تم تنصيب الملفات وتشغيل برمجية الفدية الخبيثة ثانوس. إلا أن الشركة تعتقد بأن الجهات التي تقف وراء هذه التهديدات تمكنت بالفعل من التسلل بشكل مسبق إلى شبكات هذه المؤسسات، فقد احتوت عينات البرمجية التي تم رصدها على بيانات اعتماد استطاعت الجهات المهاجمة سرقتها من الأنظمة العاملة على شبكة هذه المؤسسات قبل أن تقوم بنشر برمجية الفدية الخبيثة.
الاستعانة بعدة طبقات من النصوص البرمجية
وقد تضمن هذا الهجوم بالذات الاستعانة بعدة طبقات من النصوص البرمجية للـ “باورشل” المبنية على لغة الـ”سي” وبرمجية الـ”شيلكود”، وذلك كي يتمكنوا من تحميل برمجية ثانوس إلى الذاكرة، لتبدأ العمل بالتزامن مع إقلاع نظام التشغيل المحلي. وتستند هذه الطبقات من النصوص البرمجية بدرجة كبيرة على التعليمات البرمجية المتاحة مجاناً ضمن منظومات المصادر المفتوحة، مثل “شارب- سوت” و”دونات”. ويشار إلى أن إحدى الطبقات تضمنت نصاً برمجياً من الـ”باورشل” تنحصر مهمته على نشر برمجية ثانوس على امتداد باقي الأنظمة على الشبكة المحلية، وذلك باستخدام بيانات الاعتماد المسروقة التي ذكرناها سابقاً.
تحليل عينة برمجية ثانوس
وقد تمكنت بالو ألتو نتوركس من تحليل عينة برمجية ثانوس تم تحميلها وتشغيلها من داخل الذاكرة والتي قامت الجهات المهاجمة بتصميمها بشكل خاص لاستهداف المؤسسات الحكومية في منطقة الشرق الأوسط وشمال أفريقيا.
محرك تحليل البرمجيات الخبيثة
ويحظى جميع عملاء شركة “بالو ألتو نتوركس” بحماية كاملة ضد هذا النوع من الهجمات، وذلك بفضل محرك تحليل البرمجيات الخبيثة “وايلدفاير” (WildFire) الذي يقوم بتحديد وتعريف كافة العينات ذات الصلة على أنها برمجيات خبيثة، بالإضافة إلى منصة الكشف والاستجابة المتطورة “كورتيكس إكس دي آر” Cortex XDR)) التي تقوم بحظر الملفات الحاضنة لمكونات هذه البرمجية الخبيثة.